Suprimir alertas do Defender for Cloud

  • 7 minutos

Os planos do Defender for Cloud detetam ameaças em qualquer área do seu ambiente e geram alertas de segurança. Quando um único alerta não é interessante ou relevante, você pode descartá-lo manualmente. Como alternativa, use o recurso de regras de supressão para descartar automaticamente alertas semelhantes no futuro. Normalmente, você usaria uma regra de supressão para:

  • Suprimir alertas que identificou como falsos positivos

  • Suprimir alertas que estão sendo acionados com muita frequência para serem úteis

Suas regras de supressão definem os critérios para os quais os alertas devem ser automaticamente descartados. As regras de supressão só podem dispensar alertas que já tenham sido acionados nas subscrições selecionadas.

Criar uma regra de supressão

Para criar uma regra diretamente no portal do Azure:

Na página de alertas de segurança do Defender for Cloud:

  • Localize o alerta específico que você não deseja mais ver e, no menu de reticências (...) para o alerta, selecione Criar regra de supressão:

OR

  • selecione o link de regras de supressão na parte superior da página e, na página de regras de supressão, selecione Criar nova regra de supressão:

No painel da nova regra de supressão, introduza os detalhes.

  • Sua regra pode descartar o alerta em todos os recursos para que você não receba nenhum alerta como este no futuro.

  • A regra pode dispensar o alerta com base em critérios específicos: quando está relacionado com um endereço IP específico, um nome do processo, uma conta de utilizador, um recurso do Azure ou uma localização.

Screenshot of Defender for Cloud new alert suppression rule pane.

Introduza os detalhes da regra:

  • Nome – Um nome para a regra. Os nomes das regras devem começar com uma letra ou um número, ter entre 2 e 50 carateres e não conter outros símbolos que não sejam traços (-) ou sublinhados (_).

  • Estado – ativado ou desativado.

  • Razão - Selecione uma das razões incorporadas ou 'outras' se não atenderem às suas necessidades.

  • Data de validade – Uma data e hora de fim para a regra. As regras podem ser executadas por um máximo de seis meses.

Opcionalmente, teste a regra com o botão Simular para ver quantos alertas teriam sido dispensados se esta regra estivesse ativa.

Guarde a regra.

Ver alertas suprimidos

Os alertas que correspondem às suas regras de supressão ativadas ainda serão gerados, mas seu estado será definido como descartado. Você pode ver o estado no portal do Azure ou como você acessa seus alertas de segurança do Defender for Cloud.

Use o filtro do Defender for Cloud para exibir alertas que foram descartados pelas suas regras.

  • Na página de alertas de segurança do Defender for Cloud, abra as opções de filtro e selecione Descartado.