Unterdrücken von Warnungen aus Microsoft Defender für Cloud

Microsoft Defender für Cloud generiert Sicherheitswarnungen, wenn Bedrohungen in Ihrer Umgebung erkannt werden. Diese Warnungen können falsche positive Ergebnisse oder andere unerwünschte Ergebnisse enthalten. Sie können falsch positive oder unerwünschte Warnmeldungen automatisch unterdrücken, indem Sie Regeln zur Warnungsunterdrückung verwenden.

Wenn eine Warnung mit den Bedingungen einer aktiven Unterdrückungsregel übereinstimmt, wird der Warnungsstatus automatisch in "Geschlossen" geändert. Die Warnung wird weiterhin in der Liste der Sicherheitswarnungen mit einem Status "Geschlossen" angezeigt, löst jedoch keine Benachrichtigungen mehr aus oder wird in aktiven Warnungsansichten angezeigt.

Voraussetzungen

Erforderliche Rollen und Berechtigungen:

  • Sicherheitsadministrator und -besitzer können Regeln erstellen und löschen.
  • Sicherheitsleseberechtigter und Leser können Regeln anzeigen.

Informationen zur Cloudverfügbarkeit finden Sie in den Defender for Cloud-Supportmatrizen für kommerzielle/andere Clouds in Azure.

Erstellen einer Unterdrückungsregel

Sie können Unterdrückungsregeln auf Verwaltungsgruppen oder auf Abonnements anwenden.

  • Zum Unterdrücken von Warnungen für eine Verwaltungsgruppe verwenden Sie Azure Policy.
  • Zum Unterdrücken von Warnungen für Abonnements verwenden Sie das Azure-Portal oder die REST-API.

Eine Unterdrückungsregel gilt nur für Warnungstypen, die bereits mindestens einmal ausgelöst wurden.

So erstellen Sie eine Unterdrückungsregel für eine bestimmte Warnung im Azure Portal:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wechseln Sie zu Microsoft Defender for Cloud>Sicherheitswarnungen.

    Screenshot der Seite mit den Sicherheitswarnungen in Microsoft Defender for Cloud mit angezeigter Warnungsliste.

  3. Wählen Sie eine Warnung aus.

  4. Wählen Sie "Aktion ausführen" aus.

    Screenshot eines Bereichs mit Warnungsdetails mit der Schaltfläche

  5. Wählen Sie " Unterdrückungsregel erstellen" aus.

    Screenshot des Menüs

  6. Geben Sie die entsprechenden Details ein:

    • Abonnement – Das Abonnement, in dem Sie die Regel erstellen möchten.
    • (Optional) Entitäten – Die Ressourcen, für die die Regel gilt. Sie können eine einzelne oder mehrere Ressourcen oder Ressourcen angeben, die eine partielle Ressourcen-ID enthalten. Wenn Sie keine Ressourcen angeben, wird die Regel auf alle Ressourcen im Abonnement angewendet.
    • Regelname – Ein Name für die Regel. Regelnamen müssen mit einem Buchstaben oder einer Ziffer beginnen, müssen zwischen 2 und 50 Zeichen lang sein und dürfen keine anderen Symbole als Bindestriche (-) oder Unterstriche (_) enthalten.
    • Status : Gibt an, ob die Regel aktiviert oder deaktiviert ist.
    • Grund: Wählen Sie einen der integrierten Gründe oder „Andere“ aus, einen benutzerdefinierten Grund im Kommentar anzugeben.
    • (Optional) Ablaufdatum – Ein Enddatum und eine Endzeit für die Regel. Wenn Sie kein Ablaufdatum festlegen, wird die Regel unbegrenzt ausgeführt.

  7. (Optional) Wählen Sie "Simulieren" aus, um Ihre Regel zu testen.

  8. Wählen Sie Anwenden.

Die Regel wird erstellt und auf der Seite " Unterdrückungsregeln " aufgeführt.

Unterdrückungsregel bearbeiten oder löschen

So bearbeiten Sie eine Regel, die Sie auf der Seite "Unterdrückungsregeln" erstellt haben:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wechseln Sie zu Microsoft Defender for Cloud>Sicherheitswarnungen.

  3. Wählen Sie Unterdrückungsregeln aus.

    Screenshot der Seite

  4. Wählen Sie die relevanten Abonnements aus.

  5. Wählen Sie die Schaltfläche mit drei Punkten ... für die Regel aus, die Sie bearbeiten möchten.

  6. Wählen Sie Bearbeiten aus.

  7. Bearbeiten Sie die Regeldetails.

  8. Wählen Sie Anwenden.

Verwenden Sie zum Löschen einer Regel ebenfalls das Menü mit den drei Punkten, und wählen Sie Entfernen aus.

Erstellen und Verwalten von Unterdrückungsregeln über die API

Sie können Warnungsunterdrückungsregeln mithilfe der Defender für Cloud-REST-API erstellen, anzeigen oder löschen.

Erstellen Sie eine Unterdrückungsregel für eine Warnung, die die API bereits ausgelöst hat. Verwenden Sie zunächst die Rest-API für Warnungen , um die Warnung abzurufen, die Sie unterdrücken möchten. Verwenden Sie dann die REST-API für Benachrichtigungsunterdrückungsregeln , um eine Unterdrückungsregel mit den abgerufenen Warnungsinformationen zu erstellen.

Die relevanten Methoden für Unterdrückungsregeln in der Alerts Suppression Rules REST API sind:

  • UPDATE:

    • Erstellen oder Aktualisieren einer Unterdrückungsregel in einem angegebenen Abonnement

  • GET:

    • Um die Details einer bestimmten Unterdrückungsregel für ein bestimmtes Abonnement abzurufen. Diese Methode gibt eine Unterdrückungsregel zurück.

  • LIST:

    • Um alle Unterdrückungsregeln aufzulisten, die für ein bestimmtes Abonnement konfiguriert sind. Diese Methode gibt ein Array der anwendbaren Regeln zurück.

  • DELETE:

    • Eine vorhandene Unterdrückungsregel löschen. Diese Methode ändert nicht den Status von Warnungen, die von der Unterdrückungsregel bereits abgelehnt wurden.

Ausführliche Informationen und Verwendungsbeispiele finden Sie in der REST-API-Referenz zu Warnungsunterdrückungsregeln.

Nächste Schritte

Review-Sicherheitswarnungen, die von Defender for Cloud

  • Last updated on