Ausschließen von Ressource und Empfehlungen aus der Sicherheitsbewertung

Für jedes Sicherheitsteam hat die Sicherstellung, dass sich die Analysten auf die für die Organisation wichtigen Aufgaben und Incidents konzentrieren können, eine sehr hohe Priorität. Defender für Cloud verfügt über zahlreiche Funktionen, mit denen Sie das Erlebnis individuell gestalten und sicherstellen können, dass Ihr Sicherheits-Score die Sicherheitsprioritäten Ihres Unternehmens widerspiegelt. Die Option Ausnahme ist ein solches Feature.

Wenn Sie Ihre Sicherheitsempfehlungen in Microsoft Defender für Cloud untersuchen, ist eine der ersten Informationen, die Sie prüfen, die Liste der betroffenen Ressourcen.

Es kann gelegentlich vorkommen, dass eine Ressource aufgeführt ist, die Ihrer Meinung nach nicht enthalten sein sollte. Auch kann es bisweilen passieren, dass eine Empfehlung in einem Bereich angezeigt wird, zu dem sie Ihrer Meinung nach nicht gehört. Die Ressource könnte durch einen Prozess behoben worden sein, der von Defender für Cloud nicht verfolgt wird. Möglicherweise ist die Empfehlung für ein bestimmtes Abonnement nicht geeignet. Oder vielleicht hat Ihr Unternehmen einfach beschlossen, die Risiken im Zusammenhang mit der jeweiligen Ressource oder Empfehlung zu akzeptieren.

In solchen Fällen können Sie eine Ausnahme für eine Empfehlung erstellen:

  • Sie können eine Ressource ausnehmen, um sicherzustellen, dass sie in Zukunft nicht mehr als fehlerhafte Ressource aufgeführt wird und keine Auswirkung auf Ihre Sicherheitsbewertung hat. Die Ressource wird als nicht anwendbar aufgeführt, und als Grund wird „Ausgenommen“ mit der spezifischen, von Ihnen ausgewählten Begründung angezeigt.

  • Sie können ein Abonnement oder eine Verwaltungsgruppe ausnehmen, um sicherzustellen, dass die Empfehlung keine Auswirkung auf Ihre Sicherheitsbewertung hat und in Zukunft nicht mehr für das Abonnement oder die Verwaltungsgruppe angezeigt wird. Das gilt sowohl für bereits vorhandene Ressourcen als auch für alle zukünftig erstellten Ressourcen. Die Empfehlung wird mit der spezifischen Begründung gekennzeichnet, die Sie für den ausgewählten Bereich auswählen.

Verfügbarkeit

Aspekt Details
Status des Release: Vorschau
In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Preise: Dabei handelt es sich um eine Premiumfunktion der Azure-Richtlinien, die Kunden mit aktivierten erweiterten Sicherheitsfunktionen von Microsoft Defender für Cloud ohne zusätzliche Kosten angeboten wird. Für andere Benutzer fallen hierfür in Zukunft unter Umständen Gebühren an.
Erforderliche Rollen und Berechtigungen: Besitzer oder Mitwirkender bei Ressourcenrichtlinien zum Erstellen einer Ausnahme
Zum Erstellen einer Regel benötigen Sie Berechtigungen zum Bearbeiten von Richtlinien in Azure Policy.
Weitere Informationen finden Sie unter Azure RBAC-Berechtigungen in Azure Policy.
Einschränkungen: Ausnahmen können nur für Empfehlungen erstellt werden, die in der Standardinitiative von Defender für Cloud, Azure Security Benchmark, oder einer der mitgelieferten regulatorischen Standardinitiativen enthalten sind. Für Empfehlungen, die über benutzerdefinierte Initiativen generiert werden, können keine Ausnahmen gemacht werden. Weitere Informationen über die Beziehungen zwischen Richtlinien, Initiativen und Empfehlungen finden Sie unter diesem Link.
Clouds: Kommerzielle Clouds
National (Azure Government, Azure China 21Vianet)

Definieren einer Ausnahme

Zur Feinabstimmung der Sicherheitsempfehlungen, die Defender für Cloud für Ihre Abonnements, Verwaltungsgruppen oder Ressourcen ausspricht, können Sie eine Ausnahmeregel erstellen:

  • Markieren Sie eine bestimmte Empfehlung als „Gemindert“ oder „Risiko akzeptiert“. Sie können Empfehlungsausnahmen für ein Abonnement, mehrere Abonnements oder eine gesamte Verwaltungsgruppe erstellen.
  • Markieren Sie eine oder mehrere Ressourcen für eine bestimmte Empfehlung als „Gemindert“ oder „Risiko akzeptiert“.

Hinweis

Ausnahmen können nur für Empfehlungen erstellt werden, die in der Standardinitiative von Defender für Cloud, in Azure Security Benchmark oder in einer der bereitgestellten regulatorischen Standardinitiativen enthalten sind. Für Empfehlungen, die von benutzerdefinierten Initiativen generiert werden, die Ihren Abonnements zugewiesen sind, können keine Ausnahmen gemacht werden. Weitere Informationen über die Beziehungen zwischen Richtlinien, Initiativen und Empfehlungen finden Sie unter diesem Link.

Tipp

Sie können auch Ausnahmen mithilfe der API erstellen. Ein JSON-Beispiel und eine Erläuterung der relevanten Strukturen finden Sie unter Azure Policy-Ausnahmenstruktur.

So erstellen Sie eine Ausnahmeregel:

  1. Öffnen Sie die Seite mit den Empfehlungsdetails für die jeweilige Empfehlung.

  2. Wählen Sie auf der Symbolleiste am oberen Rand der Seite Ausnahme aus.

    Create an exemption rule for a recommendation to be exempted from a subscription or management group.

  3. Im Bereich Ausnahme:

    1. Wählen Sie den Bereich für diese Ausnahmeregel aus:

      • Wenn Sie eine Verwaltungsgruppe auswählen, werden alle Abonnements innerhalb dieser Gruppe von der Empfehlung ausgenommen.
      • Wenn Sie diese Regel erstellen, um eine oder mehrere Ressourcen von der Empfehlung auszuschließen, wählen Sie „Ausgewählte Ressourcen“ und die relevanten Ressourcen in der Liste aus.
    2. Geben Sie einen Namen für diese Ausnahmeregel ein.

    3. Legen Sie optional ein Ablaufdatum fest.

    4. Wählen Sie die Kategorie für die Ausnahme aus:

      • Lösung durch Drittanbieter (entschärft) - wenn Sie einen Drittanbieterdienst verwenden, den Defender für Cloud nicht identifiziert hat.

        Hinweis

        Wenn Sie eine Empfehlung als gemindert ausnehmen, erhalten Sie keine Punkte für Ihre Sicherheitsbewertung. Da jedoch für die fehlerhaften Ressourcen keine Punkte entfernt werden, ist das Ergebnis, dass Ihre Bewertung steigt.

      • Risiko akzeptiert (Verzicht) : Wenn Sie sich entschieden haben, das Risiko zu akzeptieren, diese Empfehlung nicht zu mindern.

    5. Geben Sie eine Beschreibung ein.

    6. Klicken Sie auf Erstellen.

    Steps to create an exemption rule to exempt a recommendation from your subscription or management group.

    Wenn die Ausnahme wirksam wird (dies kann bis zu 30 Minuten dauern):

    • Die Empfehlung oder Ressourcen haben keine Auswirkungen auf Ihre Sicherheitsbewertung.

    • Wenn Sie bestimmte Ressourcen ausgenommen haben, werden sie auf der Registerkarte Nicht anwendbar der Seite mit den Empfehlungsdetails aufgelistet.

    • Wenn Sie eine Empfehlung ausgenommen haben, wird sie auf der Empfehlungsseite von Defender für Cloud standardmäßig ausgeblendet. Dies liegt daran, dass die Standardoptionen des Filters Empfehlungsstatus auf dieser Seite Nicht anwendbar-Empfehlungen ausschließen sollen. Dasselbe gilt, wenn Sie alle Empfehlungen in einer Sicherheitssteuerung ausschließen.

      Default filters on Microsoft Defender for Cloud's recommendations page hide the not applicable recommendations and security controls

    • In der Informationsleiste am oberen Rand der Seite mit den Empfehlungsdetails wird die Anzahl von ausgeschlossenen Ressourcen aktualisiert:

      Number of exempted resources.

  4. Öffnen Sie die Registerkarte Nicht anwendbar, um Ihre ausgeschlossenen Ressourcen anzuzeigen:

    Modifying an exemption.

    Der Grund für die einzelnen Ausnahmen ist jeweils in der Tabelle angegeben (1).

    Wählen Sie über die Auslassungszeichen („...“) das Menü aus (wie unter Punkt 2 dargestellt), um eine Ausnahme zu ändern oder zu löschen.

  5. Wenn Sie alle Ausnahmeregeln für Ihr Abonnement überprüfen möchten, wählen Sie in der Informationsleiste Ausnahmen anzeigen aus:

    Wichtig

    Um die spezifischen Ausnahmen anzuzeigen, die für eine Empfehlung relevant sind, filtern Sie die Liste nach dem relevanten Bereich und dem Namen der Empfehlung.

    Azure Policy's exemption page

Überwachen von in Ihren Abonnements erstellten Ausnahmen

Wie bereits auf dieser Seite erläutert, sind Ausnahmeregeln ein leistungsfähiges Tool, das eine präzise Kontrolle über die Empfehlungen bietet, die sich auf Ressourcen in Ihren Abonnements und Verwaltungsgruppen auswirken.

Damit Sie nachverfolgen können, wie Ihre Benutzer diese Funktion nutzen, haben wir eine Azure Resource Manager-Vorlage (ARM) erstellt, die ein Logik-App-Playbook und alle notwendigen API-Verbindungen bereitstellt, um Sie zu benachrichtigen, wenn eine Ausnahme erstellt wurde.

Verwenden Sie den Bestand, um Ressourcen zu suchen, für die Ausnahmen angewendet wurden.

Die Inventarisierungsseite von Microsoft Defender für Cloud bietet eine einzige Seite, auf der Sie die Sicherheitslage der Ressourcen anzeigen können, die Sie mit Defender für Cloud verbunden haben. Weitere Informationen finden Sie unter Untersuchen und Verwalten Ihrer Ressourcen mit dem Ressourcenbestand und Verwaltungstools.

Die Bestandsseite enthält viele Filter, mit denen Sie die Liste der Ressourcen auf diejenigen eingrenzen können, die für ein bestimmtes Szenario am wichtigsten sind. Ein solcher Filter ist die Contains-Ausnahme. Verwenden Sie diesen Filter, um alle Ressourcen zu suchen, die von einer oder mehrere Empfehlungen ausgenommen wurden.

Defender for Cloud's asset inventory page and the filter to find resources with exemptions

Suchen von Empfehlungen mit Ausnahmen mit Azure Resource Graph

Azure Resource Graph (ARG) bietet mit zuverlässigen Funktionen zum Filtern, Gruppieren und Sortieren sofortigen Zugriff auf Ressourceninformationen in Ihren Cloudumgebungen. Es ist eine schnelle und effiziente Möglichkeit, Informationen über Azure-Abonnements programmgesteuert oder aus dem Azure-Portal heraus abzufragen.

So zeigen Sie alle Empfehlungen mit Ausnahmeregeln an:

  1. Öffnen Sie den Azure Resource Graph-Explorer.

    Launching Azure Resource Graph Explorer** recommendation page

  2. Geben Sie die folgende Abfrage ein, und wählen Sie Abfrage ausführen aus.

    securityresources
    | where type == "microsoft.security/assessments"
    // Get recommendations in useful format
    | project
     ['TenantID'] = tenantId,
     ['SubscriptionID'] = subscriptionId,
     ['AssessmentID'] = name,
     ['DisplayName'] = properties.displayName,
     ['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]),
     ['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]),
     ['ResourceGroup'] = resourceGroup,
     ['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink),
     ['StatusCode'] = properties.status.code,
     ['StatusDescription'] = properties.status.description,
     ['PolicyDefID'] = properties.metadata.policyDefinitionId,
     ['Description'] = properties.metadata.description,
     ['RecomType'] = properties.metadata.assessmentType,
     ['Remediation'] = properties.metadata.remediationDescription,
     ['Severity'] = properties.metadata.severity,
     ['Link'] = properties.links.azurePortal
     | where StatusDescription contains "Exempt"    
    

Weitere Informationen finden Sie auf den folgenden Seiten:

FAQ: Ausnahmeregeln

Was geschieht, wenn eine Empfehlung in mehreren Richtlinieninitiativen vorliegt?

Manchmal liegt eine Sicherheitsempfehlung in mehreren Richtlinieninitiativen vor. Wenn mehrere Instanzen derselben Empfehlung demselben Abonnement zugewiesen sind, und Sie eine Ausnahme für die Empfehlung erstellen, wirkt sich dies auf alle Initiativen aus, für die Sie die Berechtigung zum Bearbeiten haben.

So ist beispielsweise die Empfehlung **** Teil der Standardrichtlinieninitiative, die allen Azure-Abonnements von Microsoft Defender für Cloud zugewiesen wird. Es ist auch in XXXXX.

Wenn Sie versuchen, eine Ausnahme für diese Empfehlung zu erstellen, wird eine der beiden folgenden Meldungen angezeigt:

  • Wenn Sie die notwendigen Berechtigungen zur Bearbeitung beider Initiativen haben, sehen Sie das:

    Diese Empfehlung ist in mehreren Richtlinieninitiativen enthalten: [durch Kommas getrennte Initiativennamen]. Ausnahmen werden für alle erstellt.

  • Wenn Sie die nötigen Rechte haben , um beide Initiativen zu bearbeiten, werden Sie sehen:

    Sie verfügen über eingeschränkte Berechtigungen zum Anwenden der Ausnahme auf alle Richtlinieninitiativen. Die Ausnahmen werden nur für die Initiativen mit ausreichenden Berechtigungen erstellt.

Gibt es Empfehlungen, die keine Ausnahme unterstützen?

Diese allgemein verfügbaren Empfehlungen unterstützen keine Ausnahme:

  • In den Advanced Data Security-Einstellungen in SQL Managed Instance sollten alle Advanced Threat Protection-Typen aktiviert werden.
  •  In den Advanced Data Security-Einstellungen der SQL Server-Instanzen sollten alle Advanced Threat Protection-Typen aktiviert werden.
  • Für Container müssen CPU- und Arbeitsspeicherlimits erzwungen werden
  • Containerimages dürfen nur aus vertrauenswürdigen Registrierungen bereitgestellt werden
  • Container mit Rechteausweitung müssen vermieden werden
  • Container mit Freigabe sensibler Hostnamespaces vermeiden
  • Container dürfen nur an zulässigen Ports lauschen
  • Die Standard-IP-Filterrichtlinie muss auf „Verweigern“ festgelegt sein
  • Unveränderliches (schreibgeschütztes) Stammdateisystem für Container erzwingen
  • IoT-Geräte: offene Ports auf Gerät
  • IoT-Geräte: In einer der Ketten wurde eine zu wenig einschränkende Firewallrichtlinie gefunden
  • IoT-Geräte: In der Eingabekette wurde eine zu wenig einschränkende Firewallregel gefunden
  • IoT-Geräte: In der Ausgabekette wurde eine zu wenig einschränkende Firewallregel gefunden
  • IP-Filterregel umfasst großen IP-Adressbereich
  • Linux-Funktionen mit den niedrigsten Berechtigungen für Container erzwingen
  • Computer müssen sicher konfiguriert sein.
  • Überschreiben oder Deaktivieren des AppArmor-Profils für Container einschränken
  • Privilegierte Container müssen vermieden werden
  • Das Ausführen von Containern als Root-Benutzer muss vermieden werden
  • Dienste dürfen nur an zulässigen Ports lauschen
  • Für SQL Server sollte ein Azure Active Directory-Administrator bereitgestellt werden.
  • Verwendung von Hostnetzwerken und -ports einschränken
  • Verwendung von HostPath-Volumeeinbindungen von Pods sollte auf eine bekannte Liste beschränkt sein, um den Knotenzugriff von kompromittierten Containern zu begrenzen

Nächste Schritte

In diesem Artikel wurde beschrieben, wie Sie eine Ressource aus einer Empfehlung ausschließen, damit sie sich nicht mehr auf Ihre Sicherheitsbewertung auswirkt. Weitere Informationen zur Sicherheitsbewertung finden Sie unter: