Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
Cette fonctionnalité est en préversion. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale. Cette fonctionnalité Azure Policy Premium n’est proposée à aucun coût supplémentaire pour les clients avec les fonctionnalités de sécurité améliorées de Microsoft Defender pour cloud activées. Pour les autres utilisateurs, des frais pourront s’appliquer.
Lorsque vous examinez les recommandations de sécurité dans Microsoft Defender pour Cloud, vous passez en revue la liste des ressources affectées. Parfois, vous trouvez une ressource qui ne doit pas figurer dans la liste ou vous trouvez une recommandation qui apparaît dans une étendue où elle n’appartient pas. Par exemple, Defender for Cloud peut ne pas suivre un processus de correction, ou une recommandation peut ne pas s’appliquer à un abonnement spécifique. Votre organisation peut décider d’accepter les risques liés à la ressource ou à la recommandation spécifique.
Dans ce cas, créez une règle d’exemption pour :
Exemptez une ressource pour la supprimer de la liste des ressources non saines et de l’impact du score sécurisé. Defender pour Cloud répertorie la ressource comme non applicable et indique la raison d’être exemptée avec la justification que vous sélectionnez.
Exemptez un abonnement ou un groupe d’administration pour empêcher la recommandation d’affecter votre score de sécurité ou d’apparaître pour ce périmètre. L’exemption s’applique aux ressources existantes et aux ressources que vous créez ultérieurement. Defender pour le Cloud marque la recommandation avec la justification que vous sélectionnez pour cette étendue.
Pour chaque étendue, créez une règle d’exemption pour :
Marquez une recommandation spécifique en tant qu’atténuation ou risque accepté pour un ou plusieurs abonnements, ou pour un groupe d’administration.
Marquez une ou plusieurs ressources comme étant atténuées ou à risque acceptées pour une recommandation spécifique.
L’exemption des ressources est limitée à 5 000 ressources par abonnement. Si vous ajoutez plus de 5 000 exemptions par abonnement, vous pouvez rencontrer des problèmes de chargement sur la page d’exemption.
Prerequisites
Defender for Cloud exemption repose sur l’initiative Microsoft Cloud Security Benchmark (MCSB). MCSB doit être attribué à l'abonnement avant de créer des exemptions.
Important
Sans MCSB affecté :
- Certaines fonctionnalités du portail peuvent ne pas fonctionner comme prévu.
- Les ressources peuvent ne pas apparaître dans les vues de conformité.
- Les options d’exemption peuvent parfois être indisponibles.
Vous pouvez créer des exemptions pour les recommandations qui appartiennent à l’initiative MCSB par défaut ou à d’autres normes réglementaires intégrées. Certaines recommandations dans MCSB ne permettent pas les exemptions. Vous trouverez la liste de ces recommandations dans le FAQ sur les exemptions.
Autorisations :
Pour créer des exemptions, vous avez besoin des autorisations suivantes :
- Propriétaire ou Administrateur de sécurité dans l’étendue où vous créez l’exemption.
- Pour créer une règle, vous devez disposer de l’autorisation de modifier des stratégies dans Azure Policy. En savoir plus.
- Vous devez disposer d’une autorisation d’exemption sur toutes les attributions d’initiative au niveau de l’étendue cible. Si plusieurs initiatives contiennent une recommandation, vous devez créer l’exemption avec des autorisations sur l’ensemble d’entre elles. Une autorisation manquante sur une même initiative peut entraîner l’échec de l’exemption.
Vous avez besoin des actions RBAC suivantes :
| Action | Description |
|---|---|
Microsoft.Authorization/policyExemptions/write |
Créer une exemption |
Microsoft.Authorization/policyExemptions/delete |
Supprimer une exemption |
Microsoft.Authorization/policyExemptions/read |
Afficher une exemption |
Microsoft.Authorization/policyAssignments/exempt/action |
Effectuer une opération d’exemption sur une étendue liée |
Remarque
Si l’une de ces actions est manquante, le bouton Exempt peut être masqué. Les rôles personnalisés offrent une prise en charge limitée des opérations d’exemption.
Pour gérer les exemptions, utilisez l’un des rôles intégrés suivants :
- Administrateur de sécurité (recommandé)
- Owner
- Contributeur (au niveau de l’abonnement)
- Contributeur de stratégie de ressources
Les autorisations au niveau de l’abonnement ne remontent pas aux groupes d’administration. Si l’attribution de stratégie se fait au niveau du groupe d’administration, vous devez disposer du rôle assigné à ce niveau.
Pour gérer les exemptions pour des ressources spécifiques, vous avez besoin des actions RBAC requises au niveau de la ressource ou du groupe de ressources. Les attributions de rôles délimitées par l’abonnement peuvent ne pas fournir un accès suffisant pour créer ou supprimer des exemptions sur des ressources individuelles. Vérifiez que votre attribution de rôle couvre l’étendue de la ressource que vous souhaitez exempter.
Lorsque vous créez une exemption au niveau du groupe d’administration, vérifiez que le Microsoft Azure fournisseur de ressources de sécurité dispose des autorisations nécessaires en lui attribuant le rôle Reader sur ce groupe d’administration. Accordez ce rôle de la même façon que vous accordez des autorisations utilisateur.
Limitations :
Vous ne créez pas d’exemptions pour les recommandations personnalisées.
Les recommandations en aperçu peuvent ne pas prendre en charge les exemptions. Vérifiez si la recommandation affiche une balise d’aperçu .
Certaines recommandations dans MCSB ne permettent pas d'exemptions. Vous trouverez la liste de ces recommandations dans le FAQ sur les exemptions.
Si vous désactivez une recommandation, vous exemptez également toutes ses sous-recommandations.
Les recommandations basées sur KQL utilisent des affectations standard et n'utilisent pas d'événements d'exemption Azure Policy dans les journaux d'activité. Pour déterminer si une recommandation est basée sur KQL ou basée sur une stratégie, ouvrez la recommandation dans le portail et vérifiez le champ Clé d’évaluation . Les recommandations basées sur KQL montrent un format de clé d'évaluation standard et n'ont pas de lien de définition de Azure Policy associé. Les recommandations basées sur des stratégies affichent un lien direct vers la définition de stratégie sous-jacente.
Lorsque vous créez une exemption à partir du portail Defender for Cloud, Defender for Cloud identifie toutes les initiatives qui contiennent la recommandation et crée automatiquement l’exemption. Si vous créez l’exemption via l’API Azure Policy à la place, vous devez créer une exemption distincte pour chaque initiative manuellement. Pour plus d’informations, consultez le FAQ sur les exemptions.
Lorsque vous attribuez une nouvelle initiative qui contient une recommandation avec une exemption existante, l’exemption ne passe pas à la nouvelle initiative. Créez une nouvelle exemption pour la recommandation dans le cadre de l’initiative récemment attribuée.
Conseil / Astuce
Si vous rencontrez des problèmes après avoir créé une exemption, consultez Vérifier et gérer les exemptions de recommandation pour obtenir des conseils sur :
Définir une exemption
Nous vous recommandons de créer des exemptions dans le portail Defender for Cloud. Les exemptions créées via l'API Azure Policy peuvent ne pas être entièrement intégrées à Defender for Cloud et peuvent entraîner des résultats inattendus, tels que des exemptions qui ne se propagent pas correctement dans toutes les initiatives pertinentes. Si vous devez utiliser l’API, consultez Azure Policy structure d’exemption.
Pour créer une règle d’exemption :
Connectez-vous au portail Azure.
Accédez à Defender pour le Cloud>Recommandations.
Sélectionnez une recommandation.
Sélectionnez Exempt.
Sélectionnez l’étendue de l’exemption.
- Si vous sélectionnez un groupe d’administration, Defender pour Cloud exempte la recommandation de tous les abonnements de ce groupe.
- Si vous créez cette règle pour exempter une ou plusieurs ressources de la recommandation, choisissez Ressources sélectionnées et sélectionnez les ressources pertinentes dans la liste.
Entrez un nom.
(Facultatif) définissez une date d’expiration.
Sélectionnez la catégorie de l’exemption :
- Résolu par un service tiers (atténué) : si vous utilisez un service non Microsoft pour la remédiation que Defender for Cloud ne surveille pas.
Remarque
Lorsque vous exemptez une ressource comme atténuée, elle compte comme saine. Vous n'obtenez pas de points pour la correction, mais Defender for Cloud ne déduit pas les points pour le laisser défectueux, de sorte que les ressources exemptées ne réduisent pas votre score.
- Risque accepté (dispense) : si vous décidez d’accepter le risque de ne pas atténuer cette recommandation.
Saisissez une description.
Cliquez sur Créer.
Après avoir créé l’exemption
Une exemption peut prendre jusqu’à 24 heures, car Defender for Cloud évalue les ressources toutes les 12 à 24 heures. Une fois l’exemption appliquée :
La recommandation ou les ressources n’affectent pas votre score de sécurisation.
Si vous exemptez des ressources spécifiques, Defender pour Cloud les répertorie dans l’onglet Non applicable de la page détails de la recommandation.
Si vous exemptez une recommandation, Defender pour Cloud le masque par défaut dans la page Recommandations . Ce comportement se produit parce que le filtre d’état de recommandation par défaut exclut les recommandations non applicables . Le même comportement se produit si vous exemptez toutes les recommandations dans un contrôle de sécurité.
Comprendre comment le type d’exemption affecte l’état de la recommandation
Le type d’exemption que vous sélectionnez détermine la façon dont l’exemption affecte la recommandation et le score sécurisé :
- Exemptions atténuées : Les ressources exemptées sont considérées comme saines. Le score de sécurité s'améliore.
- Exonérations : Les ressources exemptées sont exclues du calcul du score sécurisé. Les ressources ne comptent pas dans le score de sécurité, mais peuvent toujours apparaître dans les recommandations.
Remarque
Les recommandations en préversion n’ont aucun impact sur le score de sécurité, quel que soit l’état de l’exemption.
Vérifier que l’exemption fonctionne
Si la recommandation affiche toujours des ressources non saines après 24 heures, consultez Résoudre une exemption qui ne met pas à jour l’état de la recommandation pour obtenir des étapes détaillées.