Suprimir alertas do Microsoft Defender para Cloud

O Microsoft Defender para a Cloud gera alertas de segurança quando deteta ameaças no seu ambiente. Estes alertas podem incluir falsos positivos ou outros resultados indesejados. Pode suprimir automaticamente falsos positivos ou alertas indesejados usando regras de supressão de alertas.

Quando um alerta corresponde às condições de uma regra de supressão ativa, o estado do alerta é automaticamente alterado para Arquivado. O alerta continua a aparecer na lista de alertas de segurança com o estado Dispensado, mas já não aciona notificações nem aparece nas vistas ativas de alertas.

Pré-requisitos

Funções e permissões necessárias:

  • O administrador de segurança e o Proprietário podem criar e eliminar regras.
  • O leitor de segurança e o Reader podem visualizar regras.

Para obter informações sobre a disponibilidade da nuvem, consulte as matrizes de suporte do Defender para a Cloud para as nuvens comerciais/outras nuvens do Azure.

Criar uma regra de supressão

Você pode aplicar regras de supressão a grupos de gerenciamento ou a assinaturas.

  • Para suprimir alertas para um grupo de gerenciamento, use a Política do Azure.
  • Para suprimir alertas de assinaturas, use o portal do Azure ou a API REST.

Uma regra de supressão aplica-se apenas a tipos de alerta que já tenham sido ativados pelo menos uma vez.

Para criar uma regra de supressão para um alerta específico no portal Azure:

  1. Inicie sessão no portal Azure.

  2. Aceda a Microsoft Defender para a Cloud>Alertas de segurança.

    Captura de ecrã da página de alertas de segurança do Microsoft Defender para a Cloud, que mostra a lista de alertas.

  3. Selecione um alerta.

  4. Selecione Executar ação.

    Captura de ecrã de um painel de detalhes de alerta que mostra o botão Tomar ação.

  5. Selecione Criar regra de supressão.

    Captura de ecrã do menu Executar ação que mostra a opção Criar regra de supressão.

  6. Insira os dados apropriados:

    • Subscrição - A subscrição onde quer criar a regra.
    • (Opcional) Entidades - Os recursos a que a regra se aplica. Você pode especificar um único recurso, vários recursos ou recursos que contenham uma ID de recurso parcial. Se você não especificar nenhum recurso, a regra se aplicará a todos os recursos da assinatura.
    • Nome da regra - Um nome para a regra. Os nomes das regras devem começar com uma letra ou um número, ter entre 2 e 50 carateres e não conter outros símbolos que não sejam traços (-) ou sublinhados (_).
    • Estado - Se a regra está ativada ou desativada.
    • Razão - Selecione uma das razões incorporadas ou 'outras' para especificar a sua própria razão no comentário.
    • (Opcional) Data de validade - Uma data e hora de término para a regra. Se não definires uma data de validade, a regra é indefinida.

  7. (Opcional) Seleciona Simular para testar a tua regra.

  8. Selecione Aplicar.

A regra é criada e listada na página de Regras de Supressão .

Editar ou eliminar uma regra de supressão

Para editar uma regra que criou a partir da página de regras de supressão:

  1. Inicie sessão no portal Azure.

  2. Aceda a Microsoft Defender para a Cloud>Alertas de segurança.

  3. Selecione as regras de Supressão.

    Captura de ecrã da página de alertas de segurança mostrando o botão de supressão de regras.

  4. Selecione as subscrições relevantes.

  5. Seleciona o botão dos três pontos... para a regra que queres editar.

  6. Selecione Editar.

  7. Editar os detalhes das regras.

  8. Selecione Aplicar.

Para excluir uma regra, use o mesmo menu de três pontos e selecione Remover.

Criar e gerenciar regras de supressão com a API

Pode criar, visualizar ou eliminar regras de supressão de alertas usando a API REST do Defender para a Cloud.

Crie uma regra de supressão para um alerta que a API já tenha desencadeado. Primeiro, use a API Alerts REST para recuperar o alerta que pretende suprimir. Depois, utilize a API REST das Regras de Supressão de Alertas para criar uma regra de supressão com a informação de alerta recuperada.

Os métodos relevantes para regras de supressão na API REST de regras de supressão de alertas são:

  • ATUALIZAÇÃO:

    • Para criar ou atualizar uma regra de supressão em uma assinatura especificada.

  • GET:

    • Para obter os detalhes de uma regra de supressão específica em uma assinatura especificada. Esse método retorna uma regra de supressão.

  • LISTA:

    • Para listar todas as regras de supressão configuradas para uma assinatura especificada. Esse método retorna uma matriz das regras aplicáveis.

  • SUPRIMIR:

    • Para eliminar uma regra de supressão existente. Este método não altera o estado dos alertas que a regra de supressão já ignorou.

Para detalhes e exemplos de utilização, consulte a referência da API REST das regras de supressão de alertas.

Passos seguintes

Revise alertas de segurança gerados por Defender para a Cloud

  • Last updated on