Eliminare avvisi da Microsoft Defender for Cloud

  • Articolo

Questa pagina illustra come usare le regole di eliminazione degli avvisi per eliminare i falsi positivi o altri avvisi di sicurezza indesiderati da Defender per il cloud.

Disponibilità

Aspetto Dettagli
Stato della versione: Disponibilità generale (GA)
Autorizzazioni e ruoli obbligatori: amministratore della sicurezza e proprietario possono creare/eliminare regole.
amministratore che legge i dati di sicurezza e lettore possono visualizzare le regole.
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Microsoft Azure gestito da 21Vianet)

Che cosa sono le regole di eliminazione?

I piani di Microsoft Defender rilevano le minacce nell'ambiente e generano avvisi di sicurezza. Quando un singolo avviso non è interessante o pertinente, è possibile ignorarlo manualmente. Le regole di eliminazione consentono di ignorare automaticamente avvisi simili in futuro.

Proprio come quando si identifica un messaggio di posta elettronica come posta indesiderata, si vuole esaminare periodicamente gli avvisi eliminati per assicurarsi che non manchi alcuna minaccia reale.

Ecco alcuni esempi di come usare la regola di eliminazione:

  • Eliminare gli avvisi identificati come falsi positivi
  • Eliminare gli avvisi che vengono attivati troppo spesso per essere utili

Creare una regola di eliminazione degli avvisi.

Creare una regola di eliminazione

È possibile applicare regole di eliminazione ai gruppi di gestione o alle sottoscrizioni.

  • Per eliminare gli avvisi per un gruppo di gestione, usare Criteri di Azure.
  • Per eliminare gli avvisi per le sottoscrizioni, usare il portale di Azure o l'API REST.

I tipi di avviso che non sono mai stati attivati in una sottoscrizione o in un gruppo di gestione prima della creazione della regola non verranno eliminati.

Per creare una regola per un avviso specifico nel portale di Azure:

  1. Nella pagina degli avvisi di sicurezza di Defender per il cloud selezionare l'avviso da eliminare.

  2. Nel riquadro dei dettagli selezionare Azione.

  3. Nella sezione Elimina avvisi simili della scheda Azione di esecuzione selezionare Crea regola di eliminazione.

  4. Nel riquadro Nuova regola di eliminazione immettere i dettagli della nuova regola.

    • Entità: le risorse a cui si applica la regola. È possibile specificare una singola risorsa, più risorse o risorse che contengono un ID risorsa parziale. Se non si specificano risorse, la regola si applica a tutte le risorse nella sottoscrizione.
    • Nome: nome della regola. I nomi delle regole devono iniziare con una lettera o un numero, avere una lunghezza compresa tra 2 e 50 caratteri e non possono contenere simboli ad eccezione di trattini ( - ) o caratteri di sottolineatura (_).
    • Stato: può essere Abilitato o Disabilitato.
    • Motivo : selezionare uno dei motivi predefiniti o "altro" per specificare il proprio motivo nel commento.
    • Data scadenza: data e ora di fine della regola. Le regole possono essere eseguite per senza alcun limite di tempo impostato in Data di scadenza.

  5. Selezionare Simula per visualizzare il numero di avvisi ricevuti in precedenza che sarebbero stati ignorati se la regola fosse attiva.

  6. Salva la regola.

È anche possibile selezionare il pulsante Regole di eliminazione nella pagina Avvisi di sicurezza e selezionare Crea regola di eliminazione per immettere i dettagli della nuova regola.

Screenshot del pulsante Crea regola di eliminazione nella pagina Regole di eliminazione.

Nota

Per alcuni avvisi, le regole di eliminazione non sono applicabili per determinate entità. Se la regola non è disponibile, verrà visualizzato un messaggio alla fine del processo Crea una regola di eliminazione.

Modificare una regola di eliminazione

Per modificare una regola creata dalla pagina delle regole di eliminazione:

  1. Nella pagina avvisi di sicurezza di Defender per il cloud selezionare Regole di eliminazione nella parte superiore della pagina.

    Screenshot che mostra il pulsante della regola di eliminazione nella pagina Avvisi di sicurezza.

  2. Viene visualizzata la pagina delle regole di eliminazione con tutte le regole per le sottoscrizioni selezionate.

    Screenshot che mostra la pagina Regole di eliminazione in cui è possibile esaminare le regole di eliminazione e crearne di nuove.

  3. Per modificare una singola regola, aprire i tre punti (...) alla fine della regola e selezionare Modifica.

  4. Modificare i dettagli della regola e selezionare Applica.

Per eliminare una regola, usare lo stesso menu a tre puntini e selezionare Rimuovi.

Creare e gestire regole di eliminazione con l'API

È possibile creare, visualizzare o eliminare regole di eliminazione degli avvisi usando l'API REST Defender per il cloud.

I metodi HTTP pertinenti per le regole di eliminazione nell'API REST sono:

  • PUT: per creare o aggiornare una regola di eliminazione in una sottoscrizione specificata.

  • GET:

    • Per elencare tutte le regole configurate per una sottoscrizione specificata. Questo metodo restituisce una matrice delle regole applicabili.
    • Per ottenere i dettagli di una regola specifica in una sottoscrizione specificata. Questo metodo restituisce una regola di eliminazione.
    • Per simulare l'impatto di una regola di eliminazione ancora nella fase di progettazione. Questa chiamata identifica gli avvisi esistenti che verrebbero ignorati se la regola fosse attiva.

  • DELETE: elimina una regola esistente, ma non modifica lo stato degli avvisi già ignorati.

Per informazioni dettagliate ed esempi di utilizzo, vedere la documentazione dell'API.

Passaggio successivo

Questo articolo descrive le regole di eliminazione in Microsoft Defender per il cloud che ignorano automaticamente gli avvisi indesiderati.

Altre informazioni sugli avvisi di sicurezza generati da Defender per il cloud.