Suprimir os alertas do Microsoft Defender para Nuvem

Essa página explica como usar as regras de supressão de alertas para suprimir falsos positivos ou outros alertas de segurança indesejados no Defender para Nuvem.

Disponibilidade

Aspecto Detalhes
Estado da versão: Disponibilidade Geral (GA)
Funções e permissões necessárias: O Administrador de segurança e o Proprietário podem criar/excluir regras.
O Leitor de segurança e o Leitor podem exibir regras.
Nuvens: Nuvens comerciais
Nacionais (Azure Governamental, Microsoft Azure operado pela 21Vianet)

O que são as regras de supressão?

Os planos do Microsoft Defender detectam as ameaças no ambiente e geram os alertas de segurança. Quando um único alerta não é interessante ou relevante, você pode descartá-lo manualmente. As regras de supressão permitirão ignorar automaticamente os alertas semelhantes no futuro.

Da mesma forma que você identifica um email como spam, é importante examinar os alertas suprimidos periodicamente para garantir que não está ignorando as ameaças reais.

Alguns exemplos de como usar a regra de supressão são:

  • suprimir alertas que você identificou como falsos positivos
  • suprimir alertas que estão sendo disparados com frequência demais para serem úteis

Criar regra de supressão de alerta.

Criar regra de supressão

Você pode aplicar as regras de supressão a grupos de gerenciamento ou a assinaturas.

  • Para suprimir os alertas para um grupo de gerenciamento, use o Azure Policy.
  • Para suprimir os alertas para assinaturas, use o portal do Azure ou a API REST.

Os tipos de alerta que nunca foram disparados em uma assinatura ou um grupo de gerenciamento antes da criação da regra não serão suprimidos.

Para criar uma regra de um alerta específico no portal do Azure:

  1. Na página alertas de segurança do Defender para Nuvem, selecione o alerta que você quer suprimir.

  2. No painel de detalhes, selecione Executar ação.

  3. Na seção Suprimir alertas semelhantes da guia Executar ação, selecione Criar regra de supressão.

  4. No painel Nova regra de supressão, insira os detalhes da nova regra.

    • Entidades: os recursos aos quais a regra se aplica. Você pode especificar um único recurso, vários recursos ou recursos que contenham uma ID de recurso parcial. Se nenhum recurso for especificado, a regra se aplicará a todos os recursos da assinatura.
    • Nome - um nome para a regra. Os nomes de regra precisam começar com uma letra ou um número, ter entre 2 e 50 caracteres e só podem conter os símbolos de traço (-) ou sublinhado (_).
    • Estado - habilitado ou desabilitado.
    • Motivo: selecione um dos motivos internos ou 'outro' para especificar seu próprio motivo no comentário.
    • Data de validade - uma data e hora de término para a regra. As regras podem ser executadas sem nenhum limite de tempo, conforme definido em Data de validade.
  5. Selecione Simular para ver o número de alertas recebidos anteriormente que seriam ignorados se a regra estivesse ativa.

  6. Salve a regra.

Você também pode selecionar o botão Regras de supressão na página Alertas de Segurança e selecionar Criar regra de supressão para inserir os detalhes da nova regra.

Captura de tela do botão Criar regra de supressão na página Regras de supressão.

Observação

Para alguns alertas, as regras de supressão não são aplicáveis a determinadas entidades. Se a regra não estiver disponível, uma mensagem será exibida no final do processo Criar uma regra de supressão.

Editar uma regra de supressão

Para editar uma regra que você criou na página de regras de supressão:

  1. Na página de alertas de segurança do Microsoft Defender para Nuvem, selecione Regras de supressão na parte superior da página.

    Captura de tela que mostra o botão de regra de supressão na página Alertas de Segurança.

  2. A página de regras de supressão é aberta com todas as regras para as assinaturas selecionadas.

    Captura de tela que mostra a página de regras de supressão, em que você pode examinar as regras de supressão e criar novas.

  3. Para editar uma única regra, abra os três pontos (...) no final da regra e selecione Editar.

  4. Altere os detalhes da regra e selecione Aplicar.

Para excluir uma regra, use o mesmo menu de três pontos e selecione Remover.

Criar e gerenciar regras de supressão com a API

Você pode criar, exibir ou excluir as regras de supressão de alerta usando a API REST do Defender para Nuvem.

Os métodos HTTP relevantes para regras de supressão na API REST são:

  • PUT: Para criar ou atualizar uma regra de supressão em uma assinatura especificada.

  • GET:

    • Para listar todas as regras configuradas para uma assinatura especificada. Esse método retorna uma matriz das regras aplicáveis.
    • Para obter os detalhes de uma regra específica em uma assinatura especificada. Esse método retorna uma regra de supressão.
    • Para simular o impacto de uma regra de supressão ainda na fase de design. Essa chamada identifica qual dos alertas existentes teria sido ignorado, se a regra estivesse ativa.
  • DELETE: Exclui uma regra existente (mas não altera o status dos alertas já ignorados por ela).

Para obter os detalhes e os exemplos de uso, consulte a documentação da API.

Próxima etapa

Este artigo descreveu as regras de supressão no Microsoft Defender para Nuvem que ignoraram automaticamente os alertas indesejados.

Saiba mais sobre os alertas de segurança gerados pelo Defender para Nuvem.