Unterdrücken von Warnungen von Defender für Cloud

  • 7 Minuten

Die Defender für Cloud-Pläne erkennen Bedrohungen in jedem Bereich Ihrer Umgebung und erzeugen Sicherheitswarnungen. Wenn eine einzelne Warnung nicht interessant oder relevant ist, können Sie sie manuell verwerfen. Alternativ können Sie die Funktion „Unterdrückungsregeln“ verwenden, um ähnliche Warnungen zukünftig automatisch zu verwerfen. In der Regel verwenden Sie eine Unterdrückungsregel in folgenden Fällen:

  • Unterdrücken von Warnungen, die Sie als falsch positiv identifiziert haben

  • Unterdrücken von Warnungen, die zu oft ausgelöst werden und daher nicht nützlich sind

Mit Unterdrückungsregeln definieren Sie die Kriterien, nach denen Warnungen automatisch verworfen werden sollen. Mit Unterdrückungsregeln können nur Warnungen verworfen werden, die für die ausgewählten Abonnements bereits ausgelöst wurden.

Erstellen einer Unterdrückungsregel

So erstellen Sie eine Regel direkt im Azure-Portal

Auf der Seite mit den Sicherheitswarnungen von Microsoft Defender für Cloud:

  • Suchen Sie die spezifische Warnung, die nicht mehr angezeigt werden soll, und wählen Sie im Menü mit den Auslassungspunkten (...) für die Warnung die Option Create suppression rule (Unterdrückungsregel erstellen) aus:

oder

  • Wählen Sie oben auf der Seite den Link „Unterdrückungsregeln“ und dann auf der Seite „Unterdrückungsregeln“ die Option „Neue Unterdrückungsregel erstellen“ aus:

Geben Sie im Bereich „Neue Unterdrückungsregel (Vorschau)“ Details zur neuen Regel ein.

  • Mit der Regel kann die Warnung für alle Ressourcen verworfen werden, sodass zukünftig keine derartige Regel mehr angezeigt wird.

  • Mit der Regel kann die Warnung nach bestimmten Kriterien verworfen werden, z. B. wenn die Warnung sich auf eine bestimmte IP-Adresse, einen Prozessnamen, ein Benutzerkonto, eine Azure-Ressource oder einen Standort bezieht.

Screenshot of Defender for Cloud new alert suppression rule pane.

Geben Sie Details zur Regel ein:

  • Name: ein Name für die Regel. Regelnamen müssen mit einem Buchstaben oder einer Ziffer beginnen, müssen zwischen 2 und 50 Zeichen lang sein und dürfen keine anderen Symbole als Bindestriche (-) oder Unterstriche (_) enthalten.

  • Status: „Aktiviert“ oder „Deaktiviert“.

  • Grund: Wählen Sie einen der vorgegebenen Gründe oder „Sonstiges“ aus, wenn die Gründe für Ihre Anforderungen nicht geeignet sind.

  • Ablaufdatum: ein Ablaufdatum und eine Ablaufzeit für die Regel. Regeln können bis zu sechs Monate lang gelten.

Optional können Sie die Regel über die Schaltfläche Simulate (Simulieren) testen, um zu sehen, wie viele Warnungen verworfen werden, wenn die Regel aktiv ist.

Speichern Sie die Regel.

Anzeigen unterdrückter Warnungen

Warnungen, die den aktivierten Unterdrückungsregeln entsprechen, werden zwar weiterhin generiert, aber ihr Status lautet „Geschlossen“. Sie können den Status im Azure-Portal anzeigen oder auf andere Art auf Ihre Defender für Cloud-Sicherheitswarnungen zugreifen.

Verwenden Sie die Filterfunktion von Defender für Cloud, um Warnungen anzuzeigen, die aufgrund Ihrer Regeln abgelehnt wurden.

  • Öffnen Sie auf der Seite mit den Defender für Cloud-Sicherheitswarnungen die Filteroptionen, und wählen Sie Abgelehnt aus.