Suprimir alertas do Defender para Nuvem

  • 7 minutos

Os planos do Defender para Nuvem detectam ameaças em qualquer área do seu ambiente e geram alertas de segurança. Quando um único alerta não é interessante ou relevante, você pode descartá-lo manualmente. Como alternativa, use o recurso de regras de supressão para ignorar automaticamente alertas semelhantes no futuro. Normalmente, você usaria uma regra de supressão para:

  • suprimir alertas que você identificou como falsos positivos

  • suprimir alertas que estão sendo disparados com frequência demais para serem úteis

As regras de supressão definem os critérios para os quais os alertas devem ser automaticamente ignorados. As regras de supressão só podem ignorar alertas que já foram acionados nas assinaturas selecionadas.

Criar regra de supressão

Para criar uma regra diretamente no portal do Azure:

Na página de alertas de segurança do Defender para Nuvem:

  • Localize o alerta específico que você não deseja mais ver e, no menu de reticências (...) do alerta, selecione Criar regra de supressão:

OU

  • Selecione o link de regras de supressão na parte superior da página e, na página de regras de supressão, selecione “Criar nova regra de supressão:

No painel Nova regra de supressão, insira os detalhes da nova regra.

  • A regra pode ignorar o alerta em todos os recursos para que você não receba alertas como este no futuro.

  • A regra pode ignorar o alerta em critérios específicos - quando está relacionado especificamente a um endereço IP, um nome do processo, uma conta de usuário, um recurso do Azure ou um local.

Screenshot of Defender for Cloud new alert suppression rule pane.

Insira os detalhes da regra:

  • Nome - um nome para a regra. Os nomes de regra precisam começar com uma letra ou um número, ter entre 2 e 50 caracteres e só podem conter os símbolos de traço (-) ou sublinhado (_).

  • Estado - habilitado ou desabilitado.

  • Motivo – Selecione um dos motivos integrados ou outros, se eles não atenderem às suas necessidades.

  • Data de validade - uma data e hora de término para a regra. As regras podem ser executadas por até seis meses.

Como opção, teste a regra usando o botão Simular para ver quantos alertas teriam sido ignorados se essa regra estivesse ativa.

Salve a regra.

Nenhum alerta suprimido

Os alertas que corresponderem às regras de supressão habilitadas ainda serão gerados, mas o estado deles será definido como ignorado. Você pode ver o estado no portal do Azure ou acessar seus alertas de segurança do Defender para Nuvem.

Use o filtro do Defender para Nuvem para visualizar alertas que foram ignorados por suas regras.

  • Na página de alertas de segurança do Defender para Nuvem, abra as opções de filtro e selecione Ignorado.