Undertrycka aviseringar från Microsoft Defender för molnet

  • Artikel

Den här sidan förklarar hur du kan använda regler för undertryckning av aviseringar för att förhindra falska positiva identifieringar eller andra oönskade säkerhetsaviseringar från Defender för molnet.

Tillgänglighet

Aspekt Details
Versionstillstånd: Allmän tillgänglighet (GA)
Nödvändiga roller och behörigheter: Säkerhetsadministratör och ägare kan skapa/ta bort regler.
Säkerhetsläsare och läsare kan visa regler.
Moln: Kommersiella moln
National (Azure Government, Microsoft Azure drivs av 21Vianet)

Vad är regler för undertryckning?

Microsoft Defender planerar att identifiera hot i din miljö och generera säkerhetsaviseringar. När en enskild avisering inte är intressant eller relevant kan du stänga den manuellt. Med regler för undertryckning kan du automatiskt stänga liknande aviseringar i framtiden.

Precis som när du identifierar ett e-postmeddelande som skräppost vill du granska dina undertryckta aviseringar regelbundet för att se till att du inte saknar några verkliga hot.

Några exempel på hur du använder undertryckningsregeln är:

  • Ignorera aviseringar som du har identifierat som falska positiva identifieringar
  • Ignorera aviseringar som utlöses för ofta för att vara användbara

Skapa regel för aviseringsundertryckning.

Skapa undertryckningsregel

Du kan tillämpa regler för undertryckning på hanteringsgrupper eller prenumerationer.

  • Om du vill förhindra aviseringar för en hanteringsgrupp använder du Azure Policy.
  • Om du vill förhindra aviseringar för prenumerationer använder du Azure-portalen eller REST-API:et.

Aviseringstyper som aldrig utlöstes i en prenumeration eller hanteringsgrupp innan regeln skapades ignoreras inte.

Så här skapar du en regel för en specifik avisering i Azure-portalen:

  1. På sidan Defender för molnet säkerhetsaviseringar väljer du den avisering som du vill ignorera.

  2. I informationsfönstret väljer du Vidta åtgärd.

  3. I avsnittet Ignorera liknande aviseringar på fliken Vidta åtgärd väljer du Skapa undertryckningsregel.

  4. I fönstret Ny undertryckningsregel anger du information om den nya regeln.

    • Entiteter – de resurser som regeln gäller för. Du kan ange en enskild resurs, flera resurser eller resurser som innehåller ett partiellt resurs-ID. Om du inte anger några resurser gäller regeln för alla resurser i prenumerationen.
    • Namn – Ett namn på regeln. Regelnamn måste börja med en bokstav eller en siffra, innehålla mellan 2 och 50 tecken och de får inte innehålla några andra symboler än bindestreck (-) och understreck (_).
    • Tillstånd – Aktiverad eller inaktiverad.
    • Orsak – Välj någon av de inbyggda orsakerna eller "annan" för att ange din egen orsak i kommentaren.
    • Förfallodatum – Slutdatum och tid för regeln. Regler kan köras utan någon tidsgräns som anges i Förfallodatum.

  5. Du väljer Simulera för att se antalet tidigare mottagna aviseringar som skulle ha avvisats om regeln var aktiv.

  6. Spara regeln.

Du kan också välja knappen Regler för undertryckning på sidan Säkerhetsaviseringar och välja Skapa undertryckningsregel för att ange information om den nya regeln.

Skärmbild av knappen Skapa undertryckningsregel på sidan Regler för undertryckning.

Kommentar

För vissa aviseringar gäller inte undertryckningsregler för vissa entiteter. Om regeln inte är tillgänglig visas ett meddelande i slutet av processen Skapa en undertryckningsregel .

Redigera en undertryckningsregel

Så här redigerar du en regel som du har skapat från sidan regler för undertryckning:

  1. På sidan Defender för molnet säkerhetsaviseringar väljer du Undertryckningsregler överst på sidan.

    Skärmbild som visar knappen undertryckningsregel på sidan Säkerhetsaviseringar.

  2. Sidan regler för undertryckning öppnas med alla regler för de valda prenumerationerna.

    Skärmbild som visar sidan Regler för undertryckning där du kan granska undertryckningsreglerna och skapa nya.

  3. Om du vill redigera en enskild regel öppnar du de tre punkterna (...) i slutet av regeln och väljer Redigera.

  4. Ändra information om regeln och välj Tillämpa.

Om du vill ta bort en regel använder du samma meny med tre punkter och väljer Ta bort.

Skapa och hantera undertryckningsregler med API:et

Du kan skapa, visa eller ta bort regler för aviseringsundertryckning med hjälp av Defender för molnet REST API.

Relevanta HTTP-metoder för undertryckningsregler i REST-API:et är:

  • PUT: Skapa eller uppdatera en undertryckningsregel i en angiven prenumeration.

  • GET:

    • Om du vill visa en lista över alla regler som har konfigurerats för en angiven prenumeration. Den här metoden returnerar en matris med tillämpliga regler.
    • För att få information om en specifik regel för en angiven prenumeration. Den här metoden returnerar en undertryckningsregel.
    • Simulera effekten av en undertryckningsregel som fortfarande är i designfasen. Det här anropet identifierar vilken av dina befintliga aviseringar som skulle ha avvisats om regeln hade varit aktiv.

  • TA BORT: Tar bort en befintlig regel (men ändrar inte statusen för aviseringar som redan har avvisats av den).

Mer information och användningsexempel finns i API-dokumentationen.

Gå vidare

I den här artikeln beskrivs undertryckningsreglerna i Microsoft Defender för molnet som automatiskt avvisar oönskade aviseringar.

Läs mer om säkerhetsaviseringar som genereras av Defender för molnet.