Отключение оповещений из Microsoft Defender для облака

  • Статья

На этой странице объясняется, как можно использовать правила подавления оповещений для подавления ложных срабатываний и других нежелательных оповещений системы безопасности от Defender для облака.

Availability

Аспект Сведения
Состояние выпуска: Общедоступная версия
Требуемые роли и разрешения Администратор безопасности и Владелец могут создавать и удалять правила.
Читатель сведений о безопасности и Читатель могут просматривать правила.
Облако. Коммерческие облака
National (Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet)

Что такое правила подавления?

Планы Microsoft Defender обнаруживают угрозы в вашей среде и создают оповещения системы безопасности. Если какое-либо отдельное оповещение вас не интересует или вам не нужно, его можно закрыть вручную. Правила подавления позволяют автоматически отклонять аналогичные оповещения в будущем.

Как и при обнаружении электронной почты как нежелательной почты, вы хотите периодически просматривать отложенные оповещения, чтобы убедиться, что у вас нет реальных угроз.

Ниже приведены некоторые примеры использования правила подавления.

  • Подавлять оповещения, которые вы идентифицировали как ложные срабатывания
  • Подавлять оповещения, которые активируются слишком часто и потому бесполезны

Создание правила подавления оповещений.

Создание правила подавления

Правила подавления можно применять к группам управления или к подпискам.

  • Чтобы отключить оповещения для группы управления, используйте Политика Azure.
  • Чтобы отключить оповещения для подписок, используйте портал Azure или REST API.

Типы оповещений, которые никогда не были активированы в подписке или группе управления до создания правила, не будут подавляться.

Чтобы создать правило для определенного оповещения в портал Azure:

  1. На странице оповещений системы безопасности Defender для облака выберите оповещение, которое вы хотите отключить.

  2. В области сведений нажмите кнопку "Выполнить действие".

  3. В разделе "Подавление аналогичных оповещений " на вкладке "Действие" выберите "Создать правило подавления".

  4. В области "Новое правило подавления" введите сведения о новом правиле.

    • Сущности — ресурсы, к которым применяется правило. Можно указать один ресурс, несколько ресурсов или ресурсы, содержащие частичный идентификатор ресурса. Если вы не указываете какие-либо ресурсы, правило применяется ко всем ресурсам в подписке.
    • Имя — имя правила. Имена правил должны начинаться с буквы или цифры и не могут содержать специальных символов, кроме дефиса (-) и символа подчеркивания (_). Допустимая длина имени — от 2 до 50 символов.
    • Состояние — включено или отключено.
    • Причина . Выберите одну из встроенных причин или "другой", чтобы указать собственную причину в комментарии.
    • Дата окончания срока действия — дата и время окончания срока действия правила. Правила могут выполняться без каких-либо ограничений времени, как указано в дате окончания срока действия.

  5. Выберите "Имитация ", чтобы просмотреть количество полученных ранее оповещений, которые были бы отклонены, если правило было активным.

  6. Сохраните правило.

Вы также можете выбрать кнопку "Правила подавления" на странице "Оповещения системы безопасности" и выбрать команду "Создать правило подавления", чтобы ввести сведения о новом правиле.

Снимок экрана: кнопка

Примечание.

Для некоторых оповещений правила подавления не применимы для определенных сущностей. Если правило недоступно, сообщение отобразится в конце процесса создания правила подавления.

Изменение правила подавления

Чтобы изменить правило, созданное на странице правил подавления, выполните следующие действия.

  1. На странице оповещений системы безопасности Defender для облака выберите правила подавления в верхней части страницы.

    Снимок экрана: кнопка

  2. Откроется страница правил подавления со всеми правилами для выбранных подписок.

    Снимок экрана: страница правил подавления, где можно просмотреть правила подавления и создать новые.

  3. Чтобы изменить одно правило, откройте три точки (...) в конце правила и нажмите кнопку "Изменить".

  4. Измените сведения о правиле и нажмите кнопку "Применить".

Чтобы удалить правило, используйте одно и то же меню точек и нажмите кнопку "Удалить".

Создание правил подавления и управление ими с помощью API

Вы можете создавать, просматривать или удалять правила подавления оповещений с помощью Defender для облака REST API.

Ниже представлены соответствующие методы HTTP для правил подавления в REST API.

  • PUT: создание или обновление правила подавления в указанной подписке.

  • GET.

    • Перечисление всех правил, настроенных для указанной подписки. Этот метод возвращает массив применимых правил.
    • Получение сведений о конкретном правиле для указанной подписки. Этот метод возвращает одно правило подавления.
    • Имитация работы правила подавления все еще на этапе проектирования. Этот вызов определяет, какие из существующих оповещений были бы закрыты, если бы правило было активным.

  • DELETE: удаляет существующее правило (но не изменяет состояние оповещений, уже отклоненных им).

Дополнительные сведения и примеры использования см. в документации по API.

Следующий шаг

В этой статье описаны правила подавления в Microsoft Defender для облака, которые автоматически закрывают нежелательные оповещения.

Дополнительные сведения о оповещениях системы безопасности, созданных Defender для облака.