Pomijanie alertów z Defender dla Chmury

  • 7 min

Plany Defender dla Chmury wykrywają zagrożenia w dowolnym obszarze środowiska i generują alerty zabezpieczeń. Jeśli pojedynczy alert nie jest interesujący lub odpowiedni, możesz go ręcznie odrzucić. Możesz też użyć funkcji reguł pomijania, aby automatycznie odrzucać podobne alerty w przyszłości. Zazwyczaj należy użyć reguły pomijania w celu:

  • Pomijanie alertów zidentyfikowanych jako fałszywie dodatnie

  • Pomijanie alertów, które są wyzwalane zbyt często, aby były przydatne

Reguły pomijania definiują kryteria automatycznego odrzucania alertów. Reguły pomijania mogą odrzucać tylko te alerty, które zostały wcześniej wyzwolone w wybranych subskrypcjach.

Tworzenie reguły pomijania

Aby utworzyć regułę bezpośrednio w witrynie Azure Portal:

Na stronie alertów zabezpieczeń Defender dla Chmury:

  • Znajdź określony alert, którego nie chcesz już wyświetlać, a w menu wielokropka (...) dla alertu wybierz pozycję Utwórz regułę pomijania:

LUB

  • wybierz link Reguły pomijania w górnej części strony, a na stronie reguły pomijania wybierz pozycję Utwórz nową regułę pomijania:

W okienku Nowa reguła pomijania wprowadź szczegóły nowej reguły.

  • Reguła może odrzucić alert dotyczący wszystkich zasobów, aby w przyszłości nie otrzymywać żadnych alertów takich jak ten.

  • Reguła może odrzucać alert według określonych kryteriów, na przykład określonego adresu IP, nazwy procesu, konta użytkownika, zasobu platformy Azure lub lokalizacji.

Screenshot of Defender for Cloud new alert suppression rule pane.

Wprowadź szczegóły reguły:

  • Nazwa — nazwa reguły. Nazwy reguł muszą zaczynać się literą lub cyfrą i mieć od 2 do 50 znaków oraz nie mogą zawierać symboli innych niż kreski (-) i podkreślenia (_).

  • Stan — włączony lub wyłączony.

  • Powód — wybierz jedną z wbudowanych przyczyn lub "innych", jeśli nie spełniają Twoich potrzeb.

  • Data wygaśnięcia — data i godzina zakończenia reguły. Reguły mogą działać przez maksymalnie sześć miesięcy.

Opcjonalnie przetestuj regułę przy użyciu przycisku Symuluj, aby zobaczyć, ile alertów zostanie odrzuconych, jeśli ta reguła zostanie aktywowana.

Zapisz regułę.

Wyświetlanie pominiętych alertów

Alerty zgodne z włączonymi regułami pomijania będą nadal generowane, ale ich stan zostanie ustawiony na odrzucone. Stan można zobaczyć w witrynie Azure Portal lub jednak uzyskujesz dostęp do alertów zabezpieczeń Defender dla Chmury.

Użyj filtru Defender dla Chmury, aby wyświetlić alerty, które zostały odrzucone przez reguły.

  • Na stronie alertów zabezpieczeń Defender dla Chmury otwórz opcje filtru i wybierz pozycję Odrzucone.