Ignorera aviseringar från Defender för molnet

  • 7 minuter

Defender för molnet planer identifierar hot i alla områden i din miljö och genererar säkerhetsaviseringar. När en enskild avisering inte är intressant eller relevant kan du stänga den manuellt. Du kan också använda funktionen för undertryckningsregler för att automatiskt stänga liknande aviseringar i framtiden. Vanligtvis använder du en undertryckningsregel för att:

  • Ignorera aviseringar som du har identifierat som falska positiva identifieringar

  • Ignorera aviseringar som utlöses för ofta för att vara användbara

Undertryckningsreglerna definierar de kriterier för vilka aviseringar ska avvisas automatiskt. Undertryckningsregler kan bara undanta aviseringar som redan har utlösts för de valda prenumerationerna.

Skapa undertryckningsregel

Så här skapar du en regel direkt i Azure-portalen:

Från Defender för molnet sida med säkerhetsaviseringar:

  • Leta upp den specifika avisering som du inte vill se längre och välj Skapa undertryckningsregel på ellipsmenyn (...) för aviseringen:

ELLER

  • välj länken undertryckningsregler överst på sidan och välj Skapa ny undertryckningsregel på sidan undertryckningsregler:

Ange information om den nya regeln i regelfönstret.

  • Din regel kan stänga aviseringen för alla resurser så att du inte får några aviseringar som den här i framtiden.

  • Din regel kan undertrycka aviseringen om vissa villkor uppfylls – om aviseringen gäller specifika IP-adresser, processnamn, användarkonton, Azure-resurser eller platser.

Screenshot of Defender for Cloud new alert suppression rule pane.

Ange information om regeln:

  • Namn – ange ett namn för regeln. Regelnamn måste börja med en bokstav eller en siffra, innehålla mellan 2 och 50 tecken och de får inte innehålla några andra symboler än bindestreck (-) och understreck (_).

  • Tillstånd – Aktiverad eller inaktiverad.

  • Orsak – Välj någon av de inbyggda orsakerna eller "andra" om de inte uppfyller dina behov.

  • Förfallodatum – slutdatum och sluttid för regeln. Regler kan köras i upp till sex månader.

Du kan också testa regeln med knappen Simulera för att se hur många aviseringar som skulle ha undertryckts om regeln hade varit aktiv.

Spara regeln.

Visa undertryckta aviseringar

Aviseringar som matchar dina aktiverade undertryckningsregler genereras fortfarande, men deras tillstånd kommer att vara inställt på att avvisas. Du kan se tillståndet i Azure-portalen eller hur du kommer åt dina Defender för molnet säkerhetsaviseringar.

Använd Defender för molnet filter för att visa aviseringar som har avvisats av dina regler.

  • På sidan Defender för molnet säkerhetsaviseringar öppnar du filteralternativen och väljer Avvisad.