Defender for Cloud からのアラートを抑制する
Defender for Cloud プランを使って、環境内のあらゆる領域の脅威を検出し、セキュリティ アラートを生成することができます。 1 つのアラートが特に注意する必要がないか無関係である場合は、手動で無視することもできます。 そうする代わりに、抑制ルール機能を使用して、今後は同様のアラートを自動的に無視することもできます。 通常は、次のような場合に抑制ルールを使用します。
ユーザーが擬陽性と判断したアラートを抑制する
あまりにも頻繁にトリガーされるため有用ではないアラートを抑制する
抑制ルールは、アラートが自動的に無視される条件を定義します。 抑制ルールで無視できるのは、選択したサブスクリプションで既にトリガーされたアラートのみです。
抑制ルールを作成する
Azure portal で直接ルールを作成するには:
[Defender for Cloud のセキュリティ警告] ページ:
- 今後表示される必要のない特定のアラートを見つけて、そのアラートの省略記号メニュー (...) から [Create suppression rule](抑制ルールの作成) を選択します。
OR
- ページの上部にある [抑制ルール] リンクを選択し、[抑制ルール] ページで [新しい抑制ルールの作成] を選択します。
[新しい抑制ルール] ペインで、作成した新しいルールの詳細を入力します。
ルールでは、すべてのリソースでそのアラートを無視して、今後はこれと同様のアラートが一切表示されないようにすることができます。
ルールでは、アラートが特定の IP アドレス、プロセス名、ユーザー アカウント、Azure リソース、または場所に関係する場合など、特定の条件でそのアラートを無視することもできます。
ルールの詳細を入力します。
名前 - ルールの名前。 ルール名は、文字または数字で始まり、2 から 50 文字で指定する必要があります。ダッシュ (-) とアンダースコア (_) 以外の記号は使用できません。
状態 - 有効または無効。
理由 - あらかじめ登録された理由のいずれかを選択するか、合うものがない場合は [その他] を選択します。
有効期限 - そのルールの終了日時。 ルールは最大 6 か月間実行できます。
必要に応じて、 [シミュレート] ボタンを使用してルールをテストし、そのルールがアクティブだったなら、どれほどのアラートが無視されていたかを確認することができます。
ルールを保存します。
抑制されたアラートを表示する
有効にした抑制ルールと一致するアラートは、引き続き生成されますが、その状態は "無視" に設定されます。 Azure portal の状態や、Defender for Cloud のセキュリティ アラートにどうやってアクセスするかがわかります。
Defender for Cloud のフィルターを使用して、ルールによって棄却されたアラートを表示します。
- Defender for Cloud のセキュリティ アラート ページから、フィルター オプションを開き、[却下] を選択します。