Supresión de alertas de Microsoft Defender para la nube

Microsoft Defender para la nube genera alertas de seguridad cuando detecta amenazas en su entorno. Estas alertas pueden incluir falsos positivos u otros resultados no deseados. Puede suprimir automáticamente falsos positivos o alertas no deseadas mediante reglas de supresión de alertas.

Cuando una alerta coincide con las condiciones de una regla de supresión activa, el estado de la alerta se cambia automáticamente a Descartado. La alerta sigue apareciendo en la lista de alertas de seguridad con un estado Descartado, pero ya no desencadena notificaciones o aparece en las vistas de alerta activas.

Prerrequisitos

Roles y permisos necesarios:

  • El administrador de seguridad y el propietario pueden crear y eliminar reglas.
  • Los roles de Lector de seguridad y Lector pueden ver las reglas.

Para obtener disponibilidad en la nube, consulte las matrices de soporte técnico de Defender for Cloud para Azure Commercial u otras nubes.

Creación de una regla de eliminación

Puede aplicar reglas de eliminación a grupos de administración o a suscripciones.

  • Para suprimir alertas en el nivel de un grupo de administración, use Azure Policy.
  • Para suprimir las alertas de las suscripciones, use Azure Portal o la API REST.

Una regla de supresión solo se aplica a los tipos de alerta que ya se han desencadenado al menos una vez.

Para crear una regla de supresión para una alerta específica en el portal de Azure:

  1. Inicie sesión en Azure Portal.

  2. Vaya a Microsoft Defender for Cloud>Alertas de seguridad.

    Captura de pantalla de Microsoft Defender para la nube página de alertas de seguridad que muestra la lista de alertas.

  3. Seleccione una alerta.

  4. Seleccione Realizar acción.

    Captura de pantalla de un panel de detalles de alerta que muestra el botón Realizar acción.

  5. Seleccione Crear regla de supresión.

    Captura de pantalla del menú Realizar acción que muestra Crear regla de supresión.

  6. Escriba los detalles adecuados:

    • Suscripción - La suscripción en la que quieres crear la regla.
    • (Opcional) Entidades : los recursos a los que se aplica la regla. Puede especificar un único recurso, varios recursos o recursos que contengan un identificador de recurso parcial. Si no especifica ningún recurso, la regla se aplicará a todos los recursos de la suscripción.
    • Nombre de la regla: Un nombre para la regla. Los nombres de las reglas deben comenzar por una letra o un número, tener entre 2 y 50 caracteres, y no contener símbolos, excepto guiones (-) o guiones bajos (_).
    • Estado : indica si la regla está habilitada o deshabilitada.
    • Motivo: seleccione uno de los motivos que se incluye u "otro" para especificar su propio motivo en el comentario.
    • (Opcional) Fecha de expiración : fecha y hora de finalización de la regla. Si no establece una fecha de expiración, la regla se ejecuta indefinidamente.

  7. (Opcional) Seleccione Simular para probar la regla.

  8. Seleccione Aplicar.

La regla se crea y se muestra en la página Reglas de supresión .

Editar o eliminar una regla de supresión

Para editar una regla que haya creado desde la página de reglas de supresión:

  1. Inicie sesión en Azure Portal.

  2. Vaya a Microsoft Defender for Cloud>Alertas de seguridad.

  3. Seleccione Reglas de supresión.

    Captura de pantalla de la página Alertas de seguridad que muestra el botón Reglas de supresión.

  4. Seleccione las suscripciones pertinentes.

  5. Seleccione el botón de tres puntos ... para la regla que desea editar.

  6. Seleccione Editar.

  7. Edite los detalles de la regla.

  8. Seleccione Aplicar.

Para eliminar una regla, use el mismo menú de tres puntos y seleccione Eliminar.

Creación y administración de reglas de eliminación con la API

Puede crear, ver o eliminar reglas de supresión de alertas mediante la API REST de Defender for Cloud.

Cree una regla de supresión para una alerta que la API ya haya desencadenado. En primer lugar, use la API REST de alertas para recuperar la alerta que desea suprimir. A continuación, use la API REST de reglas de supresión de alertas para crear una regla de supresión con la información de alerta obtenida.

Los métodos pertinentes para las reglas de supresión de la API REST de reglas de supresión de alertas son:

  • UPDATE:

    • para crear o actualizar una regla de eliminación en una suscripción especificada.

  • GET:

    • Para obtener los detalles de una regla de supresión específica en una suscripción especificada. Este método devuelve una regla de eliminación.

  • LIST:

    • Para enumerar todas las reglas de supresión configuradas para una suscripción especificada. Este método devuelve una matriz de las reglas aplicables.

  • DELETE:

    • Para eliminar una regla de supresión existente. Este método no cambia el estado de las alertas que la regla de supresión ya ha descartado.

Para obtener más información y ejemplos de uso, consulte la referencia de la API REST de reglas de supresión de alertas.

Pasos siguientes

Vista de alertas de seguridad generadas por Defender for Cloud

  • Last updated on