Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Esta característica se encuentra en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general. Esta funcionalidad premium de Azure Policy se ofrece sin costo adicional para los clientes con las características de seguridad mejoradas de Microsoft Defender para la nube habilitadas. En el caso de otros usuarios, pueden aplicarse cargos en el futuro.
Al investigar las recomendaciones de seguridad en Microsoft Defender para la nube, revise la lista de recursos afectados. En ocasiones, se encuentra un recurso que no debe estar en la lista o se encuentra una recomendación que aparece en un ámbito en el que no pertenece. Por ejemplo, es posible que Defender for Cloud no realice un seguimiento de un proceso de corrección o que una recomendación no se aplique a una suscripción específica. Su organización puede decidir aceptar los riesgos relacionados con el recurso o recomendación específicos.
En tales casos, cree una regla de exención para:
Excluya un recurso para quitarlo de la lista de recursos no saludables y del impacto en el puntaje de seguridad. Defender for Cloud muestra el recurso como No aplicable y muestra el motivo como Exento con la justificación que seleccione.
Excluya una suscripción o un grupo de administración para evitar que la recomendación afecte a su puntuación de seguridad o aparezca en ese ámbito. La exención se aplica a los recursos existentes y a los recursos que cree más adelante. Defender for Cloud marca la recomendación con la justificación que seleccione para ese ámbito.
Para cada ámbito, cree una regla de exención para:
Marque una recomendación específica como Mitigado o Riesgo aceptado para una o varias suscripciones, o para un grupo de administración.
Marque uno o varios recursos como Mitigado o Riesgo aceptado para una recomendación específica.
La exención de recursos se limita a 5000 recursos por suscripción. Si agrega más de 5000 exenciones por suscripción, puede experimentar problemas de carga en la página de exención.
Prerequisites
La exención de Defender for Cloud se basa en la iniciativa Microsoft Cloud Security Benchmark (MCSB). MCSB debe estar asignado a la suscripción antes de crear exenciones.
Importante
Sin MCSB asignado:
- Es posible que algunas características del portal no funcionen según lo previsto.
- Es posible que los recursos no aparezcan en las vistas de cumplimiento.
- Las opciones de exención pueden no estar disponibles ocasionalmente.
Puede crear exenciones para recomendaciones que pertenezcan a la iniciativa MCSB predeterminada o a otros estándares normativos integrados. Algunas recomendaciones de MCSB no admiten exenciones. Puede encontrar una lista de estas recomendaciones en las preguntas más frecuentes sobre exenciones.
Permisos:
Para crear exenciones, necesita los siguientes permisos:
- Propietario o Administrador de seguridad en el ámbito en el que se crea la exención.
- Para crear una regla, necesita permisos para editar directivas en Azure Policy. Más información.
- Debe tener permiso de exención en todas las asignaciones de iniciativa en el ámbito de destino. Si varias iniciativas contienen una recomendación, debe crear la exención con permisos para todas ellas. Un permiso que falta incluso en una iniciativa puede hacer que falle la exención.
Necesita las siguientes acciones de RBAC:
| Acción | Descripción |
|---|---|
Microsoft.Authorization/policyExemptions/write |
Crear una exención |
Microsoft.Authorization/policyExemptions/delete |
Eliminación de una exención |
Microsoft.Authorization/policyExemptions/read |
Visualización de una exención |
Microsoft.Authorization/policyAssignments/exempt/action |
Realizar una operación de exención en un ámbito vinculado |
Nota:
Si falta alguna de estas acciones, es posible que el botón Excluir esté oculto. Los roles personalizados ofrecen compatibilidad limitada para las operaciones de exención.
Para administrar exenciones, use uno de los siguientes roles integrados:
- Administrador de seguridad (recomendado)
- Propietario
- Colaborador (en el nivel de suscripción)
- Colaborador de políticas de recursos
Los permisos de nivel de suscripción no se heredan hacia los grupos de administración. Si la asignación de directiva está en el nivel de grupo de administración, necesita el rol asignado en ese nivel.
Para administrar exenciones para recursos específicos, necesita las acciones de RBAC necesarias en el nivel de recurso o grupo de recursos. Es posible que las asignaciones de roles con ámbito de suscripción no proporcionen acceso suficiente para crear o eliminar exenciones en recursos individuales. Compruebe que la asignación de roles cubre el ámbito del recurso que desea excluir.
Al crear una exención en el nivel de grupo de administración, asegúrese de que el proveedor de recursos de seguridad Microsoft Azure tenga los permisos necesarios al asignarle el rol Reader en ese grupo de administración. Conceda este rol de la misma manera que conceda permisos de usuario.
Limitaciones:
No crea exenciones para recomendaciones personalizadas.
Es posible que las recomendaciones de versión preliminar no admitan exenciones. Compruebe si la recomendación muestra una etiqueta de vista previa .
Algunas recomendaciones de MCSB no admiten exenciones. Puede encontrar una lista de estas recomendaciones en las preguntas más frecuentes sobre exenciones.
Si deshabilita una recomendación, también exime todas sus subbrecomendaciones.
Las recomendaciones basadas en KQL usan asignaciones estándar y no usan eventos de exención de Azure Policy en los logs de actividad. Para determinar si una recomendación está basada en KQL o basada en directivas, abra la recomendación en el portal y compruebe el campo Clave de evaluación. Las recomendaciones basadas en KQL muestran un formato de clave de evaluación estándar y no tienen un vínculo de definición de Azure Policy asociado. Las recomendaciones basadas en directivas muestran un vínculo directo a la definición de directiva subyacente.
Al crear una exención desde el portal de Defender for Cloud, Defender for Cloud identifica todas las iniciativas que contienen la recomendación y crea la exención en todos ellos automáticamente. Si crea la exención a través de la API de Azure Policy en su lugar, debe crear una exención independiente para cada iniciativa manualmente. Para obtener más información, consulte las preguntas más frecuentes sobre exenciones.
Al asignar una nueva iniciativa que contenga una recomendación con una exención existente, la exención no se transfiere a la nueva iniciativa. Cree una nueva exención para la recomendación bajo la nueva iniciativa asignada.
Tip
Si tiene problemas después de crear una exención, consulte Revisión y administración de exenciones de recomendaciones para obtener instrucciones sobre:
Definición de una exención
Se recomienda crear exenciones en el portal de Defender for Cloud. Las exenciones creadas a través de la API de Azure Policy podrían no integrarse completamente con Defender for Cloud y pueden provocar resultados inesperados, como exenciones que no se propagan correctamente en todas las iniciativas pertinentes. Si necesita usar la API, consulte la estructura de exenciones de Azure Policy.
Para crear una regla de exención:
Inicie sesión en Azure Portal.
Vaya aRecomendaciones de >.
Seleccione una recomendación.
Seleccione Exento.
Seleccione el ámbito de la exención.
- Si selecciona un grupo de administración, Defender for Cloud excluye la recomendación de todas las suscripciones dentro de ese grupo.
- Si crea esta regla para excluir uno o varios recursos de la recomendación, elija Recursos seleccionados y seleccione los recursos pertinentes de la lista.
Escriba un nombre.
(Opcional) establezca una fecha de expiración.
Seleccione la categoría de la exención:
- Resuelto a través de un servicio de terceros (mitigado), si utiliza un servicio de terceros para remediación que Defender for Cloud no supervisa.
Nota:
Al eximir un recurso como mitigado, cuenta como saludable. No se obtienen puntos para la corrección, pero Defender for Cloud no deduce puntos para dejarlo en mal estado, por lo que los recursos exentos no reducen la puntuación.
- Riesgo aceptado (exención): si decide aceptar el riesgo de no mitigar esta recomendación.
Escriba una descripción.
Selecciona Crear.
Después de crear la exención
Una exención puede tardar hasta 24 horas en surtir efecto porque Defender for Cloud evalúa los recursos cada 12-24 horas. Una vez que la exención surte efecto:
La recomendación o los recursos no afectan al índice de seguridad.
Si excluye recursos específicos, Defender for Cloud los enumera en la pestaña No aplicable de la página de detalles de recomendación.
Si excluye una recomendación, Defender for Cloud la oculta de forma predeterminada en la página Recomendaciones . Este comportamiento se produce porque el filtro de estado de recomendación predeterminado excluye Las recomendaciones no aplicables . El mismo comportamiento se produce si excluye todas las recomendaciones de un control de seguridad.
Comprender cómo afecta el tipo de exención al estado de la recomendación
El tipo de exención que seleccione determina cómo afecta la exención a la recomendación y la puntuación segura:
- Exenciones mitigadas: Los recursos exentos se consideran saludables. Aumenta la puntuación de seguridad.
- Exenciones de exclusión: los recursos exentos se excluyen del cálculo de la puntuación de seguridad. Los recursos no cuentan para la puntuación segura, pero aún pueden aparecer en las recomendaciones.
Nota:
Las recomendaciones en versión preliminar no tienen ningún impacto en la puntuación segura, independientemente del estado de exención.
Comprobación de que la exención funciona
Si la recomendación sigue mostrando los recursos como no saludables después de 24 horas, consulte Resolución de una exención que no actualiza el estado de la recomendación para obtener los pasos detallados.