Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
重要
注意:所有Microsoft Defender for Cloud功能将在
Microsoft Defender for Cloud在检测到环境中的威胁时生成安全警报。 这些警报有时可能包括误报或其他不需要的警报。 可以使用警报抑制规则自动取消任何误报或不需要的警报。
先决条件
所需角色和权限:
- 安全管理员 和 所有者 可以创建和删除规则。
- 安全阅读器和读取器可以查看规则。
有关云可用性,请参阅由世纪互联运营的 Microsoft Azure/其他云的Defender for Cloud支持矩阵。
创建抑制规则
可以将抑制规则应用于管理组或订阅。
- 若要禁止管理组的警报,请使用 Azure Policy。
- 若要取消订阅的警报,请使用 Azure 门户或 REST API。
该规则不会禁止在创建规则之前从未在订阅或管理组上触发的警报类型。
在Azure门户中为特定警报创建抑制规则:
登录到 Azure 门户。
转到 Microsoft Defender for Cloud>安全警报。
选择警报。
选择“执行操作”。
选择“ 创建抑制规则”。
输入相应的详细信息:
- 订阅 - 要在其中创建规则的订阅。
- (可选) 实体 - 规则适用的资源。 可以指定单个资源、多个资源或包含部分资源 ID 的资源。 如果未指定任何资源,则规则将应用于订阅中的所有资源。
- 规则名称 - 规则的名称。 规则名称必须以字母或数字开头,介于 2 到 50 个字符之间,并且不包含除破折号 (-) 或下划线 (_) 以外的任何符号。
- 状态 - 已启用或已禁用。
- 原因 - 选择一个内置原因,或选择“其他”以在注释中指定你自己的原因。
- (可选) 到期日期 - 规则的结束日期和时间。 规则可以在过期日期中设置的任何时间限制的情况下运行。
(可选)选择 “模拟 ”以测试规则。
选择应用。
该规则在 “抑制规则 ”页中创建并列出。
编辑抑制规则
可以编辑从抑制规则页创建的规则。
登录到 Azure 门户。
转到 Microsoft Defender for Cloud>安全警报。
选择 抑制规则。
选择相关订阅。
选择要编辑的规则的省略号按钮...
选择 编辑。
编辑规则详细信息。
选择应用。
若要删除规则,请使用相同的三点菜单,然后选择“删除”。
通过 API 创建和管理抑制规则
可以使用 Defender for Cloud REST API 创建、查看或删除警报抑制规则。
为 API 已触发的警报创建抑制规则。 使用 警报 REST API 检索要取消的警报。 然后,使用 警报抑制规则 REST API 通过检索的警报信息创建抑制规则。
警报抑制规则 REST API 中抑制规则的相关方法包括:
更新:
- 在指定的订阅中创建或更新抑制规则。
GET:
- 获取指定订阅上特定抑制规则的详细信息。 此方法返回一个抑制规则。
列表:
- 列出为指定订阅配置的所有抑制规则。 此方法返回适用规则的数组。
DELETE:
- 删除现有抑制规则。 此方法不会更改抑制规则已消除的警报的状态。
有关详细信息和用法示例,请参阅 API 文档。