Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Dieses Feature befindet sich in der Vorschau. Die ergänzenden Bedingungen für Azure Preview enthalten zusätzliche rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, Vorschau oder noch nicht in der allgemeinen Verfügbarkeit befinden. Diese Premium-Azure-Richtlinienfunktion wird für Kunden ohne zusätzliche Kosten angeboten, die die erweiterten Sicherheitsfeatures von Microsoft Defender für Cloud aktiviert haben. Für andere Benutzer fallen hierfür in Zukunft unter Umständen Gebühren an.
Wenn Sie Sicherheitsempfehlungen in Microsoft Defender für Cloud untersuchen, überprüfen Sie die Liste der betroffenen Ressourcen. Gelegentlich finden Sie eine Ressource, die nicht in der Liste enthalten sein sollte, oder Sie finden eine Empfehlung, die in einem Bereich angezeigt wird, in dem sie nicht gehört. Beispielsweise kann eine Ressource durch einen Prozess behoben werden, den Defender für Cloud nicht nachverfolgt, oder eine Empfehlung gilt möglicherweise nicht für ein bestimmtes Abonnement. Ihre Organisation kann sich entscheiden, die Risiken im Zusammenhang mit der spezifischen Ressource oder Empfehlung zu akzeptieren.
Erstellen Sie in solchen Fällen eine Ausnahmeregel für:
Nehmen Sie eine Ressource aus, um sie aus der Liste der problematischen Ressourcen und aus den Auswirkungen auf die Sicherheitsbewertung zu entfernen. Defender für Cloud listet die Ressource als nicht zutreffend auf und zeigt den Grund als "Ausgenommen" mit der von Ihnen ausgewählten Begründung an.
Nehmen Sie eine Abonnement- oder eine Verwaltungsgruppe aus, um zu verhindern, dass die Empfehlung sich auf Ihre Sicherheitsbewertung auswirkt oder für diesen Bereich angezeigt wird. Die Ausnahme gilt für vorhandene Ressourcen und ressourcen, die Sie später erstellen. Defender for Cloud kennzeichnet die Empfehlung mit der Begründung, die Sie für diesen Geltungsbereich auswählen.
Erstellen Sie für jeden Bereich eine Ausnahmeregel für:
Markieren Sie eine bestimmte Empfehlung als Abgemildert oder Risiko akzeptiert für ein oder mehrere Abonnements oder eine Verwaltungsgruppe.
Markieren Sie eine oder mehrere Ressourcen als Abgemildert oder Risiko akzeptiert für eine bestimmte Empfehlung.
Die Ressourcenfreistellung ist auf 5.000 Ressourcen pro Abonnement beschränkt. Wenn Sie mehr als 5.000 Ausnahmen pro Abonnement hinzufügen, treten möglicherweise Ladeprobleme auf der Ausnahmeseite auf.
Bevor du anfängst
Zum Erstellen von Ausnahmen benötigen Sie die folgenden Berechtigungen:
- Besitzer oder Sicherheitsadministrator für den Bereich, in dem Sie die Ausnahme erstellen.
- Zum Erstellen einer Regel benötigen Sie Berechtigungen zum Bearbeiten von Richtlinien in Azure Policy. Erfahren Sie mehr.
- Sie müssen über eine Ausnahmeberechtigung für alle Projektzuweisungen im Zielbereich verfügen. Wenn eine Empfehlung Teil mehrerer Initiativen ist, müssen Sie die Ausnahme mit Berechtigungen für alle erstellen. Eine fehlende Berechtigung für selbst eine Initiative kann dazu führen, dass die Ausnahme fehlschlägt.
Sie benötigen die folgenden RBAC-Aktionen:
| Action | BESCHREIBUNG |
|---|---|
Microsoft.Authorization/policyExemptions/write |
Erstellen einer Ausnahme |
Microsoft.Authorization/policyExemptions/delete |
Löschen einer Ausnahme |
Microsoft.Authorization/policyExemptions/read |
Anzeigen einer Ausnahme |
Microsoft.Authorization/policyAssignments/exempt/action |
Ausführen eines Ausnahmevorgangs für einen verknüpften Bereich |
Hinweis
Wenn eine dieser Aktionen fehlt, ist die Schaltfläche "Ausgenommen" möglicherweise ausgeblendet. Benutzerdefinierte Rollen haben eingeschränkte Unterstützung für Ausnahmevorgänge. Nur integrierte Rollen können bestimmte Ausnahmeaktionen ausführen. Verwenden Sie eine der folgenden integrierten Rollen, um Ausnahmen zu verwalten: Sicherheitsadministrator (empfohlen), Besitzer, Mitwirkender auf Abonnementebene oder Ressourcenrichtlinienmitwirkender.
Berechtigungen auf Abonnementebene werden nicht zu höheren Ebenen in Verwaltungsgruppen vererbt. Wenn sich die Richtlinienzuweisung auf Verwaltungsgruppenebene befindet, benötigen Sie die auf dieser Ebene zugewiesene Rolle.
Um Ausnahmen für bestimmte Ressourcen zu verwalten, benötigen Sie die erforderlichen RBAC-Aktionen auf Ressourcen- oder Ressourcengruppenebene. Rollenzuweisungen mit Abonnementbereich bieten möglicherweise keinen ausreichenden Zugriff, um Ausnahmen für einzelne Ressourcen zu erstellen oder zu löschen. Stellen Sie sicher, dass ihre Rollenzuweisung den Umfang der Ressource abdeckt, die Sie ausnehmen möchten.
Microsoft Cloud Security Benchmark (MCSB) muss dem Abonnement zugewiesen werden.
Von Bedeutung
Defender for Cloud-Ausnahmen basieren auf der Initiative Microsoft Cloud Security Benchmark (MCSB), um den Compliancestatus der Ressourcen im Defender for Cloud-Portal zu bewerten und abzurufen. Ohne MCSB zugewiesen:
- Einige Portalfeatures funktionieren möglicherweise nicht wie erwartet.
- Möglicherweise werden Ressourcen in Compliance-Ansichten nicht angezeigt.
- Ausnahmeoptionen sind gelegentlich nicht verfügbar.
Sie können Ausnahmen für Empfehlungen erstellen, die zur standardmäßigen Microsoft Cloud Security Benchmark (MCSB)-Initiative von Defender für Cloud oder zu anderen integrierten gesetzlichen Standards gehören.
Einige Empfehlungen im Microsoft Cloud Security Benchmark (MCSB) unterstützen keine Ausnahmen. Eine Liste dieser Empfehlungen finden Sie in den häufig gestellten Fragen zu Ausnahmen.
Sie müssen Empfehlungen ausklammern, die in mehreren politischen Initiativen erscheinen. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Ausnahmen.
Sie erstellen keine Ausnahmen für benutzerdefinierte Empfehlungen.
Vorschauempfehlungen unterstützen eventuell keine Ausnahmen. Überprüfen Sie, ob in der Empfehlung ein Preview-Tag angezeigt wird.
KQL-basierte Empfehlungen greifen auf Standardzuweisungen zurück und berücksichtigen keine „Azure Policy“-Ausnahmeereignisse in den Aktivitätsprotokollen.
Wenn Sie eine Empfehlung deaktivieren, werden auch alle dazugehörigen Unterempfehlungen davon ausgenommen.
Neben dem Portal können Sie Ausnahmen mithilfe der Azure Policy Application Programming Interface (API) erstellen. Weitere Informationen finden Sie in der Struktur von Azure Policy-Ausnahme.
Wenn Sie eine Ausnahme auf Verwaltungsgruppenebene erstellen, stellen Sie sicher, dass der Windows Azure Security Resource Provider über die erforderlichen Berechtigungen verfügt, indem Sie ihm die Reader-Rolle für diese Verwaltungsgruppe zuweisen. Gewähren Sie dieser Rolle auf die gleiche Weise, wie Sie Benutzerberechtigungen erteilen.
Tip
Wenn nach dem Erstellen einer Ausnahme Probleme auftreten, lesen Sie Empfehlungsausnahmen überprüfen und verwalten, um Anleitung zum Beheben eines fehlerhaften Status, Berechtigungsfehlern auf Verwaltungsebenen, fehlen von Ausnahmen im Portal, Löschen von Ausnahmen und Bereinigen doppelter Ausnahmen zu erhalten.
Definieren einer Ausnahme
So erstellen Sie eine Ausnahmeregel:
Melden Sie sich im Azure-Portal an.
Wechseln Sie zu Defender for Cloud>Empfehlungen.
Wählen Sie eine Empfehlung aus.
Wählen Sie Ausgenommen aus.
Wählen Sie den Bereich für die Ausnahme aus.
- Wenn Sie eine Verwaltungsgruppe auswählen, nimmt Defender für Cloud die Empfehlung von allen Abonnements in dieser Gruppe aus.
- Wenn Sie diese Regel erstellen, um eine oder mehrere Ressourcen aus der Empfehlung auszuschließen, wählen Sie "Ausgewählte Ressourcen " und dann die relevanten Ressourcen aus der Liste aus.
Geben Sie einen Namen ein.
(Optional) Legen Sie ein Ablaufdatum fest.
Wählen Sie die Kategorie für die Ausnahme aus:
- Behoben durch Drittanbieter (abgemildert) – wenn Sie einen Drittanbieterdienst verwenden, der von Defender für Cloud nicht identifiziert wird.
Hinweis
Wenn Sie eine Empfehlung als gemildert ausschließen, erhalten Sie keine Punkte für Ihre Sicherheitsbewertung. Da Defender for Cloud jedoch keine Punkte für fehlerhafte Ressourcen abzieht, erhöht sich Ihre Punktzahl.
- Risiko akzeptiert (Verzicht) – wenn Sie sich entscheiden, das Risiko zu akzeptieren, diese Empfehlung nicht zu mindern.
Geben Sie eine Beschreibung ein.
Wählen Sie "Erstellen" aus.
Nachdem Sie die Ausnahme erstellt haben
Eine Ausnahme kann bis zu 24 Stunden dauern, um wirksam zu werden. Defender for Cloud wertet Ressourcen regelmäßig aus, in der Regel alle 12-24 Stunden. Nach Inkrafttreten der Befreiung:
Die Empfehlung oder Ressourcen wirken sich nicht auf Ihre Sicherheitsbewertung aus.
Wenn Sie bestimmte Ressourcen ausgenommen haben, listet Defender für Cloud diese auf der Registerkarte "Nicht zutreffend " der Seite mit den Empfehlungsdetails auf.
Wenn Sie eine Empfehlung ausgenommen haben, blendet Defender für Cloud sie standardmäßig auf der Seite "Empfehlungen " aus. Dieses Verhalten tritt auf, da die Standardoptionen des Empfehlungsstatusfilters auf dieser Seite nicht anwendbare Empfehlungen ausschließen. Das gleiche Verhalten tritt auf, wenn Sie alle Empfehlungen in einer Sicherheitskontrolle ausnehmen.
Verstehen, wie sich der Ausnahmetyp auf den Empfehlungsstatus auswirkt
Der von Ihnen ausgewählte Ausnahmetyp bestimmt, wie sich die Ausnahme auf die Empfehlung und die Sicherheitsbewertung auswirkt:
- Gemilderte Ausnahmen: Ausgenommene Ressourcen zählen als gesund. Die Sicherheitsbewertung steigt.
- Verzichtserklärungen : Ausgenommene Ressourcen werden von der Berechnung der Sicherheitsbewertung ausgeschlossen. Ressourcen zählen nicht zur Sicherheitsbewertung, werden aber möglicherweise immer noch in Empfehlungen angezeigt.
Hinweis
Vorschauempfehlungen haben keine Auswirkungen auf die Sicherheitsbewertung, unabhängig vom Ausnahmestatus.
Überprüfen, ob die Ausnahme funktioniert
Wenn in der Empfehlung nach 24 Stunden weiterhin Ressourcen als fehlerhaft angezeigt werden, lesen Sie "Beheben einer Ausnahme", die den Empfehlungsstatus nicht für detaillierte Schritte aktualisiert.