Esentare le risorse dalle raccomandazioni

Quando esamini le raccomandazioni sulla sicurezza in Microsoft Defender per il cloud, passi in rassegna l'elenco delle risorse interessate. In alcuni casi, si trova una risorsa che non deve trovarsi nell'elenco oppure si trova una raccomandazione visualizzata in un ambito in cui non appartiene. Ad esempio, Defender per il cloud potrebbe non tenere traccia di un processo di correzione o una raccomandazione potrebbe non essere applicabile a una sottoscrizione specifica. L'organizzazione potrebbe decidere di accettare i rischi correlati alla risorsa o alla raccomandazione specifica.

In questi casi, creare una regola di esenzione per:

• Escludere una risorsa per rimuoverla dall'elenco di risorse non sanitarie e dall'impatto sul punteggio di sicurezza. Defender per il cloud elenca la risorsa come Non applicabile e mostra il motivo come esentato con la giustificazione selezionata.

• Escludere una sottoscrizione o un gruppo di gestione per impedire che la raccomandazione influisca sul punteggio di sicurezza o venga visualizzata per tale contesto. L'esenzione si applica alle risorse esistenti e alle risorse create in un secondo momento. Defender per il cloud contrassegna la raccomandazione con la giustificazione selezionata per tale ambito.

Per ogni ambito, creare una regola di esenzione per:

• Contrassegnare una raccomandazione specifica come mitigata o rischio accettata per una o più sottoscrizioni o per un gruppo di gestione.

• Contrassegnare una o più risorse come Mitigato o Rischio accettato per una raccomandazione specifica.

L'esenzione delle risorse è limitata a 5.000 risorse per ogni sottoscrizione. Se si aggiungono più di 5.000 esenzioni per sottoscrizione, è possibile che si verifichino problemi di carico nella pagina di esenzione.

Prerequisites

L'esenzione di Defender per il cloud si basa sull'iniziativa Microsoft Cloud Security Benchmark (MCSB). È necessario assegnare MCSB nella sottoscrizione prima di creare esenzioni.

È possibile creare esenzioni per le raccomandazioni che appartengono all'iniziativa MCSB predefinita o ad altri standard normativi predefiniti. Alcune raccomandazioni in MCSB non supportano le esenzioni. È possibile trovare un elenco di queste raccomandazioni nelle domande frequenti sulle esenzioni.

Autorizzazioni:

Per creare esenzioni, sono necessarie le autorizzazioni seguenti:

• Proprietario o amministratore della sicurezza nell'ambito in cui si crea l'esenzione.
• Per creare una regola, sono necessarie le autorizzazioni per modificare i criteri in Criteri di Azure. Ulteriori informazioni.
• È necessario disporre dell'autorizzazione di esenzione per tutte le assegnazioni di iniziative nell'ambito di destinazione. Se più iniziative contengono una raccomandazione, è necessario creare l'esenzione con le autorizzazioni per tutte. Un'autorizzazione mancante per un'iniziativa può causare l'esito negativo dell'esenzione.

Sono necessarie le seguenti azioni RBAC:

• Le autorizzazioni a livello di sottoscrizione non vengono ereditate ai gruppi di gestione superiori. Se l'assegnazione dei criteri è a livello di gruppo di gestione, è necessario il ruolo assegnato a tale livello.

• Per gestire le esenzioni per risorse specifiche, sono necessarie le azioni RBAC richieste sul singolo elemento o sul gruppo di risorse. Le assegnazioni di ruolo con ambito di sottoscrizione potrebbero non fornire un accesso adeguato per creare o eliminare esenzioni per le singole risorse. Verificare che l'assegnazione di ruolo includa l'ambito della risorsa da escludere.

• Quando si crea un'esenzione a livello di gruppo di gestione, assicurarsi che il provider di risorse di sicurezza Microsoft Azure disponga delle autorizzazioni necessarie assegnandole il ruolo Reader nel gruppo di gestione. Concedere questo ruolo allo stesso modo in cui si concedono le autorizzazioni utente.

Limitazioni:

• Non si creano esenzioni per raccomandazioni personalizzate.

• Le raccomandazioni di anteprima potrebbero non supportare le esenzioni. Controllare se la raccomandazione mostra un tag di anteprima .

• Alcune raccomandazioni in MCSB non supportano le esenzioni. È possibile trovare un elenco di queste raccomandazioni nelle domande frequenti sulle esenzioni.

• Se si disabilita una raccomandazione, si esentano anche tutte le relative sottocomendazioni.

• Le raccomandazioni basate su KQL usano assegnazioni standard e non usano eventi di esenzione di Criteri di Azure nei log delle attività. Per determinare se una raccomandazione è basata su KQL o basata su criteri, aprire la raccomandazione nel portale e controllare il campo Chiave di valutazione . Le raccomandazioni basate su KQL mostrano un formato chiave di valutazione standard e non hanno un collegamento di definizione Criteri di Azure associato. Le raccomandazioni basate su criteri visualizzano un collegamento diretto alla definizione dei criteri sottostante.

• Quando si crea un'esenzione dal portale di Defender per il cloud, Defender per il cloud identifica tutte le iniziative che contengono la raccomandazione e crea automaticamente l'esenzione tra tutte. Se invece si crea l'esenzione tramite l'API Criteri di Azure, è necessario creare manualmente un'esenzione separata per ogni iniziativa. Per altre informazioni, vedere le domande frequenti sulle esenzioni.

• Quando si assegna una nuova iniziativa che contiene una raccomandazione con un'esenzione esistente, l'esenzione non si applica alla nuova iniziativa. Creare una nuova esenzione per la raccomandazione nell'iniziativa appena assegnata.

Definire un'esenzione

È consigliabile creare esenzioni nel portale di Defender per il cloud. Le esenzioni create tramite l'API Criteri di Azure potrebbero non essere completamente integrate con Defender per il cloud e possono causare risultati imprevisti, ad esempio esenzioni che non vengono propagate correttamente in tutte le iniziative pertinenti. Se è necessario usare l'API, vedere struttura di esenzione di Criteri di Azure.

Per creare una regola di esenzione:

1. Accedi al portale di Azure.

2. Passare a Defender per il cloud>Consigli.

3. Seleziona una raccomandazione.

4. Selezionare Esentare.

   

5. Selezionare l'ambito per l'esenzione.

   • Se si seleziona un gruppo di gestione, Defender per il cloud esenta la raccomandazione da tutte le sottoscrizioni in tale gruppo.
   • Se si crea questa regola per esentare una o più risorse dalla raccomandazione, scegliere Risorse selezionate e selezionare le risorse pertinenti dall'elenco.

6. Immetti un nome.

7. (Facoltativo) impostare una data di scadenza.

8. Seleziona la categoria per l'esenzione:

   • Risolto tramite un servizio di terze parti (mitigato): nel caso in cui si utilizzi un servizio non Microsoft per la correzione che non è tracciato da Defender per il cloud.

   Annotazioni

   Se una risorsa viene esentata come mitigata, viene considerata integra. Non si ottengono punti correggendo la risorsa, ma Defender per il cloud non sottrae punti se la si lascia in uno stato non integro, di conseguenza le risorse esentate non abbassano il punteggio.

   • Rischio accettato (rinuncia): se si decide di accettare il rischio di non attenuare questa raccomandazione.

   1. Immettere una descrizione.

   2. Fare clic su Crea.

   

Dopo aver creato l'esenzione

Un'esenzione può richiedere fino a 24 ore perché Defender per il cloud valuta le risorse ogni 12-24 ore. Dopo l'applicazione dell'esenzione:

• Le raccomandazioni o le risorse non influiscono sul punteggio di sicurezza.

• Se si esentano risorse specifiche, Defender per il cloud le elenca nella scheda Non applicabile della pagina dei dettagli della raccomandazione.

• Se si esenta una raccomandazione, Defender per il cloud lo nasconde per impostazione predefinita nella pagina Raccomandazioni . Questo comportamento si verifica perché il filtro di stato della raccomandazione predefinito esclude le raccomandazioni non applicabili . Lo stesso comportamento si verifica se si esentano tutte le raccomandazioni in un controllo di sicurezza.

Comprendere in che modo il tipo di esenzione influisce sullo stato della raccomandazione

Il tipo di esenzione selezionato determina il modo in cui l'esenzione influisce sulla raccomandazione e sul punteggio di sicurezza:

• Esenzioni attenuate : le risorse esentate vengono conteggiate come integre. Il punteggio di sicurezza è aumentato.
• Esenzioni: le risorse esentate sono escluse dal calcolo del punteggio di sicurezza. Le risorse non vengono conteggiate per il punteggio di sicurezza, ma potrebbero comunque essere visualizzate nei suggerimenti.

Verificare che l'esenzione funzioni

Se la raccomandazione mostra ancora le risorse come non integre dopo 24 ore, vedere Risolvere un'esenzione che non aggiorna lo stato della raccomandazione per i passaggi dettagliati.

Passo successivo