隱藏適用於雲端的 Microsoft Defender 警示

此頁面說明如何使用警示歸併規則，在適用於雲端的 Defender 內隱藏誤判為真或其他不必要的安全性警示。

可用性

層面	詳細資料
版本狀態：	公開上市 (GA)
必要的角色和權限：	安全性管理員和擁有者可以建立/刪除規則。 安全性讀取者和讀者可以檢視規則。
雲端：	商業雲端 國家 (Azure Government、由 21Vianet 營運的 Microsoft Azure)

什麼是歸併規則？

Microsoft Defender 計劃會偵測環境中的威脅並產生安全性警示。 當您覺得單一警示沒有興趣或不相關時，您可以手動將其關閉。 歸併規則可讓您在未來自動關閉類似警示。

就像您將電子郵件識別為垃圾郵件時，您想要定期檢閱隱藏的警示，以確保不會遺漏任何真正的威脅。

如何使用歸併規則的一些範例如下：

• 隱藏已識別為誤判的警示
• 隱藏常觸發但無用的警示

建立歸併規則

您可以將歸併規則套用至管理群組或訂用帳戶。

• 若要隱藏管理群組的警示，請使用 Azure 原則。
• 若要隱藏訂用帳戶的警示，請使用 Azure 入口網站或 REST API。

不會隱藏在建立規則之前從未在訂用帳戶或管理群組上觸發的警示類型。

若要在 Azure 入口網站中建立特定警示的規則：

1. 從適用於雲端的 Defender 安全性警示頁面，選取您想要隱藏的警示。

2. 從詳細資料窗格中，選取 [採取動作]。

3. 在 [採取動作] 索引標籤的 [隱藏類似警示] 區段中，選取 [建立歸併規則]。

4. 在 [新增歸併規則] 窗格中，輸入新規則的詳細資料。

   • 實體 - 規則適用的資源。 您可以指定單一資源、多項資源，或包含部分資源識別碼的資源。 如果您未指定任何資源，規則會套用至訂用帳戶中的所有資源。
   • 名稱 - 規則的名稱。 規則名稱開頭必須為字母或數字，長度要介於 2 到 50 個字元之間，而且不得包含破折號 (-) 或底線 (_) 以外的符號。
   • 狀態 - 啟用或停用。
   • 原因 - 選取其中一個內建原因或 「其他」，以在註解中指定您自己的原因。
   • 到期日 - 規則的結束日期和時間。 規則可以如到期日的設定執行，沒有任何時間限制。

5. 您可選取 [模擬] 以查看規則為作用中時會關閉的先前接收警示數目。

6. 儲存規則。

您也可以在 [安全性警示] 頁面中選取 [歸併規則] 按鈕，然後選取 [建立歸併規則] 以輸入新規則的詳細資料。

注意

對於某些警示，歸併規則不適用於特定實體。 如果規則無法使用，則會在 [建立歸併規則] 程序結束時顯示訊息。

編輯歸併規則

若要從 [歸併規則] 頁面編輯您已建立的規則：

1. 從適用於雲端的 Defender 的 [安全性警示] 頁面，選取頁面頂端的 [歸併規則]。

   

2. [歸併規則] 頁面隨即開啟，其中包含所選取訂用帳戶的所有規則。

   

3. 若要編輯單一規則，請開啟規則結尾的三個點 (...)，然後選取 [編輯]。

4. 變更規則的詳細資料，然後選取 [套用]。

若要刪除規則，請使用相同的三個點功能表，然後選取 [移除]。

使用 API 來建立及管理歸併規則

您可使用適用於雲端的 Defender 的 REST API 來建立、檢視或刪除警示歸併規則。

REST API 中歸併規則的相關 HTTP 方法為：

• PUT：在指定的訂用帳戶中建立或更新歸併規則。

• GET：

  • 列出針對所指定訂用帳戶設定的所有規則。 這個方法會傳回適用規則的陣列。
  • 取得指定訂用帳戶特定規則的詳細資料。 這個方法會傳回一個歸併規則。
  • 模擬歸併規則仍在設計階段的影響。 此呼叫會識別當規則已在使用中時，會關閉哪些現有警示。

• DELETE：刪除現有的規則 (但不會變更其已關閉的警示狀態)。

如需詳細資料和使用方式範例，請參閱 API 文件。

後續步驟

本文說明適用於雲端的 Microsoft Defender 中的歸併規則，其會自動關閉不必要的警示。

深入了解適用於雲端的 Defender 所產生的安全性警示。