Menekan pemberitahuan dari Microsoft Defender untuk Cloud

Halaman ini menjelaskan cara menggunakan aturan supresi pemberitahuan untuk menutup positif palsu atau pemberitahuan keamanan lain yang tidak diinginkan dari Defender untuk Cloud.

Ketersediaan

Aspek Detail
Status rilis: Ketersediaan umum (GA)
Harga: Gratis
(Sebagian besar pemberitahuan keamanan hanya tersedia dengan fitur keamanan yang disempurnakan)
Peran dan izin akses yang diperlukan: Admin keamanan dan Pemilik dapat membuat/menghapus aturan.
Pembaca keamanan dan Pembaca dapat menampilkan aturan.
Cloud: Cloud komersial
Nasional (Azure Government, Azure Tiongkok)

Apa itu aturan supresi?

Berbagai paket Microsoft Defender mendeteksi ancaman di area mana pun di lingkungan Anda dan menghasilkan pemberitahuan keamanan.

Jika pemberitahuan tunggal tidak menarik atau relevan, Anda dapat mematikannya secara manual. Atau, gunakan fitur aturan supresi untuk mematikan pemberitahuan serupa secara otomatis di masa depan. Biasanya, aturan supresi digunakan untuk:

  • Menutup pemberitahuan yang telah Anda identifikasi sebagai positif palsu

  • Menutup pemberitahuan yang dipicu terlalu sering agar berguna

Aturan supresi Anda menentukan kriteria pemberitahuan yang akan dimatikan secara otomatis.

Perhatian

Menekan pemberitahuan keamanan akan mengurangi efektivitas perlindungan ancaman dari Defender untuk Cloud. Anda harus memeriksa dampak potensial dari setiap aturan penindasan dengan saksama, dan memantaunya dari waktu ke waktu.

Create alert suppression rule.

Membuat aturan supresi

Ada beberapa cara membuat aturan untuk menutup pemberitahuan keamanan yang tidak diinginkan:

  • Untuk menutup pemberitahuan di tingkat grup manajemen, gunakan Azure Policy
  • Untuk menutup pemberitahuan di tingkat langganan, Anda dapat menggunakan portal Azure atau REST API, seperti yang dijelaskan di bawah ini

Catatan

Aturan penekanan tidak berfungsi secara retroaktif - aturan ini hanya akan menekan peringatan yang dipicu setelah aturan tersebut dibuat. Selain itu, jika jenis peringatan tertentu belum pernah dihasilkan pada langganan tertentu, peringatan di masa mendatang dari jenis tersebut tidak akan ditekan. Agar aturan menekan peringatan pada langganan tertentu, jenis peringatan tersebut harus dipicu setidaknya satu kali sebelum aturan dibuat.

Untuk membuat aturan secara langsung di portal Azure:

  1. Dari halaman pemberitahuan keamanan Defender untuk Cloud:

    • Pilih pemberitahuan tertentu yang tidak ingin Anda lihat lagi, dan dari panel detail, pilih Ambil tindakan.

    • Atau, pilih tautan aturan supresi di bagian atas halaman, dan dari halaman aturan supresi, pilih Buat aturan supresi baru:

      Create new suppression rule** button.

  2. Di panel aturan supresi baru, masukkan detail aturan baru Anda.

    • Aturan Anda dapat mematikan pemberitahuan di semua sumber daya sehingga Anda tidak akan mendapatkan pemberitahuan apa pun seperti ini di masa depan.
    • Aturan Anda dapat mematikan pemberitahuan pada kriteria tertentu - ketika berkaitan dengan alamat IP tertentu, nama proses, akun pengguna, sumber daya Azure, atau lokasi.

    Tip

    Jika Anda membuka halaman aturan baru dari pemberitahuan tertentu, pemberitahuan dan langganan akan dikonfigurasi secara otomatis di aturan baru Anda. Jika Anda menggunakan link Buat aturan supresi baru, langganan yang dipilih akan cocok dengan filter saat ini di portal.

    Suppression rule creation pane.

  3. Masukkan detail aturan:

    • Nama - Nama untuk aturan. Nama aturan harus diawali dengan huruf atau angka, antara 2 hingga 50 karakter, dan tidak boleh berisi simbol selain tanda hubung (-) atau garis bawah (_).
    • Status - Diaktifkan atau dinonaktifkan.
    • Alasan - Pilih salah satu alasan bawaan atau 'lainnya' jika oilihan Anda tidak ada.
    • Kedaluwarsa - Tanggal dan waktu berakhirnya aturan. Aturan dapat berjalan hingga enam bulan.
  4. Secara opsional, uji aturan dengan menggunakan tombol Simulasikan untuk melihat berapa banyak pemberitahuan yang akan dimatikan jika aturan ini telah aktif.

  5. Simpan aturan.

Mengedit aturan supresi

Untuk mengedit aturan yang telah dibuat, gunakan halaman aturan supresi.

  1. Dari halaman pemberitahuan keamanan Defender untuk Cloud, pilih tautan aturan supresi di bagian atas halaman.

  2. Halaman aturan supresi terbuka dengan semua aturan untuk langganan terpilih.

    Suppression rules list.

  3. Untuk mengedit satu aturan, buka menu elipsis (...) untuk aturan dan pilih Edit.

  4. Buat perubahan yang diperlukan, lalu pilih Terapkan.

Menghapus aturan supresi

Untuk menghapus satu atau beberapa aturan yang telah dibuat, gunakan halaman aturan supresi.

  1. Dari halaman pemberitahuan keamanan Defender untuk Cloud, pilih tautan aturan supresi di bagian atas halaman.
  2. Halaman aturan supresi terbuka dengan semua aturan untuk langganan terpilih.
  3. Untuk menghapus satu aturan, buka menu elipsis (...) untuk aturan dan pilih Hapus.
  4. Untuk menghapus beberapa aturan, pilih kotak centang untuk memilih aturan yang akan dihapus, lalu pilih Hapus. Deleting one or more suppression rules.

Membuat dan mengelola aturan supresi dengan API

Anda dapat membuat, menampilkan, atau menghapus aturan supresi pemberitahuan melalui REST API Defender untuk Cloud.

Metode HTTP yang relevan untuk aturan supresi di REST API adalah:

  • PUT: Untuk membuat atau memperbarui aturan supresi dalam langganan tertentu.

  • GET:

    • Untuk mencantumkan semua aturan yang dikonfigurasi bagi langganan tertentu. Metode ini menghasilkan array aturan yang berlaku.

    • Untuk mendapatkan detail aturan tertentu pada langganan tertentu. Metode ini menghasilkan satu aturan supresi.

    • Untuk mensimulasikan dampak aturan supresi yang masih dalam tahap desain. Panggilan ini mengidentifikasi pemberitahuan yang ada dan akan dimatikan jika aturan telah aktif.

  • DELETE: Menghapus aturan yang ada (tetapi tidak mengubah status pemberitahuan yang sudah dimatikan olehnya).

Untuk detail lengkap dan contoh penggunaan, lihat Dokumentasi API.

Langkah berikutnya

Artikel ini menjelaskan aturan supresi di Defender untuk Cloud yang otomatis mematikan pemberitahuan yang tidak diinginkan.

Untuk informasi selengkapnya tentang pemberitahuan keamanan, lihat halaman berikut ini: