Undanta resurser från rekommendationer

Viktigt!

Den här funktionen är en förhandsversion. Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet. Den här Premium Azure Policy-funktionen erbjuds utan extra kostnad för kunder med Microsoft Defender för molnets förbättrade säkerhetsfunktioner aktiverade. För andra användare kan avgifter tillkomma i framtiden.

När du undersöker säkerhetsrekommendationer i Microsoft Defender för molnet granskar du listan över berörda resurser. Ibland hittar du en resurs som inte ska finnas i listan, eller så hittar du en rekommendation som visas i ett omfång där den inte hör hemma. Till exempel kanske Defender för molnet inte spårar en reparationsprocess, eller så kanske en rekommendation inte gäller för en viss prenumeration. Din organisation kan besluta att acceptera de risker som är relaterade till den specifika resursen eller rekommendationen.

I sådana fall skapar du en undantagsregel för att:

  • Undanta en resurs för att ta bort den från listan över ohälsosamma resurser och från påverkan på säkerhetspoängen. Defender för molnet listar resursen som Inte tillämplig och visar orsaken som Undantagen med den motivering som du väljer.

  • Undanta en prenumeration eller hanteringsgrupp för att förhindra att rekommendationen påverkar din säkerhetspoäng eller visas för det specifika området. Undantaget gäller för befintliga resurser och resurser som du skapar senare. Defender för molnet markerar rekommendationen med den motivering som du väljer för det omfånget.

Skapa en undantagsregel för varje omfång för att:

  • Markera en specifik rekommendation som Minimerad eller Risk accepterad för en eller flera prenumerationer eller för en hanteringsgrupp.

  • Markera en eller flera resurser som minimerade eller riskgodkända för en specifik rekommendation.

Resursundantaget är begränsat till 5 000 resurser per prenumeration. Om du lägger till fler än 5 000 undantag per prenumeration kan det uppstå belastningsproblem på undantagssidan.

Förutsättningar

Defender för molnet undantaget bygger på initiativet Microsoft Cloud Security Benchmark (MCSB). MCSB måste tilldelas på prenumerationen innan du skapar undantag.

Viktigt!

Utan MCSB tilldelat:

  • Vissa portalfunktioner kanske inte fungerar som förväntat.
  • Resurser kanske inte visas i efterlevnadsvyer.
  • Undantagsalternativ kan ibland vara otillgängliga.

Du kan skapa undantag för rekommendationer som tillhör MCSB-standardinitiativet eller andra fördefinierade regelstandarder. Vissa rekommendationer i MCSB stöder inte undantag. Du hittar en lista över dessa rekommendationer i vanliga frågor och svar om undantag.

Behörigheter:

Om du vill skapa undantag behöver du följande behörigheter:

  • Ägare eller säkerhetsadministratör för omfånget där du skapar undantaget.
  • För att skapa en regel behöver du behörighet att redigera principer i Azure Policy. Läs mer.
  • Du måste ha undantagsbehörighet för alla initiativtilldelningar i målomfånget. Om flera initiativ innehåller en rekommendation måste du skapa undantaget med behörigheter för alla. En behörighet som saknas på ett och samma initiativ kan leda till att undantaget misslyckas.

Du behöver följande RBAC-åtgärder:

Action beskrivning
Microsoft.Authorization/policyExemptions/write Skapa ett undantag
Microsoft.Authorization/policyExemptions/delete Ta bort ett undantag
Microsoft.Authorization/policyExemptions/read Visa ett undantag
Microsoft.Authorization/policyAssignments/exempt/action Utföra en undantagsåtgärd i ett länkat omfång

Anmärkning

Om någon av dessa åtgärder saknas kan knappen Undanta vara dold. Anpassade roller har begränsat stöd för undantagsåtgärder.

Om du vill hantera undantag använder du någon av följande inbyggda roller:

  • Säkerhetsadministratör (rekommenderas)
  • Ägare
  • Deltagare (på prenumerationsnivå)
  • Resurspolicyskapare

  • Behörigheter på prenumerationsnivå ärver inte uppåt till hanteringsgrupper. Om principtilldelningen är på hanteringsgruppsnivå behöver du rollen tilldelad på den nivån.

  • Om du vill hantera undantag för specifika resurser behöver du nödvändiga RBAC-åtgärder på resurs- eller resursgruppsnivå. Rolltilldelningar med prenumerationsomfång kanske inte ger tillräcklig åtkomst för att skapa eller ta bort undantag för enskilda resurser. Kontrollera att rolltilldelningen täcker omfånget för den resurs som du vill undanta.

  • När du skapar ett undantag på hanteringsgruppsnivå kontrollerar du att Microsoft Azure Security Resource Provider har nödvändiga behörigheter genom att tilldela den rollen Reader i hanteringsgruppen. Bevilja den här rollen på samma sätt som du beviljar användarbehörigheter.

Limitations:

  • Du skapar inte undantag för anpassade rekommendationer.

  • Förhandsgranskningsrekommendationer kanske inte stöder undantag. Kontrollera om rekommendationen visar en förhandsgranskningstagg .

  • Vissa rekommendationer i MCSB stöder inte undantag. Du hittar en lista över dessa rekommendationer i vanliga frågor och svar om undantag.

  • Om du inaktiverar en rekommendation undantar du även alla dess underrekommendationer.

  • KQL-baserade rekommendationer använder standardtilldelningar och använder inte Azure Policy undantagshändelser i aktivitetsloggarna. Om du vill avgöra om en rekommendation är KQL-baserad eller principbaserad öppnar du rekommendationen i portalen och kontrollerar fältet Utvärderingsnyckel . KQL-baserade rekommendationer visar ett standardformat för utvärderingsnycklar och har ingen associerad Azure Policy definitionslänk. Principbaserade rekommendationer visar en direktlänk till den underliggande principdefinitionen.

  • När du skapar ett undantag från Defender för molnet-portalen identifierar Defender för molnet alla initiativ som innehåller rekommendationen och skapar undantaget för alla automatiskt. Om du skapar undantaget via Azure Policy-API:et i stället måste du skapa ett separat undantag för varje initiativ manuellt. Mer information finns i vanliga frågor och svar om undantag.

  • När du tilldelar ett nytt initiativ som innehåller en rekommendation med ett befintligt undantag överförs inte undantaget till det nya initiativet. Skapa ett nytt undantag för rekommendationen under det nyligen tilldelade initiativet.

Tip

Om du stöter på problem när du har skapat ett undantag kan du läsa Mer information om hur du granskar och hanterar rekommendationsundantag :

Definiera ett undantag

Vi rekommenderar att du skapar undantag i Defender för molnet-portalen. Undantag som skapas via Azure Policy-API:et kanske inte helt integreras med Defender för molnet och kan orsaka oväntade resultat, till exempel undantag som inte sprids korrekt i alla relevanta initiativ. Om du behöver använda API:et kan du läsa Azure Policy undantagsstruktur.

Så här skapar du en undantagsregel:

  1. Logga in på Azure-portalen.

  2. Gå till Defender för Cloud>Rekommendationer.

  3. Välj en rekommendation.

  4. Välj Undanta.

    Skapa en undantagsregel för en rekommendation som ska undantas från en prenumeration eller hanteringsgrupp.

  5. Välj omfånget för undantaget.

    • Om du väljer en hanteringsgrupp undantar Defender för molnet rekommendationen från alla prenumerationer i gruppen.
    • Om du skapar den här regeln för att undanta en eller flera resurser från rekommendationen väljer du Valda resurser och väljer relevanta resurser i listan.

  6. Ange ett namn.

  7. (Valfritt) ange ett förfallodatum.

  8. Välj kategorin för undantaget:

    • Resolved through third-party service (mitigated) – om du använder dig av en icke-Microsoft-tjänst för åtgärdande som Defender för molnet inte spårar.

    Anmärkning

    När du undantar en resurs som mildrad räknas den som hälsosam. Du får inte poäng för åtgärden, men Defender för molnet drar inte av poäng för att lämna den ohälsosam, så undantagna resurser sänker inte din poäng.

    • Risk accepteras (undantag) – om du bestämmer dig för att acceptera risken för att inte mildra denna rekommendation.

    1. Ange en beskrivning.

    2. Välj Skapa.

    Steg för att skapa en undantagsregel för att undanta en rekommendation från din prenumeration eller hanteringsgrupp.

När du har skapat undantaget

Ett undantag kan ta upp till 24 timmar att börja gälla eftersom Defender för molnet utvärderar resurser var 12–24:e timme. När undantaget träder i kraft:

  • Rekommendationen eller resurserna påverkar inte din säkerhetspoäng.

  • Om du undantar specifika resurser listar Defender för molnet dem på fliken Ej tillämpligt på sidan med rekommendationsinformation.

  • Om du undantar en rekommendation döljer Defender för molnet den som standard på sidan Rekommendationer . Det här beteendet inträffar eftersom standardfiltret rekommendationsstatus exkluderar Inte tillämpliga rekommendationer. Samma beteende inträffar om du undantar alla rekommendationer i en säkerhetskontroll.

Förstå hur undantagstypen påverkar rekommendationsstatusen

Den undantagstyp som du väljer avgör hur undantaget påverkar rekommendationen och säkerhetspoängen:

  • Minimerade undantag: Undantagna resurser räknas som felfria. Säkerhetspoängen ökar.
  • Undantag: Undantagna resurser undantas från beräkningen av säkerhetspoäng. Resurser räknas inte in i säkerhetspoängen men kan fortfarande förekomma i rekommendationer.

Anmärkning

Förhandsversionsrekommendationer påverkar inte säkerhetspoängen oavsett undantagsstatus.

Kontrollera att undantaget fungerar

Om rekommendationen fortfarande visar resurser som ohälsosamma efter 24 timmar, se Lösa ett undantag som inte uppdaterar rekommendationsstatusen för detaljerade instruktioner.

Nästa steg

Granska och hantera rekommendationsundantag

  • Last updated on