Supprimer les alertes de Defender pour le cloud

Effectué

Les plans Defender pour le cloud détectent les menaces dans n’importe quelle zone de votre environnement et génèrent des alertes de sécurité. Quand une alerte n’est pas intéressante ni pertinente, il est possible de la masquer manuellement. Vous pouvez également utiliser la fonctionnalité de règles de suppression pour ignorer automatiquement les alertes similaires à l’avenir. En règle générale, une règle de suppression sert à :

  • supprimer des alertes identifiées comme faux positifs ;

  • supprimer des alertes déclenchées trop souvent pour être utiles.

Les règles de suppression définissent les critères en fonction desquels les alertes doivent être automatiquement ignorées. Les règles de suppression ne peuvent masquer que les alertes qui ont déjà été déclenchées sur les abonnements sélectionnés.

Créer une règle de suppression

Pour créer une règle directement sur le Portail Azure :

Sur la page des alertes de sécurité de Defender pour le cloud :

  • Recherchez l’alerte que vous ne voulez plus voir, puis sélectionnez Créer une règle de suppression dans le menu points de suspension (…) correspondant :

OR

  • Sélectionnez le lien Règles de suppression en haut de la page, puis sélectionnez Créer une règle de suppression dans la page des règles de suppression :

Dans le volet de nouvelle règle de suppression, entrez les détails de la nouvelle règle.

  • Votre règle peut ignorer l’alerte sur toutes les ressources ; vous ne recevrez alors plus aucune alerte de ce type.

  • Votre règle peut ignorer l'alerte selon des critères spécifiques, c’est-à-dire lorsqu’elle est associée à une adresse IP, un nom de processus, un compte d’utilisateur, une ressource Azure ou un emplacement spécifique.

Screenshot of Defender for Cloud new alert suppression rule pane.

Entrez les détails de la règle :

  • Nom : nom de la règle. Les noms de règles doivent commencer par une lettre ou un chiffre, comporter entre 2 et 50 caractères, et ne contenir aucun symbole autre que des tirets (-) ou des traits de soulignement (_).

  • État : activé ou désactivé.

  • Raison : sélectionnez l’une des raisons prédéfinies ou « Autre » si elles ne répondent pas à vos besoins.

  • Date d’expiration : date et heure de fin de la règle. Les règles peuvent s’exécuter pendant six mois maximum.

Si vous le souhaitez, testez la règle à l’aide du bouton Simuler pour voir combien d’alertes auraient été ignorées si cette règle avait été active.

Enregistrez la règle.

Afficher les alertes supprimées

Les alertes correspondant à vos règles de suppression activées sont toujours générées, mais leur état est défini sur ignoré. Vous pouvez voir l'état dans le portail Azure ou par le biais de l'accès à vos alertes de sécurité Defender pour le Cloud.

Utilisez le filtre de Defender pour le Cloud pour afficher les alertes qui ont été ignorées par vos règles.

  • Sur la page des alertes de sécurité de Defender pour le Cloud, ouvrez les options de filtre et sélectionnez Ignoré.