我正在尝试使用 CLI 将 IP 抑制规则添加到我们的 Microsoft Defender 邮件通知中。
我可以添加规则:
az security alerts-suppression-rule update --rule-name TestRule --alert-type "SQL.DB_GeoAnomaly" --reason "Other" --state "Enabled" --subscription "xxxxxxx"
但是当尝试添加 IP 地址时,我遇到了 NotFound 错误。
az security alerts-suppression-rule upsert_scope --field "entities.ip.address" --contains-substring "xxx.x.x.xxx" --rule-name TestRule
我在谷歌上没有找到这样做的例子。 Microsoft 文档示例给出了此示例,但没有有关如何使用 IP 地址执行此操作的信息。
az security alerts-suppression-rule upsert_scope --field "entities.process.commandline" --contains-substring "example" --rule-name RuleName
微软文档: https://learn.microsoft.com/en-us/cli/azure/security/alerts-suppression-rule?view=azure-cli-latest 我发现的其他一些文档: https://www.azadvertizer.net/azpolicyadvertizer/80e94a21-c6cd-4c95-a2c7-beb5704e61c0.html
这是一个已知的 MS 错误,所以现在除了使用curl 之外什么也做不了。