Waarschuwingen van Microsoft Defender voor Cloud onderdrukken

Microsoft Defender voor Cloud genereert beveiligingswaarschuwingen wanneer bedreigingen in uw omgeving worden gedetecteerd. Sommige waarschuwingen kunnen valse positieven zijn of anders ongewenst. U kunt deze waarschuwingen automatisch onderdrukken met behulp van onderdrukkingsregels.

Wanneer een waarschuwing overeenkomt met een actieve onderdrukkingsregel, verandert de status ervan in Gesloten. De waarschuwing wordt nog steeds weergegeven in de lijst met beveiligingswaarschuwingen, maar activeert geen meldingen meer of wordt weergegeven in actieve waarschuwingsweergaven.

Vereiste voorwaarden

Vereiste rollen en machtigingen:

  • Beveiligingsbeheerder en eigenaar kunnen regels maken en verwijderen.
  • Beveiligingslezer en Lezer kunnen regels bekijken.

Zie de matrices van Defender voor Cloud-ondersteuning voor commerciële/andere clouds in Azure voor beschikbaarheid in de cloud.

Onderdrukkingsregel maken

U kunt onderdrukkingsregels toepassen op beheergroepen of op abonnementen.

  • Als u waarschuwingen voor een beheergroep wilt onderdrukken, gebruikt u Azure Policy.
  • Als u waarschuwingen voor abonnementen wilt onderdrukken, gebruikt u Azure Portal of de REST API.

Een onderdrukkingsregel is alleen van toepassing op waarschuwingstypen die al ten minste één keer zijn geactiveerd.

Een onderdrukkingsregel maken voor een specifieke waarschuwing in de Azure-portal:

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar Microsoft Defender voor Cloud>Beveiligingswaarschuwingen.

    Schermafbeelding van Microsoft Defender voor Cloud Beveiligingswaarschuwingenpagina met de lijst met waarschuwingen.

  3. Selecteer een waarschuwing.

  4. Selecteer Actie ondernemen.

    Schermopname van een deelvenster met waarschuwingsdetails met de knop Actie ondernemen.

  5. Selecteer Onderdrukkingsregel maken.

    Schermafbeelding van het menu Actie ondernemen waarop Onderdrukkingsregel maken wordt weergegeven.

  6. Voer de juiste gegevens in:

    • Abonnement : het abonnement waarin u de regel wilt maken.
    • (Optioneel) Entiteiten : de resources waarop de regel van toepassing is. U kunt één resource, meerdere resources of resources opgeven die een gedeeltelijke resource-id bevatten. Als u geen resources opgeeft, is de regel van toepassing op alle resources in het abonnement.
    • Regelnaam : een naam voor de regel. Regelnamen moeten beginnen met een letter of een cijfer, tussen 2 en 50 tekens lang zijn en mogen geen symbolen bevatten behalve streepjes (-) of onderstrepingstekens (_).
    • Status : of de regel is ingeschakeld of uitgeschakeld.
    • Reden : selecteer een van de ingebouwde redenen of 'ander' om uw eigen reden op te geven in de opmerking.
    • (Optioneel) Vervaldatum : een einddatum en -tijd voor de regel. Als u geen vervaldatum instelt, wordt de regel voor onbepaalde tijd uitgevoerd.

  7. (Optioneel) Selecteer Simuleren om uw regel te testen.

  8. Selecteer de optie Toepassen.

De regel wordt gemaakt en vermeld op de pagina Onderdrukkingsregels .

Een onderdrukkingsregel bewerken of verwijderen

Een regel bewerken die u hebt gemaakt op basis van de pagina onderdrukkingsregels:

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar Microsoft Defender voor Cloud>Beveiligingswaarschuwingen.

  3. Selecteer Onderdrukkingsregels.

    Schermopname van de pagina Beveiligingswaarschuwingen met de knop Onderdrukkingsregels.

  4. Selecteer de relevante abonnementen.

  5. Selecteer de knop met drie puntjes ... voor de regel die u wilt bewerken.

  6. Kies Bewerken.

  7. Bewerk de regeldetails.

  8. Selecteer de optie Toepassen.

Als u een regel wilt verwijderen, gebruikt u hetzelfde menu met drie puntjes en selecteert u Verwijderen.

Onderdrukkingsregels maken en beheren met de API

U kunt regels voor waarschuwingsonderdrukking maken, weergeven of verwijderen met behulp van de Defender voor Cloud REST Application Programming Interface (API).

Maak een onderdrukkingsregel voor een waarschuwing die de API al heeft geactiveerd. Gebruik eerst de REST API voor waarschuwingen om de waarschuwing op te halen die u wilt onderdrukken. Gebruik vervolgens de REST API voor waarschuwingsonderdrukkingsregels om de regel te maken.

De relevante methoden voor onderdrukkingsregels in de REST API voor waarschuwingsonderdrukkingsregels zijn:

  • UPDATE:

    • Een onderdrukkingsregel in een opgegeven abonnement maken of bijwerken.

  • GET:

    • De details van een specifieke onderdrukkingsregel voor een opgegeven abonnement ophalen. Deze methode retourneert één onderdrukkingsregel.

  • LIJST:

    • Alle onderdrukkingsregels weergeven die zijn geconfigureerd voor een opgegeven abonnement. Deze methode retourneert een matrix van de toepasselijke regels.

  • VERWIJDEREN:

    • Een bestaande onderdrukkingsregel verwijderen. Met deze methode wordt de status van waarschuwingen die al door de onderdrukkingsregel zijn afgehandeld, niet gewijzigd.

Zie de API-naslaginformatie voor Defender voor Cloud-bewerkingsgroepen voor details en gebruiksvoorbeelden.

Volgende stappen 

Beveiligingswaarschuwingen bekijken die zijn gegenereerd door Defender voor Cloud

  • Last updated on