Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Auf dieser Seite wird erläutert, wie Sie mithilfe von Unterdrückungsregeln für Warnungen falsch positive oder andere unerwünschte Sicherheitswarnungen von Defender für Cloud unterdrücken können.
Verfügbarkeit
Erforderliche Rollen und Berechtigungen:
- Sicherheitsadministrator und Besitzer können Regeln erstellen und löschen.
- Sicherheitsleseberechtigter und Leser können Regeln anzeigen.
Informationen zur Cloudverfügbarkeit finden Sie in den Defender for Cloud-Supportmatrizen für kommerzielle/andere Clouds in Azure.
Was sind Warnungsunterdrückungsregeln?
Die Microsoft Defender-Pläne erkennen Bedrohungen in Ihrer Umgebung und generieren Sicherheitswarnungen. Wenn eine einzelne Warnung nicht interessant oder relevant ist, können Sie sie manuell verwerfen. Über Unterdrückungsregeln können Sie ähnliche Warnungen in Zukunft automatisch verwerfen.
So wie Sie eine E-Mail als Spam identifizieren, sollten Sie auch die unterdrückten Warnmeldungen regelmäßig überprüfen, um sicherzustellen, dass Sie keine echten Bedrohungen übersehen.
Nachfolgend finden Sie einige Beispiele für die Verwendung einer Unterdrückungsregel:
- Unterdrücken von Warnungen, die Sie als falsch positiv identifiziert haben
- Unterdrücken von Warnungen, die zu oft ausgelöst werden und daher nicht nützlich sind
Erstellen einer Unterdrückungsregel
Sie können Unterdrückungsregeln auf Verwaltungsgruppen oder auf Abonnements anwenden.
- Zum Unterdrücken von Warnungen für eine Verwaltungsgruppe verwenden Sie Azure Policy.
- Zum Unterdrücken von Warnungen für Abonnements verwenden Sie das Azure-Portal oder die REST-API.
Warnungstypen, die vor Erstellung der Regel noch nie für ein Abonnement oder eine Verwaltungsgruppe ausgelöst wurden, werden nicht unterdrückt.
So erstellen Sie eine Regel für eine spezifische Warnung im Azure-Portal
Wählen Sie auf der Defender for Cloud-Seite für Sicherheitswarnungen die Warnung aus, die Sie unterdrücken möchten.
Wählen Sie im Detailbereich Aktion ausführen aus.
Wählen Sie im Abschnitt Ähnliche Warnungen unterdrücken der Registerkarte „Aktion ausführen“ die Option Unterdrückungsregel erstellen aus.
Geben Sie im Bereich Neue Unterdrückungsregel Details zu Ihrer neuen Regel ein.
- Entitäten: Die Ressourcen, für die die Regel gilt. Sie können eine einzelne oder mehrere Ressourcen oder Ressourcen angeben, die eine partielle Ressourcen-ID enthalten. Wenn Sie keine Ressourcen angeben, wird die Regel auf alle Ressourcen im Abonnement angewendet.
- Name: ein Name für die Regel. Regelnamen müssen mit einem Buchstaben oder einer Ziffer beginnen, müssen zwischen 2 und 50 Zeichen lang sein und dürfen keine anderen Symbole als Bindestriche (-) oder Unterstriche (_) enthalten.
- Status: „Aktiviert“ oder „Deaktiviert“.
- Grund: Wählen Sie einen der integrierten Gründe oder „Andere“ aus, einen benutzerdefinierten Grund im Kommentar anzugeben.
- Ablaufdatum: ein Ablaufdatum und eine Ablaufzeit für die Regel. Regeln können ohne Zeitlimit, wie unter „Ablaufdatum“ festgelegt, ausgeführt werden.
Wählen Sie Simulieren, um die Anzahl der bisher empfangenen Warnungen anzuzeigen, die bei aktivierter Regel verworfen worden wären.
Speichern Sie die Regel.
Sie können auch die Schaltfläche Unterdrückungsregeln auf der Seite „Sicherheitswarnungen“ auswählen und auf Unterdrückungsregel erstellen klicken, um die Details zu Ihrer neuen Regel einzugeben.
Hinweis
Bei einigen Warnungen gelten Unterdrückungsregeln nicht für bestimmte Entitäten. Wenn die Regel nicht verfügbar ist, wird am Ende des Prozesses zum Erstellen einer Unterdrückungsregel eine Meldung angezeigt.
Bearbeiten einer Unterdrückungsregel
Um eine Regel zu bearbeiten, haben Sie auf der Seite "Unterdrückungsregeln" erstellt:
Wählen Sie oben auf der Defender for Cloud-Seite mit den Sicherheitswarnungen die Option Unterdrückungsregeln aus.
Die Seite der Unterdrückungsregeln wird mit allen Regeln für das ausgewählte Abonnement geöffnet.
Um eine einzelne Regel zu bearbeiten, klicken Sie auf die drei Punkte (...) am Ende der Regel und wählen Bearbeiten aus.
Ändern Sie die Details der Regel, und wählen Sie Anwenden aus.
Verwenden Sie zum Löschen einer Regel ebenfalls das Menü mit den drei Punkten, und wählen Sie Entfernen aus.
Erstellen und Verwalten von Unterdrückungsregeln über die API
Mit der Defender for Cloud-REST-API können Sie Regeln zur Unterdrückung von Warnungen erstellen, anzeigen oder löschen.
Für eine bereits ausgelöste Warnung kann eine Unterdrückungsregel erstellt werden. Verwenden Sie die REST-API "Warnungen" , um die Warnung abzurufen, die Sie unterdrücken möchten, und erstellen Sie dann eine Unterdrückungsregel mit der REST-API für Warnungsunterdrückungsregeln, indem Sie die abgerufenen Warnungsinformationen verwenden.
Die relevanten Methoden für Unterdrückungsregeln in der REST-API für Warnungsunterdrückungsregeln sind:
UPDATE:
- So erstellen oder aktualisieren Sie eine Unterdrückungsregel in einem angegebenen Abonnement.
GET:
- So rufen Sie die Details einer bestimmten Unterdrückungsregel für ein angegebenes Abonnement ab. Diese Methode gibt eine Unterdrückungsregel zurück.
LISTE:
- So listen Sie alle Unterdrückungsregeln auf, die für ein angegebenes Abonnement konfiguriert sind. Diese Methode gibt ein Array der anwendbaren Regeln zurück.
DELETE:
- Löscht eine vorhandene Unterdrückungsregel (ändert jedoch nicht den Status von Warnungen, die bereits von ihr geschlossen wurden).
Ausführliche Informationen und Verwendungsbeispiele finden Sie in der API-Dokumentation.
Nächster Schritt
In diesem Artikel wurden Unterdrückungsregeln in Microsoft Defender für Cloud beschrieben, mit denen unerwünschte Warnungen automatisch verworfen werden.
Erfahren Sie mehr über Sicherheitswarnungen, die von Defender für Cloud generiert werden.