抑制来自 Microsoft Defender for Cloud 的警报

此页说明如何使用警报抑制规则抑制来自 Defender for Cloud 的误报或其他不需要的安全警报。

可用性

方面 详细信息
发布状态: 正式发布版 (GA)
所需角色和权限: “安全管理员”和“所有者”可以创建/删除规则 。
“安全读取者”和“读取者”可以查看规则 。
云: 由世纪互联运营的 Microsoft Azure

什么是抑制规则?

Microsoft Defender 计划可检测环境中的威胁并生成安全警报。 当单个警报不感兴趣或不相关时,可以手动关闭它。 使用抑制规则可以自动消除将来发出的类似警报。

与识别的垃圾电子邮件一样,建议定期审查抑制的警报,以确保不会遗漏任何真正的威胁。

下面是有关如何使用抑制规则的一些示例:

  • 抑制已标识为“误报”的警报
  • 抑制过于频繁地触发而失去作用的警报

创建警报抑制规则。

创建抑制规则

可以将抑制规则应用于管理组或订阅。

  • 若要抑制针对管理组的警报,请使用 Azure Policy
  • 若要抑制针对订阅的警报,请使用 Azure 门户 或 REST API

不会抑制在创建规则之前从未对订阅或管理组触发的警报类型。

在 Azure 门户中为特定警报创建规则:

  1. 在 Defender for Cloud 的安全警报页中,选择要抑制的警报。

  2. 在详细信息窗格中,选择“执行操作”。

  3. 在“执行操作”选项卡的“抑制类似警报”部分,选择“创建抑制规则”。

  4. 在“新建抑制规则”窗格中,输入新规则的详细信息。

    • 实体 - 规则要应用到的资源。 可以指定单个资源、多个资源或包含部分资源 ID 的资源。 如果未指定任何资源,则规则将应用于订阅中的所有资源。
    • 名称 - 输入规则的名称。 规则名称必须以字母或数字开头,介于 2 到 50 个字符之间,并且不包含除破折号 (-) 或下划线 (_) 以外的任何符号。
    • 状态 - 已启用或已禁用。
    • 原因 - 选择一个内置原因,或选择“其他”以在注释中指定你自己的原因。
    • 到期日期 - 规则的结束日期和时间。 规则可以运行,没有任何到期日期中设置的时间限制。
  5. 选择“模拟”查看以前收到的警报数,如果规则处于活动状态,应会消除这些警报。

  6. 保存规则。

还可以在“安全警报”页中选择“抑制规则”按钮,然后选择“创建抑制规则”以输入新规则的详细信息。

“抑制规则”页中“创建抑制规则”按钮的屏幕截图。

注意

对于某些警报,抑制规则不适用于某些实体。 如果规则不可用,则会在“创建抑制规则”过程结束时显示一条消息。

编辑抑制规则

若要编辑在抑制规则页中创建的规则,请执行以下操作:

  1. 在 Defender for Cloud“安全警报”页中,选择页面顶部的“抑制规则”。

    显示“安全警报”页中的“抑制规则”按钮的屏幕截图。

  2. 此时将打开“抑制规则”页,其中包含选定订阅的所有规则。

    显示“抑制规则”页的屏幕截图,可在其中查看抑制规则并创建新规则。

  3. 若要编辑单个规则,请单击该规则末尾的三个点 (...),然后选择“编辑”。

  4. 更改规则的详细信息,然后选择“应用”。

若要删除规则,请使用相同的三点菜单,然后选择“删除”。

通过 API 创建和管理抑制规则

可以使用 Defender for Cloud REST API 创建、查看或删除警报抑制规则。

REST API 中抑制规则的相关 HTTP 方法是:

  • PUT:创建或更新指定订阅中的抑制规则。

  • 获取

    • 列出为指定订阅配置的所有规则。 此方法返回适用规则的数组。
    • 获取指定订阅上特定规则的详细信息。 此方法返回一个抑制规则。
    • 以模拟仍处于设计阶段的抑制规则的影响。 此调用标识如果规则处于活动状态,将消除哪些现有警报。
  • DELETE:删除现有规则(但不会更改它已消除的警报的状态)。

有关详细信息和用法示例,请参阅 API 文档

下一步

本文介绍了 Microsoft Defender for Cloud 中自动关闭不需要的警报的抑制规则。

详细了解 Defender for Cloud 生成的安全警报