隱藏適用於雲端的 Microsoft Defender 警示

此頁面說明如何使用警示歸併規則，在適用於雲端的 Defender 內隱藏誤判為真或其他不必要的安全性警示。

可用性

必要的角色和權限：

• 安全性管理員和擁有者可以建立/刪除規則。
• 安全性讀取者和讀者可以檢視規則。

如需雲端可用性，請參閱 適用於 Azure 商業/其他雲端的 Defender for Cloud 支援矩陣。

什麼是歸併規則？

Microsoft Defender 計劃會偵測環境中的威脅並產生安全性警示。 當單一警示不需關注或不相關時，您可以手動將其關閉。 歸併規則可讓您在未來自動關閉類似警示。

就像您將電子郵件識別為垃圾郵件時，您想要定期檢閱隱藏的警示，以確保不會遺漏任何真正的威脅。

如何使用歸併規則的一些範例如下：

• 隱藏已識別為誤判為真的警示
• 隱藏常觸發但無用的警示

建立歸併規則

您可以將歸併規則套用至管理群組或訂用帳戶。

• 若要隱藏管理群組的警示，請使用 Azure 原則。
• 若要隱藏訂用帳戶的警示，請使用 Azure 入口網站或 REST API。

不會隱藏在建立規則之前從未在訂用帳戶或管理群組上觸發的警示類型。

若要在 Azure 入口網站中建立特定警示的規則：

1. 從適用於雲端的 Defender 安全性警示頁面，選取您想要隱藏的警示。

2. 從詳細資料窗格中，選取 [採取動作]。

3. 在 [採取動作] 索引標籤的 [隱藏類似警示] 區段中，選取 [建立歸併規則]。

4. 在 [新增歸併規則] 窗格中，輸入新規則的詳細資料。

   • 實體 - 規則適用的資源。 您可以指定單一資源、多項資源，或包含部分資源識別碼的資源。 如果您未指定任何資源，規則會套用至訂用帳戶中的所有資源。
   • 名稱 - 規則的名稱。 規則名稱開頭必須為字母或數字，長度要介於 2 至 50 個字元之間，且不得包含破折號 (-) 或底線 (_) 以外的符號。
   • 狀態 - 啟用或停用。
   • 原因 - 選取其中一個內建原因或 「其他」，以在註解中指定您自己的原因。
   • 到期日 - 規則的結束日期和時間。 規則可以如到期日的設定執行，沒有任何時間限制。

5. 您可選取 [模擬] 以查看規則為作用中時會關閉的先前接收警示數目。

6. 儲存規則。

您也可以在 [安全性警示] 頁面中選取 [歸併規則] 按鈕，然後選取 [建立歸併規則] 以輸入新規則的詳細資料。

編輯歸併規則

若要編輯您在隱藏規則頁面建立的規則：

1. 從適用於雲端的 Defender 的 [安全性警示] 頁面，選取頁面頂端的 [歸併規則]。

   

2. [歸併規則] 頁面隨即開啟，其中包含所選取訂用帳戶的所有規則。

   

3. 若要編輯單一規則，請開啟規則結尾的三個點 (...)，然後選取 [編輯]。

4. 變更規則的詳細資料，然後選取 [套用]。

若要刪除規則，請使用相同的三個點功能表，然後選取 [移除]。

使用 API 來建立及管理歸併規則

您可使用適用於雲端的 Defender 的 REST API 來建立、檢視或刪除警示歸併規則。

可以為已觸發的警示建立抑制規則。 使用 警示 REST API 來擷取您想要隱藏的警示，然後使用擷取的警示資訊，使用警示 歸並規則 REST API 建立隱藏規則。

警示歸並規則 REST API 中歸並規則的相關方法如下：

• UPDATE：

  • 在指定的訂用帳戶中建立或更新歸併規則。

• GET：

  • 取得指定訂用帳戶特定歸併規則的詳細資料。 這個方法會傳回一個歸併規則。

• 清單：

  • 列出針對指定訂閱設定的所有抑制規則。 這個方法會傳回適用規則的陣列。

• DELETE：

  • 刪除現有的抑制規則，但不會更改已藉由該規則消除的警示狀態。

如需詳細資料和使用方式範例，請參閱 API 文件。

後續步驟

本文說明適用於雲端的 Microsoft Defender 中的歸併規則，其會自動關閉不必要的警示。

深入了解適用於雲端的 Defender 所產生的安全性警示。