Pomijanie alertów z usługi Microsoft Defender dla Chmury

  • Artykuł

Na tej stronie wyjaśniono, jak można użyć reguł pomijania alertów w celu pomijania wyników fałszywie dodatnich lub innych niepożądanych alertów zabezpieczeń z Defender dla Chmury.

Dostępność

Aspekt Szczegóły
Stan wydania: Ogólna dostępność
Wymagane role i uprawnienia: Administrator zabezpieczeń i właściciel mogą tworzyć/usuwać reguły.
Czytelnik zabezpieczeń i Czytelnik mogą wyświetlać reguły.
Chmury: Chmury komercyjne
National (Azure Government, Microsoft Azure obsługiwane przez firmę 21Vianet)

Co to są reguły pomijania?

Usługa Microsoft Defender planuje wykrywać zagrożenia w środowisku i generować alerty zabezpieczeń. Jeśli pojedynczy alert nie jest interesujący lub odpowiedni, możesz go ręcznie odrzucić. Reguły pomijania umożliwiają automatyczne odrzucanie podobnych alertów w przyszłości.

Podobnie jak w przypadku identyfikowania wiadomości e-mail jako spamu, chcesz okresowo przeglądać pominięte alerty, aby upewnić się, że nie brakuje żadnych rzeczywistych zagrożeń.

Oto kilka przykładów używania reguły pomijania:

  • Pomijanie alertów zidentyfikowanych jako fałszywie dodatnie
  • Pomijanie alertów, które są wyzwalane zbyt często, aby były przydatne

Utwórz regułę pomijania alertów.

Tworzenie reguły pomijania

Reguły pomijania można stosować do grup zarządzania lub subskrypcji.

  • Aby pominąć alerty dla grupy zarządzania, użyj usługi Azure Policy.
  • Aby pominąć alerty dotyczące subskrypcji, użyj witryny Azure Portal lub interfejsu API REST.

Typy alertów, które nigdy nie zostały wyzwolone w subskrypcji lub grupie zarządzania przed utworzeniem reguły, nie zostaną pominięte.

Aby utworzyć regułę dla określonego alertu w witrynie Azure Portal:

  1. Na stronie alertów zabezpieczeń Defender dla Chmury wybierz alert, który chcesz pominąć.

  2. W okienku szczegółów wybierz pozycję Podejmij akcję.

  3. W sekcji Pomijanie podobnych alertów na karcie Wykonaj akcję wybierz pozycję Utwórz regułę pomijania.

  4. W okienku Nowa reguła pomijania wprowadź szczegóły nowej reguły.

    • Jednostki — zasoby, do których ma zastosowanie reguła. Można określić pojedynczy zasób, wiele zasobów lub zasobów, które zawierają częściowy identyfikator zasobu. Jeśli nie określisz żadnych zasobów, reguła ma zastosowanie do wszystkich zasobów w subskrypcji.
    • Name — nazwa reguły. Nazwy reguł muszą zaczynać się literą lub cyfrą i mieć od 2 do 50 znaków oraz nie mogą zawierać symboli innych niż kreski (-) i podkreślenia (_).
    • Stan — włączone lub wyłączone.
    • Przyczyna — wybierz jedną z wbudowanych przyczyn lub "innych", aby określić własną przyczynę w komentarzu.
    • Data wygaśnięcia — data i godzina zakończenia reguły. Reguły mogą być uruchamiane bez żadnego limitu czasu określonego w dacie wygaśnięcia.

  5. Wybierz pozycję Symulowaj , aby wyświetlić liczbę wcześniej odebranych alertów, które zostałyby odrzucone, jeśli reguła była aktywna.

  6. Zapisz regułę.

Możesz również wybrać przycisk Reguły pomijania na stronie Alerty zabezpieczeń i wybrać pozycję Utwórz regułę pomijania, aby wprowadzić szczegóły nowej reguły.

Zrzut ekranu przedstawiający przycisk Utwórz regułę pomijania na stronie Reguły pomijania.

Uwaga

W przypadku niektórych alertów reguły pomijania nie mają zastosowania dla niektórych jednostek. Jeśli reguła jest niedostępna, na końcu procesu tworzenia reguły pomijania zostanie wyświetlony komunikat.

Edytowanie reguły pomijania

Aby edytować regułę utworzoną na stronie reguł pomijania:

  1. Na stronie alertów zabezpieczeń Defender dla Chmury wybierz pozycję Reguły pomijania w górnej części strony.

    Zrzut ekranu przedstawiający przycisk reguły pomijania na stronie Alerty zabezpieczeń.

  2. Zostanie otwarta strona Reguł pomijania ze wszystkimi regułami dla wybranych subskrypcji.

    Zrzut ekranu przedstawiający stronę Reguły pomijania, na której można przejrzeć reguły pomijania i utworzyć nowe.

  3. Aby edytować jedną regułę, otwórz trzy kropki (...) na końcu reguły i wybierz pozycję Edytuj.

  4. Zmień szczegóły reguły i wybierz pozycję Zastosuj.

Aby usunąć regułę, użyj tego samego menu z trzema kropkami i wybierz pozycję Usuń.

Tworzenie reguł pomijania i zarządzanie nimi za pomocą interfejsu API

Reguły pomijania alertów można tworzyć, wyświetlać lub usuwać przy użyciu interfejsu API REST Defender dla Chmury.

Odpowiednie metody HTTP dla reguł pomijania w interfejsie API REST to:

  • PUT: Aby utworzyć lub zaktualizować regułę pomijania w określonej subskrypcji.

  • GET:

    • Aby wyświetlić listę wszystkich reguł skonfigurowanych dla określonej subskrypcji. Ta metoda zwraca tablicę odpowiednich reguł.
    • Aby uzyskać szczegółowe informacje o określonej regule dla określonej subskrypcji. Ta metoda zwraca jedną regułę pomijania.
    • Aby zasymulować wpływ reguły pomijania nadal w fazie projektowania. To wywołanie określa, które z istniejących alertów zostałyby odrzucone, gdyby reguła była aktywna.

  • DELETE: Usuwa istniejącą regułę (ale nie zmienia stanu alertów, które zostały już odrzucone).

Aby uzyskać szczegółowe informacje i przykłady użycia, zobacz dokumentację interfejsu API.

Następny krok

W tym artykule opisano reguły pomijania w Microsoft Defender dla Chmury, które automatycznie odrzucają niepożądane alerty.

Dowiedz się więcej o alertach zabezpieczeń generowanych przez Defender dla Chmury.