Isentar recursos das recomendações

Quando investiga as recomendações de segurança no Microsoft Defender para a Cloud, revê a lista de recursos afetados. Por vezes, encontras um recurso que não deveria estar na lista, ou uma recomendação que aparece num âmbito onde não pertence. Por exemplo, o Defender para a Cloud pode não acompanhar um processo de remediação, ou uma recomendação pode não se aplicar a uma subscrição específica. A sua organização pode decidir aceitar os riscos relacionados com o recurso ou recomendação específica.

Nesses casos, criar uma regra de isenção para:

• Isentar um recurso e removê-lo da lista de recursos não saudáveis e do impacto na pontuação segura. O Defender para a Cloud lista o recurso como Não aplicável e mostra a razão como Isento com a justificação que selecionar.

• Isenta uma subscrição ou grupo de gestão para evitar que a recomendação afete a tua pontuação segura ou apareça nesse âmbito. A isenção aplica-se a recursos existentes e a recursos que cria mais tarde. Defender para a Cloud assinala a recomendação com a justificação que selecionar para esse alcance.

Para cada âmbito, criar uma regra de isenção para:

• Marque uma recomendação específica como Mitigada ou Risco aceite para uma ou mais subscrições, ou para um grupo de gestão.

• Marque um ou mais recursos como Mitigados ou Riscos Aceites para uma recomendação específica.

A isenção de recursos está limitada a 5.000 recursos por subscrição. Se adicionar mais de 5.000 isenções por subscrição, pode ter problemas de carregamento na página de isenções.

Pré-requisitos

A exceção do Defender para a Cloud baseia-se na iniciativa Microsoft Cloud Security Benchmark (MCSB). O MCSB deve ser atribuído à subscrição antes de criar isenções.

Pode criar isenções para recomendações que pertencem à iniciativa padrão do MCSB ou a outros padrões regulatórios incorporados. Algumas recomendações no MCSB não apoiam isenções. Pode encontrar uma lista destas recomendações nas perguntas frequentes sobre isenções.

Permissões:

Para criar isenções, precisa das seguintes permissões:

• Proprietário ou Administrador de Segurança , dependendo do âmbito onde cria a isenção.
• Para criar uma regra, precisa de permissões para editar políticas no Azure Policy. Mais informações.
• Deve ter autorização de isenção em todas as atribuições de iniciativa no âmbito alvo. Se várias iniciativas conterem uma recomendação, deve criar a isenção com permissões para todas elas. A ausência de permissão até para uma iniciativa pode fazer com que a isenção não funcione.

Precisa das seguintes ações RBAC:

• As permissões ao nível de subscrição não herdam para os grupos de gestão. Se a atribuição de políticas for ao nível do grupo de gestão, precisas do papel atribuído a esse nível.

• Para gerir isenções para recursos específicos, precisa das ações RBAC exigidas ao nível do recurso ou grupo de recursos. Atribuições de funções com âmbito de subscrição podem não fornecer acesso suficiente para criar ou eliminar isenções em recursos individuais. Verifica se a tua atribuição de função cobre o âmbito do recurso que pretendes isentar.

• Quando criar uma isenção ao nível do grupo de gestão, assegure que o Fornecedor de Recursos de Segurança Microsoft Azure tem as permissões necessárias, atribuindo-lhe o papel de Reader nesse grupo de gestão. Conceda esta função da mesma maneira que concede permissões aos utilizadores.

Limitações:

• Não crias isenções para recomendações personalizadas.

• As recomendações de pré-visualização podem não suportar isenções. Verifica se a recomendação mostra uma etiqueta de Pré-visualização .

• Algumas recomendações no MCSB não apoiam isenções. Pode encontrar uma lista destas recomendações nas perguntas frequentes sobre isenções.

• Se desativares uma recomendação, também isentas todas as suas subrecomendações.

• Recomendações baseadas em KQL usam atribuições padrão e não usam eventos de isenção do Azure Policy nos Registos de Atividade. Para determinar se uma recomendação é baseada em KQL ou em políticas, abra a recomendação no portal e verifique o campo de chave de Avaliação . As recomendações baseadas em KQL mostram um formato padrão de chave de avaliação e não têm um link associado à definição do Azure Policy. As recomendações baseadas em políticas apresentam uma ligação direta à definição subjacente da política.

• Quando cria uma isenção no portal Defender para a Cloud, o Defender para a Cloud identifica todas as iniciativas que contêm a recomendação e cria automaticamente a isenção em todas elas. Se criar a isenção através da API do Azure Policy, terá de criar manualmente uma isenção separada para cada iniciativa. Para mais informações, consulte o FAQ sobre isenções.

• Quando atribui uma nova iniciativa que contém uma recomendação com uma isenção existente, a isenção não se transfere para a nova iniciativa. Criar uma nova isenção para a recomendação ao abrigo da iniciativa recém-atribuída.

Definir uma isenção

Recomendamos a criação de isenções no portal Defender para a Cloud. Isenções criadas através da API Azure Policy podem não integrar-se totalmente com o Defender para a Cloud e podem causar resultados inesperados, como isenções que não se propagam corretamente em todas as iniciativas relevantes. Se precisar de usar a API, veja estrutura de isenções do Azure Policy.

Para criar uma regra de isenção:

1. Inicie sessão no portal Azure.

2. Vá paraRecomendações do >.

3. Selecione uma recomendação.

4. Selecione Isentar.

   

5. Selecione o âmbito da isenção.

   • Se selecionar um grupo de gestão, o Defender para a Cloud isenta a recomendação de todas as subscrições desse grupo.
   • Se criar esta regra para isentar um ou mais recursos da recomendação, escolha Recursos selecionados e selecione os recursos relevantes da lista.

6. Introduza um nome.

7. (Opcional) define uma data de validade.

8. Selecione a categoria para a isenção:

   • Resolvido através de serviço de terceiros (mitigado) – se usar um serviço que não seja Microsoft para remediação, que o Defender para a Cloud não acompanha.

   Observação

   Quando isentas um recurso como mitigado, conta como saudável. Não ganhas pontos pela remediação, mas o Defender para a Cloud não desconta pontos por deixá-la pouco saudável, por isso os recursos isentos não baixam a tua pontuação.

   • Risco aceite (dispensa) – se decidir aceitar o risco de não mitigar esta recomendação.

   1. Introduza uma descrição.

   2. Selecione Criar.

   

Depois de criar a isenção

Uma isenção pode demorar até 24 horas a entrar em vigor porque o Defender para a Cloud avalia recursos a cada 12-24 horas. Após a entrada em vigor da isenção:

• A recomendação ou os recursos não afetam a sua pontuação de segurança.

• Se isentar recursos específicos, o Defender para a Cloud lista-os no separador Não aplicável da página de detalhes de recomendação.

• Se isentar uma recomendação, o Defender para a Cloud oculta-a por defeito na página de Recomendações . Este comportamento acontece porque o filtro padrão de estado de Recomendação exclui Recomendações Não aplicáveis . O mesmo comportamento ocorre se excluir todas as recomendações de um controlo de segurança.

Compreenda como o tipo de isenção afeta o estatuto de recomendação

O tipo de isenção que escolher determina como a isenção afeta a recomendação e a pontuação segura:

• Isenções mitigadas : Recursos isentos contam como saudáveis. A pontuação de segurança melhora.
• Isenções de renúncia: Recursos isentos são excluídos do cálculo da pontuação de segurança. Os recursos não contam para a pontuação segura, mas podem aparecer nas recomendações.

Verifique se a isenção está a funcionar

Se a recomendação ainda mostrar recursos como pouco saudáveis após 24 horas, consulte Resolver uma isenção que não atualize o estado da recomendação para passos detalhados.

Próximo passo