Waarschuwingen van Microsoft Defender for Cloud onderdrukken

  • Artikel

Op deze pagina wordt uitgelegd hoe u regels voor het onderdrukken van waarschuwingen kunt gebruiken om fout-positieven of andere ongewenste beveiligingswaarschuwingen van Defender voor Cloud te onderdrukken.

Beschikbaarheid

Aspect DETAILS
Releasestatus: Algemene beschikbaarheid (GA)
Vereiste rollen en machtigingen: Beveiligingsbeheerder en eigenaar kunnen regels maken/verwijderen.
Beveiligingslezer en Lezer kunnen regels bekijken.
Clouds: Commerciële clouds
National (Azure Government, Microsoft Azure beheerd door 21Vianet)

Wat zijn onderdrukkingsregels?

De Microsoft Defender-abonnementen detecteren bedreigingen in uw omgeving en genereren beveiligingswaarschuwingen. Wanneer één waarschuwing niet interessant of relevant is, kunt u deze handmatig sluiten. Met onderdrukkingsregels kunt u in de toekomst soortgelijke waarschuwingen automatisch negeren.

Net zoals wanneer u een e-mailbericht identificeert als spam, wilt u uw onderdrukte waarschuwingen regelmatig controleren om ervoor te zorgen dat u geen echte bedreigingen mist.

Enkele voorbeelden van het gebruik van onderdrukkingsregel zijn:

  • Waarschuwingen onderdrukken die u hebt geïdentificeerd als fout-positieven
  • Waarschuwingen onderdrukken die te vaak worden geactiveerd om nuttig te zijn

Regel voor waarschuwingsonderdrukking maken.

Onderdrukkingsregel maken

U kunt onderdrukkingsregels toepassen op beheergroepen of op abonnementen.

  • Als u waarschuwingen voor een beheergroep wilt onderdrukken, gebruikt u Azure Policy.
  • Als u waarschuwingen voor abonnementen wilt onderdrukken, gebruikt u Azure Portal of de REST API.

Waarschuwingstypen die nooit zijn geactiveerd voor een abonnement of beheergroep voordat de regel werd gemaakt, worden niet onderdrukt.

Een regel maken voor een specifieke waarschuwing in Azure Portal:

  1. Selecteer op de pagina beveiligingswaarschuwingen van Defender voor Cloud de waarschuwing die u wilt onderdrukken.

  2. Selecteer Actie ondernemen in het detailvenster.

  3. Selecteer in de sectie Vergelijkbare waarschuwingen onderdrukken van het tabblad Actie ondernemen de optie Onderdrukkingsregel maken.

  4. Voer in het deelvenster Nieuwe onderdrukkingsregel de details van de nieuwe regel in.

    • Entiteiten : de resources waarop de regel van toepassing is. U kunt één resource, meerdere resources of resources opgeven die een gedeeltelijke resource-id bevatten. Als u geen resources opgeeft, is de regel van toepassing op alle resources in het abonnement.
    • Naam : een naam voor de regel. Regelnamen moeten beginnen met een letter of een cijfer, tussen 2 en 50 tekens lang zijn en mogen geen symbolen bevatten behalve streepjes (-) of onderstrepingstekens (_).
    • Status : ingeschakeld of uitgeschakeld.
    • Reden : selecteer een van de ingebouwde redenen of 'ander' om uw eigen reden op te geven in de opmerking.
    • Vervaldatum: een einddatum en -tijd voor de regel. Regels kunnen zonder tijdslimiet worden uitgevoerd, zoals ingesteld in vervaldatum.

  5. U selecteert Simuleren om het aantal eerder ontvangen waarschuwingen te zien dat zou zijn gesloten als de regel actief was.

  6. Sla de regel op.

U kunt ook de knop Onderdrukkingsregels selecteren op de pagina Beveiligingswaarschuwingen en onderdrukkingsregel maken selecteren om de details van uw nieuwe regel in te voeren.

Schermopname van de knop Onderdrukkingsregel maken op de pagina Onderdrukkingsregels.

Notitie

Voor sommige waarschuwingen zijn onderdrukkingsregels niet van toepassing op bepaalde entiteiten. Als de regel niet beschikbaar is, wordt een bericht weergegeven aan het einde van het onderdrukkingsregelproces maken.

Een onderdrukkingsregel bewerken

Ga als volgt te werk om een regel te bewerken die u hebt gemaakt op basis van de pagina onderdrukkingsregels:

  1. Selecteer onderdrukkingsregels boven aan de pagina van Defender voor Cloud beveiligingswaarschuwingen.

    Schermopname van de knop Onderdrukkingsregel op de pagina Beveiligingswaarschuwingen.

  2. De pagina onderdrukkingsregels wordt geopend met alle regels voor de geselecteerde abonnementen.

    Schermopname van de pagina Onderdrukkingsregels, waar u de onderdrukkingsregels kunt bekijken en nieuwe regels kunt maken.

  3. Als u één regel wilt bewerken, opent u de drie puntjes (...) aan het einde van de regel en selecteert u Bewerken.

  4. Wijzig de details van de regel en selecteer Toepassen.

Als u een regel wilt verwijderen, gebruikt u hetzelfde menu met drie puntjes en selecteert u Verwijderen.

Onderdrukkingsregels maken en beheren met de API

U kunt regels voor waarschuwingsonderdrukking maken, weergeven of verwijderen met behulp van de Defender voor Cloud REST API.

De relevante HTTP-methoden voor onderdrukkingsregels in de REST API zijn:

  • PUT: Een onderdrukkingsregel maken of bijwerken in een opgegeven abonnement.

  • GET:

    • Alle regels weergeven die zijn geconfigureerd voor een opgegeven abonnement. Deze methode retourneert een matrix van de toepasselijke regels.
    • De details van een specifieke regel voor een opgegeven abonnement ophalen. Deze methode retourneert één onderdrukkingsregel.
    • Om de impact van een onderdrukkingsregel nog steeds in de ontwerpfase te simuleren. Met deze aanroep wordt aangegeven welke van uw bestaande waarschuwingen zou zijn gesloten als de regel actief was.

  • DELETE: Hiermee verwijdert u een bestaande regel (maar wijzigt de status van waarschuwingen niet die er al door zijn verwijderd).

Zie de API-documentatie voor meer informatie en gebruiksvoorbeelden.

Volgende stap

In dit artikel worden de onderdrukkingsregels in Microsoft Defender voor Cloud beschreven die ongewenste waarschuwingen automatisch negeren.

Meer informatie over beveiligingswaarschuwingen die worden gegenereerd door Defender voor Cloud.