Vyjmutí prostředků a doporučení z vašeho bezpečnostního skóre

  • Článek
  • 8 min ke čtení

Poznámka

Azure Security Center a Azure Defender se teď označují jako Microsoft Defender pro Cloud. Také jsme plány Azure Defender přejmenovaly na plány Microsoft Defenderu . například Azure defender pro Storage je nyní Microsoft Defender pro Storage.

Přečtěte si další informace o nedávných přejmenování služeb zabezpečení společnosti Microsoft.

Základní prioritou každého bezpečnostního týmu je zajistit, aby se analytici mohli zaměřit na úkoly a incidenty, které jsou pro organizaci důležité. Defender for Cloud má mnoho funkcí pro přizpůsobení prostředí a zajištění toho, aby bezpečnostní skóre odráželo priority zabezpečení vaší organizace. Jednou z takových funkcí je možnost, která je vyloučená.

Při zkoumání doporučení k zabezpečení v Microsoft Defenderu pro cloud je jednou z prvních informací seznam ovlivněných prostředků.

V některých případech se zobrazí seznam prostředků, u které máte pocit, že byste neměli být zahrnuti. Nebo se doporučení zobrazí v rozsahu, ve kterém si myslíte, že nepatří. Prostředek mohl být napravován procesem, který není sledován službou Defender for Cloud. Doporučení může být pro konkrétní předplatné nevhodné. Nebo se vaše organizace prostě rozhodla přijmout rizika související s konkrétními prostředky nebo doporučeními.

V takových případech můžete vytvořit výjimku pro doporučení pro:

  • Vyjmout prostředek, aby se zajistilo, že v budoucnu nebude uvedený s prostředky, které nejsou v pořádku, a nebude mít vliv na vaše bezpečnostní skóre. Prostředek bude uvedený jako nepoužiný a důvod se zobrazí jako vyloučený s konkrétním odůvodněním, které vyberete.

  • Vyjmout předplatné nebo skupinu pro správu, aby se zajistilo, že doporučení nebude mít vliv na vaše bezpečnostní skóre a nebude se v budoucnu zobrazovat pro předplatné nebo skupinu pro správu. To souvisí se stávajícími prostředky a prostředky, které vytvoříte v budoucnu. Doporučení bude označeno konkrétním odůvodněním, které vyberete pro vybraný obor.

Dostupnost

Aspekt Podrobnosti
Stav vydání: Preview
Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo jinak ještě nedostupné ve všeobecné dostupnosti.
Ceny: Jedná se o prémiovou Azure Policy, která se zákazníkům s povolenými vylepšenými funkcemi zabezpečení v programu Microsoft Defender for Cloud nabízí bez dalších nákladů. Pro ostatní uživatele se můžou v budoucnu platit poplatky.
Požadované role a oprávnění: Vlastník nebo Přispěvatel zásad prostředků pro vytvoření výjimky
K vytvoření pravidla potřebujete oprávnění k úpravám zásad v Azure Policy.
Další informace o oprávněních Azure RBAC najdete v Azure Policy.
Omezení: Výjimky je možné vytvořit pouze pro doporučení zahrnutá ve výchozí iniciativě služby Defender for Cloud, srovnávacím testu zabezpečení Azurenebo kterékoli z poskytnutých legislativních standardních iniciativ. Recommendations, které jsou generovány z vlastních iniciativ, nelze vyjmout. Přečtěte si další informace o relacích mezi zásadami, iniciativami a doporučeními.
Mraky: Komerční cloudy
Národní (Azure Government, Azure China 21Vianet)

Definování výjimky

Pokud chcete doladit doporučení zabezpečení, která Defender for Cloud provádí pro vaše předplatná, skupinu pro správu nebo prostředky, můžete vytvořit pravidlo výjimky pro:

  • Označte konkrétní doporučení nebo jako "zmírněné" nebo "přijaté riziko". Můžete vytvořit výjimky doporučení pro předplatné, více předplatných nebo celou skupinu pro správu.
  • U konkrétního doporučení označte jeden nebo více prostředků jako "zmírněné" nebo "přijaté riziko".

Poznámka

Výjimky je možné vytvořit pouze pro doporučení zahrnutá ve výchozí iniciativě služby Defender for Cloud, srovnávacím testu zabezpečení Azure nebo kterékoli z poskytnutých legislativních standardních iniciativ. Recommendations vygenerované z vlastních iniciativ přiřazených k vašim předplatným není možné vyjmout. Přečtěte si další informace o relacích mezi zásadami, iniciativami a doporučeními.

Tip

Výjimky můžete vytvořit také pomocí rozhraní API. Příklad kódu JSON a vysvětlení relevantních struktur najdete v tématu Azure Policy výjimky.

Vytvoření pravidla výjimky:

  1. Otevřete stránku s podrobnostmi doporučení pro konkrétní doporučení.

  2. Na panelu nástrojů v horní části stránky vyberte Vyloučené.

    Vytvořte pravidlo výjimky pro doporučení, které se má vyloučit z předplatného nebo skupiny pro správu.

  3. V podokně Výjimka:

    1. Vyberte obor pro toto pravidlo výjimky:

      • Pokud vyberete skupinu pro správu, doporučení bude vyloučeno ze všech předplatných v rámci této skupiny.
      • Pokud vytváříte pravidlo, které z doporučení vyloučilo jeden nebo více prostředků, zvolte Vybrané prostředky a v seznamu vyberte příslušné prostředky.

    2. Zadejte název tohoto pravidla výjimky.

    3. Volitelně můžete nastavit datum vypršení platnosti.

    4. Vyberte kategorii výjimky:

      • Vyřešeno prostřednictvím třetí strany (zmírněno) – pokud používáte službu třetí strany, kterou služba Defender for Cloud ne identifikovala.

        Poznámka

        Když vyjmout doporučení jako zmírněné, body ke svému bezpečnostnímu skóre se vám nezminí. Vzhledem k tomu, že se body pro prostředky, které nejsou v pořádku, neodebraly, je výsledkem zvýšení skóre.

      • Přijaté riziko (riziko) – pokud jste se rozhodli přijmout riziko, že toto doporučení nezmírníte

    5. Volitelně zadejte popis.

    6. Vyberte Vytvořit.

    Postup vytvoření pravidla výjimky pro výjimku doporučení z vašeho předplatného nebo skupiny pro správu

    Když se výjimka projeví (může trvat až 30 minut):

    • Doporučení nebo prostředky nebudou mít vliv na vaše bezpečnostní skóre.

    • Pokud jste vyjmuli konkrétní prostředky, budou uvedené na kartě Neuužitelně na stránce s podrobnostmi doporučení.

    • Pokud jste doporučení vyjmuli, bude ve výchozím nastavení skryté na stránce doporučení služby Defender for Cloud. Je to proto, že výchozí možnosti filtru Stav doporučení na této stránce se vylučují Nepouž uvedená doporučení. Totéž platí, pokud vyjmout všechna doporučení v kontrolním prvku zabezpečení.

      Výchozí filtry na stránce s doporučeními služby Microsoft Defender for Cloud skrývají neu příslušná doporučení a ovládací prvky zabezpečení.

    • Informační pruh v horní části stránky s podrobnostmi doporučení aktualizuje počet vyloučených prostředků:

      Počet vyloučených prostředků

  4. Pokud chcete zkontrolovat vyloučené prostředky, otevřete kartu Nelze použít:

    Úprava výjimky.

    Důvod každé výjimky je součástí tabulky (1).

    Pokud chcete výjimku upravit nebo odstranit, vyberte nabídku se třemi tečkami (...), jak je znázorněno na obrázku (2).

  5. Pokud chcete zkontrolovat všechna pravidla výjimek ve vašem předplatném, vyberte Zobrazit výjimky z informačního pruhu:

    Důležité

    Pokud chcete zobrazit konkrétní výjimky relevantní pro jedno doporučení, vyfiltrujte seznam podle příslušného oboru a názvu doporučení.

    Azure Policy stránce výjimky

    Tip

    Alternativně můžete pomocí azure resource Graph najít doporučení s výjimkami.

Monitorování výjimek vytvořených ve vašich předplatných

Jak je vysvětleno výše na této stránce, pravidla výjimek jsou výkonným nástrojem, který poskytuje podrobnou kontrolu nad doporučeními, která ovlivňují prostředky ve vašich předplatných a skupinách pro správu.

Aby bylo možné sledovat, jak uživatelé tuto funkci uplatňují, vytvořili jsme šablonu Azure Resource Manager (ARM), která nasadí playbook aplikace logiky a všechna nezbytná připojení ROZHRANÍ API, která vás upozorní na vytvoření výjimky.

Vyhledání prostředků s použitými výjimkami pomocí inventáře

Stránka inventáře prostředků v programu Microsoft Defender for Cloud poskytuje jednu stránku pro zobrazení stavu zabezpečení prostředků, které jste připojili k Defenderu for Cloud. Další informace najdete v části Prozkoumání a správa prostředků pomocí inventáře prostředků.

Stránka inventáře obsahuje mnoho filtrů, které vám umožňují zúžit seznam prostředků na ty, které jsou pro každý scénář nejdůležitější. Jedním z takových filtrů je výjimka Obsahuje. Pomocí tohoto filtru můžete vyhledat všechny prostředky, které jsou z jednoho nebo více doporučení vyloučené.

Stránka inventáře prostředků služby Defender for Cloud a filtr pro vyhledání prostředků s výjimkami

Vyhledání doporučení s výjimkami s využitím Azure Resource Graph

Azure Resource Graph (ARG) poskytuje okamžitý přístup k informacím o prostředcích v cloudových prostředích s robustními možnostmi filtrování, seskupování a řazení. Jedná se o rychlý a efektivní způsob dotazování na informace napříč předplatným Azure prostřednictvím kódu programu nebo z Azure Portal.

Zobrazení všech doporučení, která mají pravidla výjimky:

  1. Otevřete Azure Resource Graph Explorer.

    spouští se stránka doporučení pro Azure Resource Graph * *.

  2. Zadejte následující dotaz a vyberte Spustit dotaz.

    securityresources
| where type == "microsoft.security/assessments"
// Get recommendations in useful format
| project
['TenantID'] = tenantId,
['SubscriptionID'] = subscriptionId,
['AssessmentID'] = name,
['DisplayName'] = properties.displayName,
['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]),
['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]),
['ResourceGroup'] = resourceGroup,
['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink),
['StatusCode'] = properties.status.code,
['StatusDescription'] = properties.status.description,
['PolicyDefID'] = properties.metadata.policyDefinitionId,
['Description'] = properties.metadata.description,
['RecomType'] = properties.metadata.assessmentType,
['Remediation'] = properties.metadata.remediationDescription,
['Severity'] = properties.metadata.severity,
['Link'] = properties.links.azurePortal
| where StatusDescription contains "Exempt"

Další informace najdete na následujících stránkách:

Nejčastější dotazy – pravidla výjimek

Co se stane, když je jedno doporučení v několika iniciativách k zásadám?

V některých případech se doporučení zabezpečení objevuje ve více než jedné iniciativě zásad. Pokud máte ke stejnému předplatnému přiřazené víc instancí stejného doporučení a pro doporučení vytvoříte výjimku, bude to mít vliv na všechny iniciativy, které máte oprávnění upravovat.

Například doporučení * * * * je součástí výchozí iniciativy zásad přiřazené všem předplatným Azure, které má Microsoft Defender pro Cloud. Je také v XXXXX.

Pokud se pokusíte vytvořit výjimku pro toto doporučení, zobrazí se jedna z následujících dvou zpráv:

  • Pokud máte potřebná oprávnění k úpravám obou iniciativ, uvidíte:

    Toto doporučení je součástí několika iniciativ zásad: [názvy iniciativ oddělené čárkou]. Na všech z nich se vytvoří výjimky.

  • Pokud v obou iniciativách nemáte dostatečná oprávnění , zobrazí se místo toho tato zpráva:

    Máte omezená oprávnění, abyste použili výjimku ze všech iniciativ zásad. výjimky budou vytvořeny pouze v iniciativách s dostatečnými oprávněními.

Existují nějaká doporučení, která nepodporují výjimku?

Tato všeobecně dostupná doporučení nepodporují výjimku:

  • všechny typy rozšířené ochrany před hrozbami by měly být povolené v SQL nastavení zabezpečení pokročilých dat spravované instance
  • všechny typy rozšířené ochrany před hrozbami by měly být povolené v nastavení zabezpečení pokročilých dat v SQL serveru
  • pro servery SQL by se měl zřídit správce Azure Active Directory.
  • Je potřeba povolit Azure Defender pro Key Vault.
  • Měla by se vyhovět omezení procesoru a paměti kontejneru.
  • Image kontejneru by se měly nasadit jenom z důvěryhodných registrů.
  • Je třeba zabránit kontejneru s eskalací oprávnění.
  • Kontejnery sdílející závislé obory názvů hostitele by se měly vyhnout
  • Kontejnery by měly naslouchat jenom povoleným portům.
  • CORS by neměl umožňovat každému prostředku přístup k vašim webovým aplikacím
  • Výchozí zásady filtru IP adres by se měly odepřít.
  • Neměnné (jen pro čtení) kořenový systém souborů by měl být vynutil pro kontejnery.
  • Instalace řešení Endpoint Protection na počítačích
  • Zařízení IoT – otevření portů na zařízení
  • Zařízení IoT – v jednom z řetězů se nacházely opravňující zásady brány firewall.
  • Zařízení IoT – bylo nalezeno opravňující pravidlo brány firewall ve vstupním řetězci.
  • Zařízení IoT – bylo nalezeno opravňující pravidlo brány firewall ve výstupním řetězci.
  • Velký rozsah IP adres pravidla filtru IP
  • Pro kontejnery by se měly vyhovět aspoň privilegované možnosti pro Linux.
  • Přepsání nebo zakázání profilu kontejnerů AppArmor by mělo být omezené.
  • Měly by se vyhnout privilegovanému kontejneru
  • Spuštění kontejnerů jako kořenový uživatel by se mělo vyhnout.
  • Služby by měly naslouchat jenom povoleným portům.
  • Na počítače by se měly nainstalovat aktualizace systému
  • Používání hostitelských sítí a portů by se mělo omezit.
  • Použití HostPath svazků připojení by se mělo omezit na známý seznam, aby se omezil přístup k uzlu z ohrožených kontejnerů.

Další kroky

V tomto článku jste zjistili, jak vyloučit prostředek z doporučení, aby neovlivnilo vaše zabezpečené skóre. Další informace o zabezpečeném skóre najdete v těchto tématech: