Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
此页说明如何使用警报抑制规则抑制来自 Defender for Cloud 的误报或其他不需要的安全警报。
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 正式发布版 (GA) |
| 所需角色和权限: | “安全管理员”和“所有者”可以创建/删除规则 。 安全阅读器和读取器可以查看规则。 |
| 云: |  由世纪互联运营的 Microsoft Azure |
Microsoft Defender 计划可检测环境中的威胁并生成安全警报。 当单个警报不感兴趣或不相关时,可以手动关闭它。 使用抑制规则可以自动消除将来发出的类似警报。
就像识别电子邮件为垃圾邮件时一样,建议定期检查抑制的警报,以确保不会遗漏任何实际威胁。
下面是有关如何使用抑制规则的一些示例:
- 抑制已标识为“误报”的警报
- 抑制过于频繁地触发而失去作用的警报
可以将抑制规则应用于管理组或订阅。
- 若要抑制针对管理组的警报,请使用 Azure Policy。
- 若要抑制针对订阅的警报,请使用 Azure 门户 或 REST API。
在创建规则之前从未在订阅或管理组上触发过的警报类型不会被抑制。
在 Azure 门户中为特定警报创建规则:
在 Defender for Cloud 的安全警报页中,选择要抑制的警报。
在详细信息窗格中,选择“执行操作”。
在“执行操作”选项卡的“抑制类似警报”部分,选择“创建抑制规则”。
在“新建抑制规则”窗格中,输入新规则的详细信息。
- 实体 - 规则要应用到的资源。 可以指定单个资源、多个资源或包含部分资源 ID 的资源。 如果未指定任何资源,则规则将应用于订阅中的所有资源。
- 名称 - 规则的名称。 规则名称必须以字母或数字开头,介于 2 到 50 个字符之间,并且不包含除破折号 (-) 或下划线 (_) 以外的任何符号。
- 状态 - 已启用或已禁用。
- 原因 - 选择一个内置原因,或选择“其他”以在注释中指定你自己的原因。
- 到期日期 - 规则的结束日期和时间。 规则可以不受“到期日期”中设置的时间限制而运行。
选择模拟查看以前收到的警报数量,如果规则已激活,这些警报将会被消除。
保存规则。
还可以在“安全警报”页中选择“抑制规则”按钮,然后选择“创建抑制规则”以输入新规则的详细信息。
Nota
对于某些警报,抑制规则不适用于某些实体。 如果规则不可用,则会在“创建抑制规则”过程结束时显示一条消息。
若要编辑在抑制规则页中创建的规则,请执行以下操作:
在 Defender for Cloud“安全警报”页中,选择页面顶部的“抑制规则”。
此时将打开“抑制规则”页,其中包含选定订阅的所有规则。
若要编辑单个规则,请单击该规则末尾的三个点 (...),然后选择“编辑”。
更改规则的详细信息,然后选择“应用”。
若要删除规则,请使用相同的三点菜单,然后选择“删除”。
可以使用 Defender for Cloud REST API 创建、查看或删除警报抑制规则。
可以为已触发的警报创建抑制规则。 使用 警报 REST API 检索要禁止的警报,然后使用检索到的警报信息,使用 警报抑制规则 REST API 创建抑制规则。
警报抑制规则 REST API 中抑制规则的相关方法包括:
更新:
- 在指定的订阅中创建或更新抑制规则。
GET:
- 获取指定订阅上特定抑制规则的详细信息。 此方法返回一个抑制规则。
列表:
- 列出为指定订阅配置的所有抑制规则。 此方法返回适用规则的数组。
DELETE:
- 删除现有抑制规则(但不会更改已经被其消除的警报状态)。
有关详细信息和用法示例,请参阅 API 文档。
本文介绍了 Microsoft Defender for Cloud 中自动关闭不需要的警报的抑制规则。