Isentar recursos das recomendações

Importante

Esta funcionalidade está em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral. Esta funcionalidade premium da Política Azure é oferecida sem custos adicionais para os clientes com as funcionalidades de segurança melhoradas do Microsoft Defender para a Cloud ativadas. Para outros utilizadores, poderão ser aplicadas taxas no futuro.

Quando investiga as recomendações de segurança no Microsoft Defender para a Cloud, revê a lista de recursos afetados. Por vezes, encontras um recurso que não deveria estar na lista, ou uma recomendação que aparece num âmbito onde não pertence. Por exemplo, um recurso pode ser corrigido por um processo que o Defender para a Cloud não acompanha, ou uma recomendação pode não se aplicar a uma subscrição específica. A sua organização pode decidir aceitar os riscos relacionados com o recurso ou recomendação específica.

Nesses casos, criar uma regra de isenção para:

  • Isentar um recurso e removê-lo da lista de recursos não saudáveis e do impacto na pontuação segura. O Defender para a Cloud lista o recurso como Não aplicável e mostra a razão como Isento com a justificação que selecionar.

  • Isenta uma subscrição ou grupo de gestão para evitar que a recomendação afete a tua pontuação segura ou apareça nesse âmbito. A isenção aplica-se a recursos existentes e a recursos que cria mais tarde. Defender para a Cloud assinala a recomendação com a justificação que selecionar para esse alcance.

Para cada âmbito, criar uma regra de isenção para:

  • Marque uma recomendação específica como Mitigada ou Risco aceite para uma ou mais subscrições, ou para um grupo de gestão.

  • Marque um ou mais recursos como Mitigados ou Riscos Aceites para uma recomendação específica.

A isenção de recursos está limitada a 5.000 recursos por subscrição. Se adicionar mais de 5.000 isenções por subscrição, pode ter problemas de carregamento na página de isenções.

Antes de começar

Para criar isenções, precisa das seguintes permissões:

  • Proprietário ou Administrador de Segurança , dependendo do âmbito onde cria a isenção.
  • Para criar uma regra, precisa de permissões para editar políticas no Azure Policy. Mais informações.
  • Deve ter autorização de isenção em todas as atribuições de iniciativa no âmbito alvo. Se uma recomendação fizer parte de várias iniciativas, deve criar a isenção com permissões para todas elas. A ausência de permissão até para uma iniciativa pode fazer com que a isenção não funcione.

Precisa das seguintes ações RBAC:

Action Descrição
Microsoft.Authorization/policyExemptions/write Criar uma isenção
Microsoft.Authorization/policyExemptions/delete Eliminar uma isenção
Microsoft.Authorization/policyExemptions/read Ver uma isenção
Microsoft.Authorization/policyAssignments/exempt/action Realizar uma operação de isenção num âmbito ligado

Observação

Se alguma destas ações estiver em falta, o botão Isento pode estar oculto. Os papéis personalizados têm suporte limitado para operações de isenção. Apenas as funções incorporadas podem realizar certas ações relacionadas com isenções. Use um dos seguintes papéis incorporados para gerir isenções: Administrador de Segurança (recomendado), Proprietário, Contribuidor ao nível da subscrição, ou Contribuidor de Política de Recursos.

  • As permissões ao nível de subscrição não herdam para os grupos de gestão. Se a atribuição de políticas for ao nível do grupo de gestão, precisas do papel atribuído a esse nível.

  • Para gerir isenções para recursos específicos, precisa das ações RBAC exigidas ao nível do recurso ou grupo de recursos. Atribuições de funções com âmbito de subscrição podem não fornecer acesso suficiente para criar ou eliminar isenções em recursos individuais. Verifica se a tua atribuição de função cobre o âmbito do recurso que pretendes isentar.

  • Microsoft Cloud Security Benchmark (MCSB) deve ser atribuído na subscrição.

    Importante

    As isenções do Defender para a Cloud dependem da iniciativa Microsoft Cloud Security Benchmark (MCSB) para avaliar e recuperar o estado de conformidade dos recursos no portal do Defender para a Cloud. Sem MCSB atribuído:

    • Algumas funcionalidades do portal podem não funcionar como esperado.
    • Os recursos podem não aparecer nas vistas de conformidade.
    • As opções de isenção podem, por vezes, não estar disponíveis.

  • Pode criar isenções para recomendações que pertençam à iniciativa padrão Microsoft Cloud Security Benchmark (MCSB ) do Defender para a Cloud ou a outros padrões regulatórios incorporados.

  • Algumas recomendações no Microsoft Cloud Security Benchmark (MCSB) não suportam isenções. Pode encontrar uma lista destas recomendações nas perguntas frequentes sobre isenções.

  • Deve isentar as recomendações que aparecem em múltiplas iniciativas políticas em cada iniciativa. Para mais informações, consulte o FAQ sobre isenções.

  • Não crias isenções para recomendações personalizadas.

  • As recomendações de pré-visualização podem não suportar isenções. Verifica se a recomendação mostra uma etiqueta de Pré-visualização .

  • Recomendações baseadas em KQL usam atribuições padrão e não usam eventos de isenção do Azure Policy nos Registos de Atividade.

  • Se desativares uma recomendação, também isentas todas as suas subrecomendações.

  • Além do portal, pode criar isenções utilizando a interface de programação de aplicações (API) do Azure Policy. Para obter mais informações, consulte Estrutura de isenção da Política do Azure.

  • Quando criar uma isenção ao nível do grupo de gestão, certifique-se de que o Fornecedor de Recursos de Segurança do Windows Azure tem as permissões necessárias, atribuindo-lhe o papel de Leitor nesse grupo de gestão. Conceda esta função da mesma maneira que concede permissões aos utilizadores.

Tip

Se surgirem problemas após criar uma isenção, consulte Rever e gerir isenções de recomendação para orientações sobre a resolução de estado de não-conformidade, erros de permissões ao nível do grupo de gestão, isenções ausentes no portal, eliminação de isenções e limpeza de isenções duplicadas.

Definir uma isenção

Para criar uma regra de isenção:

  1. Inicie sessão no portal Azure.

  2. Vá paraRecomendações do >.

  3. Selecione uma recomendação.

  4. Selecione Isentar.

    Crie uma regra de isenção para que uma recomendação seja isenta de uma assinatura ou grupo de gerenciamento.

  5. Selecione o âmbito da isenção.

    • Se selecionar um grupo de gestão, o Defender para a Cloud isenta a recomendação de todas as subscrições desse grupo.
    • Se criar esta regra para isentar um ou mais recursos da recomendação, escolha Recursos selecionados e selecione os recursos relevantes da lista.

  6. Introduza um nome.

  7. (Opcional) define uma data de validade.

  8. Selecione a categoria para a isenção:

    • Resolvido através de terceiros (mitigado) – se usar um serviço de terceiros que o Defender para a Cloud não identifica.

    Observação

    Quando isentas uma recomendação como mitigada, não ganhas pontos para a tua pontuação segura. No entanto, como o Defender para a Cloud não retira pontos pelos recursos pouco saudáveis, a tua pontuação aumenta.

    • Risco aceite (dispensa) – se decidir aceitar o risco de não mitigar esta recomendação.

    1. Introduza uma descrição.

    2. Selecione Criar.

    Passos para criar uma regra de isenção para dispensar uma recomendação da sua subscrição ou grupo de gestão.

Depois de criar a isenção

Uma isenção pode demorar até 24 horas a entrar em vigor. O Defender para a Cloud avalia os recursos periodicamente, normalmente a cada 12-24 horas. Após a entrada em vigor da isenção:

  • A recomendação ou os recursos não afetam a sua pontuação de segurança.

  • Se isentar recursos específicos, o Defender para a Cloud lista-os no separador Não aplicável da página de detalhes de recomendação.

  • Se isentar uma recomendação, o Defender para a Cloud oculta-a por defeito na página de Recomendações . Este comportamento ocorre porque as opções padrão do filtro de estado de Recomendação nessa página excluem Recomendações Não aplicáveis . O mesmo comportamento ocorre se excluir todas as recomendações de um controlo de segurança.

Compreenda como o tipo de isenção afeta o estatuto de recomendação

O tipo de isenção que escolher determina como a isenção afeta a recomendação e a pontuação segura:

  • Isenções mitigadas : Recursos isentos contam como saudáveis. A pontuação de segurança melhora.
  • Isenções de renúncia: Recursos isentos são excluídos do cálculo da pontuação de segurança. Os recursos não contam para a pontuação segura, mas podem aparecer nas recomendações.

Observação

As recomendações de pré-visualização não afetam a pontuação de segurança, independentemente do status de isenção.

Verifique se a isenção está a funcionar

Se a recomendação ainda mostrar recursos como pouco saudáveis após 24 horas, consulte Resolver uma isenção que não atualize o estado da recomendação para passos detalhados.

Próximo passo

Revisão e gestão de isenções de recomendação

  • Last updated on