隱藏適用於雲端的 Microsoft Defender 警示

此頁面說明如何使用警示歸並規則來隱藏來自 適用於雲端的 Defender 的誤判或其他垃圾安全性警示。

可用性

層面	詳細資料
版本狀態：	公開上市 (GA)
必要的角色和權限：	安全性系統管理員 和 擁有者 可以建立/刪除規則。 安全性讀取器和讀取者可以檢視規則。
雲端：	商業雲端 國家 (Azure Government、由 21Vianet 營運的 Microsoft Azure)

什麼是歸並規則？

Microsoft Defender 方案會偵測環境中的威脅，併產生安全性警示。 當您覺得單一警示沒有興趣或不相關時，您可以手動將其關閉。 歸並規則可讓您在未來自動關閉類似的警示。

就像當您將電子郵件識別為垃圾郵件時，您想要定期檢閱隱藏的警示，以確保您不會遺漏任何真正的威脅。

如何使用歸並規則的一些範例如下：

• 隱藏已識別為誤判的警示
• 隱藏常觸發但無用的警示

建立歸併規則

您可以將歸並規則套用至管理群組或訂用帳戶。

• 若要隱藏管理群組的警示，請使用 Azure 原則。
• 若要隱藏訂用帳戶的警示，請使用 Azure 入口網站 或 REST API。

在建立規則之前從未在訂用帳戶或管理群組上觸發的警示類型將不會隱藏。

若要在 Azure 入口網站 中建立特定警示的規則：

1. 從 適用於雲端的 Defender 的安全性警示頁面，選取您想要隱藏的警示。

2. 從詳細數據窗格中，選取 [ 採取動作]。

3. 在 [採取動作] 索引標籤的 [ 隱藏類似警示 ] 區段中，選取 [ 建立隱藏規則]。

4. 在 [ 新增隱藏規則 ] 窗格中，輸入新規則的詳細數據。

   • 實體 - 規則適用的資源。 您可以指定包含部分資源識別碼的單一資源、多個資源或資源。 如果您未指定任何資源，規則會套用至訂用帳戶中的所有資源。
   • 名稱 - 規則的名稱。 規則名稱開頭必須為字母或數字，長度要介於 2 到 50 個字元之間，而且不得包含破折號 (-) 或底線 (_) 以外的符號。
   • 狀態 - 已啟用或停用。
   • Reason - 選取其中一個內建原因或 「其他」，以在批注中指定您自己的原因。
   • 到期日 - 規則的結束日期和時間。 規則可以在到期日設定的情況下執行，而沒有任何時間限制。

5. 您選取 [ 模擬 ] 以查看如果規則作用中，先前收到的警示數目將會關閉。

6. 儲存規則。

您也可以在 [安全性警示] 頁面中選取 [ 隱藏規則 ] 按鈕，然後選取 [ 建立歸並規則] 以輸入新規則 的詳細數據。

注意

對於某些警示，隱藏規則不適用於特定實體。 如果規則無法使用，則會在建立歸並規則程序的結尾顯示一則訊息。

編輯隱藏規則

若要編輯您從隱藏規則頁面建立的規則：

1. 從 適用於雲端的 Defender 的安全性警示頁面，選取頁面頂端的 [隱藏規則]。

   

2. 隱藏規則頁面隨即開啟，其中包含所選訂用帳戶的所有規則。

   

3. 若要編輯單一規則，請在規則結尾開啟三個點 （...），然後選取 [ 編輯]。

4. 變更規則的詳細數據，然後選取 [ 套用]。

若要刪除規則，請使用相同的三個點功能表，然後選取 [ 移除]。

使用 API 建立和管理歸並規則

您可以使用 適用於雲端的 Defender REST API 來建立、檢視或刪除警示歸並規則。

REST API 中隱藏規則的相關 HTTP 方法如下：

• PUT：若要在指定的訂用帳戶中建立或更新隱藏規則。

• GET：

  • 列出針對指定訂用帳戶設定的所有規則。 此方法會傳回適用規則的陣列。
  • 若要取得指定訂用帳戶上特定規則的詳細數據。 此方法會傳回一個歸並規則。
  • 模擬仍然在設計階段中隱藏規則的影響。 此呼叫會識別如果規則作用中，哪些現有警示會關閉。

• DELETE：刪除現有的規則（但不會變更警示已由它關閉的狀態）。

如需詳細數據和使用範例，請參閱 API 檔。

後續步驟

本文說明自動關閉垃圾警示之 適用於雲端的 Microsoft Defender 中的歸併規則。

深入瞭解 適用於雲端的 Defender 所產生的安全性警示。