このページでは、アラート抑制ルールを使用して、クラウドの Defender からの誤検知や望ましくないセキュリティアラートを抑制する方法について説明します。
可用性
必要なロールとアクセス許可:
- セキュリティ管理者および所有者は、ルールを作成および削除できます。
- セキュリティ閲覧者および閲覧者は、ルールを表示できます。
クラウドの可用性については、 Azure 商用クラウドまたは他のクラウドの Defender for Cloud サポート マトリックスを参照してください。
抑制ルールとは
Microsoft Defender プランによって、環境で脅威が検出され、セキュリティ アラートが生成されます。 1 つのアラートが特に注意する必要がないか無関係である場合は、手動で無視することもできます。 抑制ルールを使用すると、今後は同様のアラートを自動的に無視できます。
電子メールをスパムとして識別した場合と同様に、抑制されたアラートを定期的に確認して、実際の脅威を見逃さないようにする必要があります。
抑制ルールの使用方法について、次に例を示します。
- ユーザーが擬陽性と判断したアラートを抑制する
- あまりにも頻繁にトリガーされるため有用ではないアラートを抑制する
抑制ルールを作成する
抑制ルールは、管理グループまたはサブスクリプションに適用できます。
- 管理グループ レベルのアラートを抑制するには、Azure Policy を使用します。
- サブスクリプションのアラートを抑制するには、Azure portal または REST API を使用します。
ルールが作成される前に、サブスクリプションまたは管理グループでトリガーされなかったアラートの種類は抑制されません。
Azure portal で特定のアラートのルールを作成するには:
Defender for Cloud のセキュリティ警告ページで、抑制するアラートを選択します。
詳細ウィンドウで、[アクションの実行] を選択します。
[アクションの実行] タブの [類似のアラートを抑制] セクションで、[抑制ルールの作成] を選択します。
[新しい抑制ルール] ペインで、作成した新しいルールの詳細を入力します。
- エンティティ - ルールが適用されるリソース。 単一のリソース、複数のリソース、または部分的なリソース ID を含むリソースを指定できます。 リソースを指定しない場合、ルールはサブスクリプション内のすべてのリソースに適用されます。
- 名前 - ルールの名前。 ルール名は、文字または数字で始まり、2 から 50 文字で指定する必要があります。ダッシュ (-) とアンダースコア (_) 以外の記号は使用できません。
- 状態 - 有効または無効。
- 理由 - 組み込みの理由の 1 つを選択するか、コメントで独自の理由を指定するには [その他] を選択します。
- 有効期限 - そのルールの終了日時。 [有効期限] で設定されているすべての時間制限なしでルールを実行できます。
[シミュレート] を選択すると、そのルールがアクティブだったなら、無視されていたであろう、以前に受信したアラートの数を確認します。
ルールを保存します。
[セキュリティ アラート] ページで [抑制ルール] ボタンを選択し、[抑制ルールの作成] を選択して、新しいルールの詳細を入力することもできます。
![[抑制ルール] ページの [抑制ルールの作成] ボタンのスクリーンショット。](media/alerts-suppression-rules/create-new-suppression-rule.png)
Note
一部のアラートでは、抑制ルールは特定のエンティティには適用されません。 ルールが使用できない場合は、 抑制ルールの作成 プロセスの最後にメッセージが表示されます。
抑制ルールを編集する
ルールを編集するには、[抑制ルール] ページから作成しました。
[Defender for Cloud のセキュリティ警告] ページで、ページの上部にある [抑制ルール] を選択します。
![[セキュリティ アラート] ページの [抑制ルール] ボタンのスクリーンショット。](media/alerts-suppression-rules/suppression-rules-button.png)
[抑制ルール] ページが開き、選択したサブスクリプションのすべてのルールが表示されます。
![抑制ルールを確認して新しいルールを作成できる [抑制ルール] ページのスクリーンショット。](media/alerts-suppression-rules/suppression-rules-page.png)
1 つのルールを編集するには、ルールの末尾にある 3 つのドット (...) を開き、[編集] を選択します。
ルールの詳細を変更し、[適用] を選択します。
![[セキュリティ アラート] ページの [抑制ルール] ボタンのスクリーンショット。](media/alerts-suppression-rules/suppression-rules-button.png#lightbox)
![抑制ルールを確認して新しいルールを作成できる [抑制ルール] ページのスクリーンショット。](media/alerts-suppression-rules/suppression-rules-page.png#lightbox)
ルールを削除するには、同じ 3 つのドット メニューを使用し、[削除] を選択します。
API を使用して抑制ルールの作成および管理を行う
Defender for Cloud REST API を使用して、アラート抑制ルールを作成、表示、または削除することができます。
既にトリガーされているアラートに対して抑制ルールを作成できます。 Alerts REST API を使用して抑制するアラートを取得し、取得したアラート情報を使用して、アラート抑制ルール REST API を使用して抑制ルールを作成します。
アラート抑制ルール REST API の抑制ルールに関連するメソッドは次のとおりです。
UPDATE:
- 指定したサブスクリプションで抑制ルールを作成または更新します。
GET:
- 指定したサブスクリプションの特定の抑制ルールの詳細を取得します。 このメソッドは、1 つの抑制ルールを返します。
LIST:
- 指定したサブスクリプションに対して構成されているすべての抑制ルールを一覧表示します。 このメソッドは、該当するルールの配列を返します。
DELETE:
- 既存の抑制ルールを削除します (ただし、既に消去されているアラートの状態は変更されません)。
詳細と使用例については、API のドキュメントを参照してください。
次のステップ
この記事では、不要なアラートを自動的に消去する Microsoft Defender for Cloud の抑制規則について説明します。
Defender for Cloud によって生成されるセキュリティ警告の詳細について説明します。