Отключение оповещений Defender для облака

  • 7 мин

Планы Defender для облака выявляют угрозы в любой области вашей среды и генерируют оповещения системы безопасности. Если какое-либо отдельное оповещение вас не интересует или вам не нужно, его можно закрыть вручную. Также можно использовать правила подавления, чтобы похожие оповещения закрывались автоматически. Правила подавления обычно используются, чтобы:

  • Подавлять оповещения, которые вы идентифицировали как ложные срабатывания

  • Подавлять оповещения, которые активируются слишком часто и потому бесполезны

В правилах подавления определяются условия, в соответствии с которыми оповещения должны автоматически закрываться. Правила подавления могут закрывать только оповещения, которые уже активировались ранее в выбранных подписках.

Создание правила подавления

Чтобы создать правило непосредственно на портале Azure, сделайте следующее.

На странице оповещений системы безопасности Defender для облака:

  • В меню с многоточием (...) для оповещения, которое нужно закрывать автоматически, выберите Создать правило подавления.

ИЛИ

  • Перейдите по ссылке "Правила подавления" (suppression rules) в верхней части страницы, а затем на странице правил подавления выберите "Создать правило подавления" (Create new suppression rule):

В области создания правила подавления введите сведения о новом правиле.

  • Правило может закрывать оповещения обо всех ресурсах, и вы не будете получать подобные оповещения в будущем.

  • Также ваше правило может закрывать оповещения по определенному критерию — если оно связано с конкретным IP-адресом, именем процесса, учетной записью пользователя, ресурсом Azure или расположением.

Screenshot of Defender for Cloud new alert suppression rule pane.

Введите сведения о правиле:

  • Имя — имя правила. Имена правил должны начинаться с буквы или цифры и не могут содержать специальных символов, кроме дефиса (-) и символа подчеркивания (_). Допустимая длина имени — от 2 до 50 символов.

  • Состояние — включено или отключено.

  • Причина — выберите один из предоставляемых вариантов или укажите другое, если предоставляемые варианты не отвечают вашим требованиям.

  • Дата окончания срока действия — дата и время окончания срока действия правила. Правило может действовать до шести месяцев.

При необходимости протестируйте правило с помощью кнопки Имитация, чтобы узнать, сколько оповещений было бы закрыто из-за действия правила.

Сохраните правило.

Просмотр отключенных оповещений

Оповещения, которые соответствуют включенным правилам подавления, по-прежнему будут создаваться, но будут считаться закрытыми. Вы можете просмотреть сведения о состоянии на портале Azure или в любом другом средстве, с помощью которого получаете оповещения системы безопасности Defender для облака.

С помощью фильтра Defender для облака можно просматривать оповещения, которые были закрыты вашими правилами.

  • На странице оповещений системы безопасности в Defender для облака откройте параметры фильтра и выберите элемент Закрыто.