Exención de recursos de las recomendaciones

Importante

Esta característica se encuentra en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general. Esta funcionalidad premium de Azure Policy se ofrece sin costo adicional para los clientes con las características de seguridad mejoradas de Microsoft Defender para la nube habilitadas. En el caso de otros usuarios, pueden aplicarse cargos en el futuro.

Al investigar las recomendaciones de seguridad en Microsoft Defender para la nube, revise la lista de recursos afectados. En ocasiones, se encuentra un recurso que no debe estar en la lista o se encuentra una recomendación que aparece en un ámbito en el que no pertenece. Por ejemplo, un recurso podría corregirse mediante un proceso que Defender for Cloud no realiza un seguimiento o una recomendación podría no aplicarse a una suscripción específica. Su organización puede decidir aceptar los riesgos relacionados con el recurso o recomendación específicos.

En tales casos, cree una regla de exención para:

  • Excluya un recurso para quitarlo de la lista de recursos no saludables y del impacto en el puntaje de seguridad. Defender for Cloud muestra el recurso como No aplicable y muestra el motivo como Exento con la justificación que seleccione.

  • Excluya una suscripción o un grupo de administración para evitar que la recomendación afecte a su puntuación de seguridad o aparezca en ese ámbito. La exención se aplica a los recursos existentes y a los recursos que cree más adelante. Defender for Cloud marca la recomendación con la justificación que seleccione para ese ámbito.

Para cada ámbito, cree una regla de exención para:

  • Marque una recomendación específica como Mitigado o Riesgo aceptado para una o varias suscripciones, o para un grupo de administración.

  • Marque uno o varios recursos como Mitigado o Riesgo aceptado para una recomendación específica.

La exención de recursos se limita a 5000 recursos por suscripción. Si agrega más de 5000 exenciones por suscripción, puede experimentar problemas de carga en la página de exención.

Antes de empezar

Para crear exenciones, necesita los siguientes permisos:

  • Propietario o Administrador de seguridad en el ámbito en el que se crea la exención.
  • Para crear una regla, necesita permisos para editar directivas en Azure Policy. Más información.
  • Debe tener permiso de exención en todas las asignaciones de iniciativa en el ámbito de destino. Si una recomendación forma parte de varias iniciativas, debe crear la exención con permisos en todas ellas. Un permiso que falta incluso en una iniciativa puede hacer que falle la exención.

Necesita las siguientes acciones de RBAC:

Acción Descripción
Microsoft.Authorization/policyExemptions/write Crear una exención
Microsoft.Authorization/policyExemptions/delete Eliminación de una exención
Microsoft.Authorization/policyExemptions/read Visualización de una exención
Microsoft.Authorization/policyAssignments/exempt/action Realizar una operación de exención en un ámbito vinculado

Nota:

Si falta alguna de estas acciones, es posible que el botón Excluir esté oculto. Los roles personalizados tienen compatibilidad limitada con las operaciones de exención. Solo los roles integrados pueden realizar determinadas acciones relacionadas con la exención. Use uno de los siguientes roles integrados para administrar exenciones: Administrador de seguridad (recomendado), Propietario, Colaborador en el nivel de suscripción o Colaborador de la directiva de recursos.

  • Los permisos de nivel de suscripción no se heredan hacia los grupos de administración. Si la asignación de directiva está en el nivel de grupo de administración, necesita el rol asignado en ese nivel.

  • Para administrar exenciones para recursos específicos, necesita las acciones de RBAC necesarias en el nivel de recurso o grupo de recursos. Es posible que las asignaciones de roles con ámbito de suscripción no proporcionen acceso suficiente para crear o eliminar exenciones en recursos individuales. Compruebe que la asignación de roles cubre el ámbito del recurso que desea excluir.

  • Microsoft Cloud Security Benchmark (MCSB) debe asignarse en la suscripción.

    Importante

    Las exenciones de Defender for Cloud se basan en la iniciativa Microsoft Cloud Security Benchmark (MCSB) para evaluar y recuperar el estado de cumplimiento de los recursos en el portal de Defender for Cloud. Sin MCSB asignado:

    • Es posible que algunas características del portal no funcionen según lo previsto.
    • Es posible que los recursos no aparezcan en las vistas de cumplimiento.
    • Las opciones de exención pueden no estar disponibles ocasionalmente.

  • Puede crear exenciones para recomendaciones que pertenezcan a la iniciativa predeterminada de Microsoft Cloud Security Benchmark (MCSB) de Defender for Cloud o a otros estándares normativos integrados.

  • Algunas recomendaciones de Microsoft Cloud Security Benchmark (MCSB) no admiten exenciones. Puede encontrar una lista de estas recomendaciones en las preguntas más frecuentes sobre exenciones.

  • Debe excluir las recomendaciones que aparezcan en varias iniciativas políticas en cada iniciativa. Para obtener más información, consulte las preguntas más frecuentes sobre exenciones.

  • No crea exenciones para recomendaciones personalizadas.

  • Es posible que las recomendaciones de versión preliminar no admitan exenciones. Compruebe si la recomendación muestra una etiqueta de vista previa .

  • Las recomendaciones basadas en KQL usan asignaciones estándar y no usan eventos de exención de Azure Policy en los logs de actividad.

  • Si deshabilita una recomendación, también exime todas sus subbrecomendaciones.

  • Además del portal, puede crear exenciones mediante la interfaz de programación de aplicaciones (API) de Azure Policy. Para más información, vea Estructura de exclusiones de Azure Policy.

  • Al crear una exención en el nivel de grupo de administración, asegúrese de que el proveedor de recursos de seguridad de Windows Azure tiene los permisos necesarios mediante la asignación del rol Lector en ese grupo de administración. Conceda este rol de la misma manera que conceda permisos de usuario.

Tip

Si tiene problemas después de crear una exención, consulte Revisión y administración de exenciones de recomendaciones para obtener instrucciones sobre cómo resolver el estado incorrecto, los errores de permiso en el nivel de grupo de administración, las exenciones que faltan en el portal, la eliminación de exenciones y la limpieza de exenciones duplicadas.

Definición de una exención

Para crear una regla de exención:

  1. Inicie sesión en Azure Portal.

  2. Vaya aRecomendaciones de >.

  3. Seleccione una recomendación.

  4. Seleccione Exento.

    Cree una regla de exención para que una recomendación se excluya de una suscripción o un grupo de administración.

  5. Seleccione el ámbito de la exención.

    • Si selecciona un grupo de administración, Defender for Cloud excluye la recomendación de todas las suscripciones dentro de ese grupo.
    • Si crea esta regla para excluir uno o varios recursos de la recomendación, elija Recursos seleccionados y seleccione los recursos pertinentes de la lista.

  6. Escriba un nombre.

  7. (Opcional) establezca una fecha de expiración.

  8. Seleccione la categoría de la exención:

    • Resuelto a través de terceros (mitigado): si usa un servicio de terceros que Defender for Cloud no identifica.

    Nota:

    Cuando se excluye de una recomendación como mitigada, no obtiene puntos para su puntuación de seguridad. Sin embargo, dado que Defender for Cloud no resta puntos por los recursos no saludables, la puntuación aumenta.

    • Riesgo aceptado (exención): si decide aceptar el riesgo de no mitigar esta recomendación.

    1. Escriba una descripción.

    2. Selecciona Crear.

    Pasos para crear una regla de exención para que una recomendación se excluya de una suscripción o un grupo de administración.

Después de crear la exención

Una exención puede tardar hasta 24 horas en surtir efecto. Defender for Cloud evalúa los recursos periódicamente, normalmente cada 12-24 horas. Una vez que la exención surte efecto:

  • La recomendación o los recursos no afectan al índice de seguridad.

  • Si excluye recursos específicos, Defender for Cloud los enumera en la pestaña No aplicable de la página de detalles de recomendación.

  • Si excluye una recomendación, Defender for Cloud la oculta de forma predeterminada en la página Recomendaciones . Este comportamiento se produce porque las opciones predeterminadas del filtro Estado de recomendación de esa página excluyen Recomendaciones no aplicables . El mismo comportamiento se produce si excluye todas las recomendaciones de un control de seguridad.

Comprender cómo afecta el tipo de exención al estado de la recomendación

El tipo de exención que seleccione determina cómo afecta la exención a la recomendación y la puntuación segura:

  • Exenciones mitigadas: Los recursos exentos se consideran saludables. Aumenta la puntuación de seguridad.
  • Exenciones de exclusión: los recursos exentos se excluyen del cálculo de la puntuación de seguridad. Los recursos no cuentan para la puntuación segura, pero aún pueden aparecer en las recomendaciones.

Nota:

Las recomendaciones en versión preliminar no tienen ningún impacto en la puntuación segura, independientemente del estado de exención.

Comprobación de que la exención funciona

Si la recomendación sigue mostrando los recursos como no saludables después de 24 horas, consulte Resolución de una exención que no actualiza el estado de la recomendación para obtener los pasos detallados.

Paso siguiente

Revisión y administración de exenciones de recomendaciones

  • Last updated on