Microsoft (有志)Publicationへの投稿
🚨

Microsoft 365 Defender でアラート抑制を設定する

k.sato
に公開
Security
Microsoft
defender
tech

はじめに

Microsoft 365 Defender には様々な Defender 製品が統合されてきていますが、アラートの種類 (出力する製品) によって抑制する方法が異なるようです。とりあえず、わかる範囲でメモしておきます。

Microsoft Defender for Endpoint のアラート抑制

MDE の場合はこちら。
https://learn.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/defender-endpoint-false-positives-negatives?view=o365-worldwide#suppress-an-alert

アラートのページから対象のアラートを選択し、[...] をクリック、[抑制ルールの作成]をクリックします。

抑制ルールは[設定] > [エンドポイント] > [警告抑制] から確認可能です。

Microsoft Defender for Identity のアラート抑制

MDE のようにアラート画面には出てきません。

抑制ルールは[設定] > [ID] > [検出ルールによる除外] から設定するようです。

Microsoft Defender for Cloud Apps のアラート抑制

こちらもアラート画面には出てきません。

こちらもポリシーごとにチューニングが必要となりそうです。下は異常検出ポリシーの例ですが、個別に対象外の設定をします。

Microsoft (有志)
Microsoft (有志)Publication

Microsoft Azureをはじめとする最新技術情報をお届けします。 ※このPublicationは日本マイクロソフトまたは米Microsoft所属社員による個人の見解であり、所属する組織の公式見解ではありません。 ※Publicationに参加希望の社員は @07JP27までご連絡ください。

Discussion