Suprimir alertas do Microsoft Defender para Cloud

  • Artigo

Esta página explica como você pode usar regras de supressão de alertas para suprimir falsos positivos ou outros alertas de segurança indesejados do Defender for Cloud.

Disponibilidade

Aspeto Detalhes
Estado de lançamento: Disponibilidade geral (GA)
Funções e permissões necessárias: O administrador de segurança e o proprietário podem criar/excluir regras.
O leitor de segurança e o Reader podem visualizar regras.
Nuvens: Nuvens comerciais
Nacional (Azure Government, Microsoft Azure operado pela 21Vianet)

O que são regras de supressão?

Os planos do Microsoft Defender detetam ameaças em seu ambiente e geram alertas de segurança. Quando um único alerta não é interessante ou relevante, você pode descartá-lo manualmente. As regras de supressão permitem que você ignore automaticamente alertas semelhantes no futuro.

Assim como quando você identifica um e-mail como spam, você deseja revisar seus alertas suprimidos periodicamente para garantir que não esteja perdendo nenhuma ameaça real.

Alguns exemplos de como usar a regra de supressão são:

  • Suprimir alertas que identificou como falsos positivos
  • Suprimir alertas que estão sendo acionados com muita frequência para serem úteis

Crie uma regra de supressão de alerta.

Criar uma regra de supressão

Você pode aplicar regras de supressão a grupos de gerenciamento ou a assinaturas.

  • Para suprimir alertas para um grupo de gerenciamento, use a Política do Azure.
  • Para suprimir alertas de assinaturas, use o portal do Azure ou a API REST.

Os tipos de alerta que nunca foram acionados em uma assinatura ou grupo de gerenciamento antes da regra ser criada não serão suprimidos.

Para criar uma regra para um alerta específico no portal do Azure:

  1. Na página de alertas de segurança do Defender for Cloud, selecione o alerta que deseja suprimir.

  2. No painel de detalhes, selecione Executar ação.

  3. Na seção Suprimir alertas semelhantes da guia Executar ação, selecione Criar regra de supressão.

  4. No painel Nova regra de supressão, insira os detalhes da nova regra.

    • Entidades - Os recursos aos quais a regra se aplica. Você pode especificar um único recurso, vários recursos ou recursos que contenham uma ID de recurso parcial. Se você não especificar nenhum recurso, a regra se aplicará a todos os recursos da assinatura.
    • Nome - Um nome para a regra. Os nomes das regras devem começar com uma letra ou um número, ter entre 2 e 50 carateres e não conter outros símbolos que não sejam traços (-) ou sublinhados (_).
    • Estado - Ativado ou desativado.
    • Razão - Selecione uma das razões incorporadas ou 'outras' para especificar a sua própria razão no comentário.
    • Data de expiração - Uma data e hora de término para a regra. As regras podem ser executadas sem qualquer limite de tempo, conforme definido em Data de validade.

  5. Selecione Simular para ver o número de alertas recebidos anteriormente que teriam sido descartados se a regra estivesse ativa.

  6. Guardar a regra.

Você também pode selecionar o botão Regras de supressão na página Alertas de segurança e selecionar Criar regra de supressão para inserir os detalhes da nova regra.

Captura de ecrã do botão Criar regra de supressão na página Regras de supressão.

Nota

Para alguns alertas, as regras de supressão não são aplicáveis a determinadas entidades. Se a regra não estiver disponível, uma mensagem será exibida no final do processo Criar uma regra de supressão.

Editar uma regra de supressão

Para editar uma regra criada a partir da página de regras de supressão:

  1. Na página de alertas de segurança do Defender for Cloud, selecione Regras de supressão na parte superior da página.

    Captura de ecrã que mostra o botão da regra de supressão na página Alertas de Segurança.

  2. A página de regras de supressão é aberta com todas as regras para as assinaturas selecionadas.

    Captura de tela que mostra a página Regras de supressão, onde você pode revisar as regras de supressão e criar novas.

  3. Para editar uma única regra, abra os três pontos (...) no final da regra e selecione Editar.

  4. Altere os detalhes da regra e selecione Aplicar.

Para excluir uma regra, use o mesmo menu de três pontos e selecione Remover.

Criar e gerenciar regras de supressão com a API

Você pode criar, exibir ou excluir regras de supressão de alertas usando a API REST do Defender for Cloud.

Os métodos HTTP relevantes para regras de supressão na API REST são:

  • PUT: Para criar ou atualizar uma regra de supressão em uma assinatura especificada.

  • GET:

    • Para listar todas as regras configuradas para uma assinatura especificada. Esse método retorna uma matriz das regras aplicáveis.
    • Para obter os detalhes de uma regra específica em uma assinatura especificada. Esse método retorna uma regra de supressão.
    • Para simular o impacto de uma regra de supressão ainda em fase de projeto. Esta chamada identifica quais dos seus alertas existentes teriam sido descartados se a regra estivesse ativa.

  • DELETE: exclui uma regra existente (mas não altera o status de alertas já descartados por ela).

Para obter detalhes e exemplos de uso, consulte a documentação da API.

Próximo passo

Este artigo descreveu as regras de supressão no Microsoft Defender for Cloud que descartam automaticamente alertas indesejados.

Saiba mais sobre os alertas de segurança gerados pelo Defender for Cloud.