リソースを推奨事項から除外する

Important

この機能はプレビュー段階にあります。 Azure プレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用される追加の法的条件が含まれています。 この Premium Azure Policy 機能は、Microsoft Defender for Cloud の強化されたセキュリティ機能が有効になっているお客様に追加料金なしで提供されます。 他のユーザーについては、将来、料金が適用されることがあります。

Microsoft Defender for Cloud でセキュリティに関する推奨事項を調査するときは、影響を受けるリソースの一覧を確認します。 一覧に含まれてはならないリソースが見つかる場合や、属していないスコープに表示される推奨事項が見つかる場合があります。 たとえば、Defender for Cloudが修復プロセスを追跡しない場合や、推奨事項が特定のサブスクリプションに適用されない場合があります。 組織は、特定のリソースまたは推奨事項に関連するリスクを受け入れることを決定する場合があります。

このような場合は、次の例外ルールを作成します。

  • リソースを除外して、異常なリソースの一覧から削除し、セキュリティ スコアへの影響から削除します。 Defender for Cloud では、リソースが [適用なし ] として一覧表示され、理由が 除外として表示され 、選択した正当な理由が表示されます。

  • 推奨事項がセキュリティ スコアに影響を与えたり、そのスコープに対して表示されたりしないように、サブスクリプションまたは管理グループを除外します。 除外は、既存のリソースと、後で作成するリソースに適用されます。 Defender for Cloud は、そのスコープに対して選択した理由を元に推奨事項をマークします。

スコープごとに、次の適用除外規則を作成します。

  • 特定の推奨事項を、1 つ以上のサブスクリプションまたは管理グループに対して受け入れられる軽減またはリスクとしてマークします。

  • 特定の推奨事項に対して 1 つ以上のリソース軽減 済みまたは リスク受け入れ 済みとしてマークします。

リソースの除外は、サブスクリプションあたり 5,000 リソースに制限されます。 サブスクリプションごとに 5,000 を超える除外を追加すると、除外ページで負荷の問題が発生する可能性があります。

Prerequisites

Defender for Cloud除外は、Microsoft Cloud セキュリティ ベンチマーク (MCSB) イニシアチブに依存します。 除外を作成する前に、サブスクリプションに MCSB を割り当てる必要があります。

Important

MCSB が割り当てされていない場合:

  • 一部のポータル機能は期待どおりに動作しない可能性があります。
  • リソースがコンプライアンス ビューに表示されない場合があります。
  • 除外オプションが使用できない場合があります。

既定の MCSB イニシアチブまたは他の組み込みの規制基準に属する推奨事項の除外を作成できます。 MCSB の一部の推奨事項では、除外がサポートされていません。 これらの推奨事項の一覧は、 除外に関する FAQ で確認できます。

アクセス許可:

除外を作成するためには、次のアクセス許可が必要です:

  • 除外を作成するスコープの所有者またはセキュリティ管理者
  • 規則を作成するには、Azure Policy でポリシーを編集するためのアクセス許可が必要です。 詳細については、こちらを参照してください
  • ターゲット スコープのすべてのイニシアティブ割り当てに対する免除権限が必要です。 複数のイニシアティブに推奨事項が含まれている場合は、すべてのイニシアチブに対するアクセス許可を持つ除外を作成する必要があります。 1 つのイニシアチブに対するアクセス許可が不足していると、除外が失敗する可能性があります。

次の RBAC アクションが必要です。

Action 説明
Microsoft.Authorization/policyExemptions/write 除外を作成する
Microsoft.Authorization/policyExemptions/delete 除外を削除する
Microsoft.Authorization/policyExemptions/read 除外を表示する
Microsoft.Authorization/policyAssignments/exempt/action リンクされたスコープに対して除外操作を実行する

これらのアクションのいずれかが見つからない場合は、[ 除外 ] ボタンが非表示になっている可能性があります。 カスタム ロールでは、除外操作に対する制限付きサポートが提供されます。

除外を管理するには、次のいずれかの組み込みロールを使用します。

  • セキュリティ管理者 (推奨)
  • Owner
  • 共同作成者 (サブスクリプション レベル)
  • リソース ポリシー共同作成者

  • サブスクリプション レベルのアクセス許可は、管理グループに対して上位に継承されません。 ポリシーの割り当てが管理グループ レベルにある場合は、そのレベルで割り当てられたロールが必要です。

  • 特定のリソースの除外を管理するには、リソースまたはリソース グループ レベルで必要な RBAC アクションが必要です。 サブスクリプション スコープのロールの割り当てでは、個々のリソースに対する除外を作成または削除するための十分なアクセス権が提供されない場合があります。 ロールの割り当てが、除外するリソースのスコープをカバーしていることを確認します。

  • 管理グループ レベルで除外を作成する場合は、Microsoft Azure セキュリティ リソース プロバイダーにその管理グループの Reader ロールを割り当てることで、必要なアクセス許可を持っていることを確認します。 ユーザーにアクセス許可を付与するのと同じ方法で、このロールを付与します。

制限事項:

  • カスタムレコメンデーションの除外は作成しません。

  • プレビューの推奨事項では、除外がサポートされない場合があります。 推奨事項に プレビュー タグが表示されているかどうかを確認します。

  • MCSB の一部の推奨事項では、除外がサポートされていません。 これらの推奨事項の一覧は、 除外に関する FAQ で確認できます。

  • 推奨事項を無効にした場合は、そのすべてのサブコミットも除外されます。

  • KQL ベースの推奨事項では標準の割り当てが使用され、アクティビティ ログの Azure Policy 除外イベントは使用されません。 推奨事項が KQL ベースかポリシー ベースかを判断するには、ポータルで推奨事項を開き、[ 評価キー ] フィールドを確認します。 KQL ベースの推奨事項では、標準の評価キー形式が表示され、Azure Policy定義リンクは関連付けられません。 ポリシー ベースの推奨事項には、基になるポリシー定義への直接リンクが表示されます。

  • Defender for Cloud ポータルから除外を作成すると、Defender for Cloudは推奨事項を含むすべてのイニシアチブを識別し、それらのすべてに対して自動的に除外を作成します。 代わりにAzure Policy API を使用して除外を作成する場合は、イニシアチブごとに個別の除外を手動で作成する必要があります。 詳細については、 除外に関する FAQ を参照してください

  • 既存の除外を含む推奨事項を含む新しいイニシアチブを割り当てると、除外は新しいイニシアチブに引き継がれることはありません。 新しく割り当てられたイニシアチブの下に、推奨事項の新しい除外を作成します。

Tip

除外の作成後に問題が発生した場合は、 推奨事項の除外の確認と管理 に関するガイダンスを参照してください。

除外対象の定義

Defender for Cloud ポータルで除外を作成することをお勧めします。 Azure Policy API を使用して作成された除外は、Defender for Cloudと完全には統合されず、関連するすべてのイニシアチブに正しく反映されない除外など、予期しない結果を引き起こす可能性があります。 API を使用する必要がある場合は、Azure Policy 除外構造を参照してください。

除外規則を作成するには、次の手順を実行します。

  1. Azure portal にサインインする

  2. Defender for Cloud>Recommendations に移動します。

  3. レコメンデーションを選択します。

  4. [除外] を選択します。

    サブスクリプションまたは管理グループから除外する推奨事項の除外規則を作成します。

  5. 除外対象の範囲を選択します。

    • 管理グループを選択すると、「Defender for Cloud」はそのグループ内すべてのサブスクリプションから推奨事項を免除します。
    • このルールを作成して 1 つ以上のリソースを推奨事項から除外する場合は、[ 選択したリソース] を選択し、一覧から関連するリソースを選択します。

  6. 名前を入力してください。

  7. (省略可能) 有効期限を設定します。

  8. 除外対象のカテゴリを選択します。

    • サードパーティのサービスを利用した対策により解消 (軽減) - これにより、Defender for Cloud が追跡しない非Microsoft のサービスを使用した場合に対策が行われます。

    軽減対象としてリソースを除外すると、正常としてカウントされます。 修復のポイントは得られませんが、Defender for Cloudは異常なままにすることでポイントを差し引くことはありません。そのため、除外されたリソースはスコアを下げません。

    • 受け入れられたリスク (放棄) – この推奨事項を軽減しないリスクを受け入れることにした場合。

    1. 説明を入力します。

    2. を選択してを作成します。

    サブスクリプションまたは管理グループから推奨事項を除外するための除外規則を作成する手順。

除外を作成した後

Defender for Cloudは 12 ~ 24 時間ごとにリソースを評価するため、適用除外が有効になるまでに最大 24 時間かかることがあります。 除外が有効にされた後:

  • 推奨事項またはリソースは、セキュリティ スコアには影響しません。

  • 特定のリソースを除外する場合、Defender for Cloud では、推奨事項の詳細ページの [ 該当なし ] タブに一覧表示されます。

  • 推奨事項を除外すると、Defender for Cloud は既定で 推奨事項 ページで非表示にします。 この動作は、既定の 推奨事項の状態 フィルターで [ 適用されない ] 推奨事項が除外されるために発生します。 セキュリティ コントロール内のすべての推奨事項を除外すると、同じ動作が発生します。

除外の種類が推奨事項の状態にどのように影響するかを理解する

選択した除外の種類によって、除外が推奨事項とセキュリティ スコアに与える影響が決まります。

  • 軽減された免除: 免除されたリソースは正常と見なされます。 セキュリティ スコアが増加します。
  • 免除 の除外: 除外リソースは、セキュリティ スコアの計算から除外されます。 リソースはセキュリティ スコアにはカウントされませんが、推奨事項に表示される可能性があります。

プレビューの推奨事項は、除外の状態に関係なく、セキュリティ スコアには影響しません。

除外が機能していることを確認する

推奨事項に 24 時間後にリソースが異常と表示される場合は、「推奨事項の状態を 更新しない除外を解決 する」を参照して詳細な手順を確認してください。

次のステップ

推奨事項の除外を確認および管理する

  • Last updated on