Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page explique comment utiliser les règles de suppression d’alerte pour supprimer les faux positifs ou autres alertes de sécurité indésirables de Defender pour le cloud.
Disponibilité
Rôles et autorisations obligatoires :
- L’Administrateur de la sécurité et le Propriétaire peuvent créer/supprimer des règles.
- Le Lecteur de sécurité et le Lecteur peuvent consulter les règles.
Pour plus d’informations sur la disponibilité du cloud, consultez les matrices de prise en charge de Defender pour Cloud pour Azure commercial/d’autres clouds.
Que sont les règles de suppression ?
Les plans Microsoft Defender détectent les menaces dans votre environnement et génèrent des alertes de sécurité. Quand une alerte n’est pas intéressante ni pertinente, il est possible de la masquer manuellement. Les règles de suppression vous permettent d’ignorer automatiquement des alertes similaires à l’avenir.
Tout comme lorsque vous identifiez un e-mail comme du courrier indésirable, vous devez examiner régulièrement les alertes supprimées pour vous assurer que vous ne ratez aucune menace réelle.
Voici quelques exemples d’utilisation d’une règle de suppression :
- supprimer des alertes identifiées comme faux positifs ;
- supprimer des alertes déclenchées trop souvent pour être utiles.
Créer une règle de suppression
Vous pouvez appliquer des règles de suppression à des groupes d’administration ou à des abonnements.
- Afin de supprimer des alertes pour un groupe d’administration, utilisez Azure Policy.
- Afin de supprimer des alertes pour les abonnements, utilisez le portail Azure ou l’API REST.
Les types d’alerte qui n’ont jamais été déclenchés sur un abonnement ou un groupe d’administration avant la création de la règle ne seront pas supprimés.
Afin de créer une règle pour une alerte spécifique dans le portail Azure :
Dans la page des alertes de sécurité de Defender pour le cloud, sélectionnez l’alerte que vous souhaitez supprimer.
Dans le volet des détails, sélectionnez Effectuer une action.
Dans la section Supprimer les alertes similaires de l’onglet Effectuer une action, sélectionnez Créer une règle de suppression.
Dans le volet Nouvelle règle de suppression, entrez les détails de votre nouvelle règle.
- Entités : ressources auxquelles la règle s’applique. Vous pouvez spécifier une seule ressource, plusieurs ressources ou des ressources qui contiennent un ID de ressource partiel. Si vous ne spécifiez aucune ressource, la règle s’applique à toutes les ressources de l’abonnement.
- Nom : nom de la règle. Les noms de règles doivent commencer par une lettre ou un chiffre, comporter entre 2 et 50 caractères, et ne contenir aucun symbole autre que des tirets (-) ou des traits de soulignement (_).
- État : activé ou désactivé.
- Motif : sélectionnez l’un des motifs intégrés ou « autre » pour spécifier votre propre motif dans le commentaire.
- Date d’expiration : date et heure de fin de la règle. Les règles peuvent s’exécuter sans limite de temps définie dans Date d’expiration.
Vous sélectionnez Simuler pour afficher le nombre d’alertes précédemment reçues qui auraient été ignorées si la règle était active.
Enregistrez la règle.
Vous pouvez également sélectionner le bouton Règles de suppression dans la page Alertes de sécurité, puis Créer une règle de suppression pour entrer les détails sur votre nouvelle règle.
Notes
Pour certaines alertes, les règles de suppression ne s’appliquent pas à certaines entités. Si la règle n’est pas disponible, un message s’affiche à la fin du processus Créer une règle de suppression .
Modifier une règle de suppression
Pour modifier une règle, vous avez créé à partir de la page règles de suppression :
Dans la page des alertes de sécurité de Defender pour le cloud, sélectionnez Règles de suppression en haut.
La page règles de suppression s’ouvre avec toutes les règles des abonnements sélectionnés.
Pour modifier une seule règle, ouvrez les points de suspension (...) à la fin de la règle, puis sélectionnez Modifier.
Modifiez les détails de la règle et sélectionnez Appliquer.
Pour supprimer une règle, utilisez le même menu des points de suspension et sélectionnez Supprimer.
Créer et gérer des règles de suppression avec une API
Vous pouvez créer, afficher ou supprimer des règles de suppression d’alerte à l’aide de l’API REST de Defender pour le cloud.
Une règle de suppression peut être créée pour une alerte qui a déjà été déclenchée. Utilisez l’API REST Alertes pour récupérer l’alerte que vous souhaitez supprimer, puis créez une règle de suppression avec l’API REST Règles de suppression des alertes à l’aide des informations d’alerte récupérées.
Les méthodes pertinentes pour les règles de suppression dans l’API REST règles de suppression des alertes sont les suivantes :
MISE À JOUR :
- Pour créer ou mettre à jour une règle de suppression dans un abonnement spécifié.
GET :
- Pour obtenir les détails d’une règle de suppression spécifique sur un abonnement spécifié. Cette méthode retourne une règle de suppression.
LISTE :
- Pour répertorier toutes les règles de suppression configurées pour un abonnement spécifié. Cette méthode retourne le tableau des règles applicables.
SUPPRIMER :
- Supprime une règle de suppression existante (mais ne modifie pas l’état des alertes déjà ignorées).
Pour plus d’informations et des exemples d’utilisation, consultez la documentation de l’API.
Étape suivante
Cet article a décrit les règles de suppression dans Microsoft Defender pour le cloud, qui ignorent automatiquement les alertes indésirables.
En savoir plus sur les alertes de sécurité générées par Microsoft Defender pour le cloud.