Eliminare avvisi da Microsoft Defender per il cloud

Microsoft Defender per il cloud genera avvisi di sicurezza quando rileva le minacce nell'ambiente. Questi avvisi possono includere falsi positivi o altri risultati indesiderati. È possibile eliminare automaticamente falsi positivi o avvisi indesiderati usando regole di eliminazione degli avvisi.

Quando un avviso corrisponde alle condizioni di una regola di eliminazione attiva, lo stato dell'avviso viene automaticamente modificato in Ignora. L'avviso viene ancora visualizzato nell'elenco degli avvisi di sicurezza con stato Ignorato, ma non attiva più le notifiche o viene visualizzato nelle visualizzazioni degli avvisi attivi.

Prerequisiti

Autorizzazioni e ruoli obbligatori:

  • L'amministratore della sicurezza e il proprietario possono creare ed eliminare regole.
  • I ruoli con autorizzazioni di lettura per la sicurezza e Lettore possono visualizzare queste regole.

Per la disponibilità cloud, vedere le matrici di supporto di Defender per il cloud per Azure Commercial o altri cloud.

Creare una regola di eliminazione

È possibile applicare regole di eliminazione ai gruppi di gestione o alle sottoscrizioni.

  • Per eliminare gli avvisi per un gruppo di gestione, usare Criteri di Azure.
  • Per eliminare gli avvisi per le sottoscrizioni, usare il portale di Azure o l'API REST.

Una regola di eliminazione si applica solo ai tipi di avviso già attivati almeno una volta.

Per creare una regola di eliminazione per un avviso specifico nel portale di Azure:

  1. Accedi al portale di Azure.

  2. Andare su Microsoft Defender per il cloud>Avvisi di sicurezza.

    Schermata della pagina Avvisi di sicurezza di Microsoft Defender per il cloud che mostra l'elenco degli avvisi.

  3. Selezionare un avviso.

  4. Selezionare Intervenire.

    Screenshot di un riquadro dei dettagli dell'avviso che mostra il pulsante Esegui azione.

  5. Selezionare Crea regola di soppressione.

    Schermata del menu Esegui azione che mostra Crea regola di soppressione.

  6. Immettere i dettagli appropriati:

    • Sottoscrizione : sottoscrizione in cui si vuole creare la regola.
    • (Facoltativo) Entità : le risorse a cui si applica la regola. È possibile specificare una singola risorsa, più risorse o risorse contenenti un ID risorsa parziale. Se non si specificano risorse, la regola si applica a tutte le risorse nella sottoscrizione.
    • Nome regola : nome della regola. I nomi delle regole devono iniziare con una lettera o un numero, avere una lunghezza compresa tra 2 e 50 caratteri e non possono contenere simboli ad eccezione di trattini ( - ) o caratteri di sottolineatura (_).
    • Stato : indica se la regola è abilitata o disabilitata.
    • Motivo: selezionare uno dei motivi predefiniti o "altro" per specificare il proprio motivo nel commento.
    • (Facoltativo) Data di scadenza: data e ora di fine per la regola. Se non si imposta una data di scadenza, la regola viene eseguita per un periodo illimitato.

  7. (Facoltativo) Selezionare Simula per testare la regola.

  8. Selezionare Applica.

La regola viene creata ed elencata nella pagina Regole di eliminazione .

Modificare o eliminare una regola di eliminazione

Per modificare una regola creata dalla pagina delle regole di eliminazione:

  1. Accedi al portale di Azure.

  2. Andare su Microsoft Defender per il cloud>Avvisi di sicurezza.

  3. Selezionare Regole di eliminazione.

    Screenshot della pagina Avvisi di sicurezza che mostra il pulsante Regole di eliminazione.

  4. Selezionare le sottoscrizioni pertinenti.

  5. Selezionare il pulsante con tre punti ... relativo alla regola da modificare.

  6. Seleziona Modifica

  7. Modificare i dettagli della regola.

  8. Selezionare Applica.

Per eliminare una regola, usare lo stesso menu a tre puntini e selezionare Rimuovi.

Creare e gestire regole di eliminazione con l'API

È possibile creare, visualizzare o eliminare regole di eliminazione degli avvisi usando l'API REST di Defender per il cloud.

Creare una regola di eliminazione per un avviso che l'API ha già attivato. Usare prima di tutto l'API REST Alerts per recuperare l'avviso da eliminare. Usare quindi l'API REST Alerts Suppression Rules (Regole di eliminazione avvisi) per creare una regola di eliminazione con le informazioni sull'avviso recuperate.

I metodi pertinenti per le regole di soppressione nell'API REST delle Regole di Soppressione degli Avvisi sono:

  • UPDATE:

    • Per creare o aggiornare una regola di eliminazione in una sottoscrizione specificata.

  • GET:

    • Per ottenere i dettagli di una regola di eliminazione specifica in una sottoscrizione specificata. Questo metodo restituisce una regola di eliminazione.

  • LIST:

    • Per elencare tutte le regole di eliminazione configurate per una sottoscrizione specificata. Questo metodo restituisce una matrice delle regole applicabili.

  • DELETE:

    • Per eliminare una regola di eliminazione esistente. Questo metodo non modifica lo stato degli avvisi già ignorati dalla regola di eliminazione.

Per informazioni dettagliate ed esempi di utilizzo, vedere le informazioni di riferimento sull'API REST per le regole di eliminazione degli avvisi.

Passaggi successivi

Visualizzare gli avvisi di sicurezza generati da Defender per il cloud

  • Last updated on