Mengecualikan sumber daya dan rekomendasi dari skor aman Anda
Prioritas utama setiap tim keamanan adalah memastikan analis dapat fokus pada tugas dan insiden yang penting bagi organisasi. Defender for Cloud memiliki banyak fitur untuk menyesuaikan pengalaman dan memastikan skor aman Anda mencerminkan prioritas keamanan organisasi Anda. Opsi pengecualian adalah salah satu fitur tersebut.
Saat Anda menyelidiki rekomendasi keamanan di Microsoft Defender for Cloud, salah satu informasi pertama yang Anda tinjau adalah daftar sumber daya yang terpengaruh.
Terkadang, sumber daya yang menurut Anda sebaiknya tidak disertakan justru tercantum. Atau rekomendasi akan tampil dalam cakupan di mana Anda merasa itu bukan di tempatnya. Sumber daya mungkin telah diremediasi oleh proses yang tidak terlacak oleh Defender for Cloud. Rekomendasi dapat saja tidak tepat untuk langganan tertentu. Atau mungkin organisasi Anda telah memutuskan untuk menerima risiko terkait sumber daya atau rekomendasi tertentu.
Dalam kasus seperti itu, Anda dapat membuat pengecualian bagi rekomendasi untuk:
Membebaskan sumber daya untuk memastikan sumber daya tidak tercantum dengan sumber daya yang tidak sehat di masa mendatang, dan tidak mempengaruhi skor aman Anda. Sumber daya akan terdaftar sebagai tidak berlaku dan alasannya akan ditampilkan sebagai "dikecualikan" dengan pembenaran spesifik yang Anda pilih.
Mengecualikan grup langganan atau manajemen untuk memastikan bahwa rekomendasi tidak mempengaruhi skor aman Anda dan tidak akan ditampilkan untuk grup langganan atau manajemen di masa mendatang. Ini berkaitan dengan sumber daya yang ada dan apa pun yang Anda buat di masa mendatang. Rekomendasi akan ditandai dengan pembenaran spesifik yang Anda pilih untuk lingkup yang telah Anda pilih.
Ketersediaan
| Aspek | Detail |
|---|---|
| Status rilis: | Pratinjau Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum. |
| Harga: | Ini adalah kemampuan Azure Policy premium yang ditawarkan tanpa biaya tambahan untuk pelanggan dengan fitur keamanan yang ditingkatkan dari Microsoft Defender for Cloud yang aktif. Untuk pengguna lain, biaya mungkin berlaku di masa mendatang. |
| Peran dan izin akses yang diperlukan: | Pemilik atau Kontributor Kebijakan Sumber Daya untuk membuat pengecualian Untuk membuat aturan, Anda memerlukan izin untuk mengedit kebijakan di Azure Policy. Pelajari selengkapnya di Izin akses Azure RBAC di Azure Policy. |
| Keterbatasan: | Pengecualian hanya dapat dibuat untuk rekomendasi yang disertakan dalam inisiatif default Defender for Cloud, Azure Security Benchmark, atau inisiatif standar peraturan apa pun yang disediakan. Rekomendasi yang dihasilkan dari inisiatif kustom tidak dapat dikecualikan. Pelajari lebih lanjut hubungan antara kebijakan, inisiatif, dan rekomendasi. |
| Cloud: |  Cloud komersial Nasional (Azure Government, Azure Tiongkok) |
Menentukan pengecualian
Untuk menyempurnakan rekomendasi keamanan yang telah dibuat Defender for Cloud untuk langganan, grup manajemen, atau sumber daya Anda, Anda dapat membuat aturan pengecualian untuk:
- Menandai rekomendasi tertentu atau sebagai "dimitigasi" atau "risiko diterima". Anda dapat membuat pengecualian rekomendasi untuk langganan, beberapa langganan, atau seluruh grup manajemen.
- Menandai satu atau beberapa sumber daya sebagai "dimitigasi" atau "risiko diterima" untuk rekomendasi tertentu.
Catatan
Pengecualian hanya dapat dibuat untuk rekomendasi yang disertakan dalam inisiatif default Defender for Cloud, Azure Security Benchmark, atau inisiatif standar peraturan apa pun yang disediakan. Rekomendasi yang dihasilkan inisiatif kustom apa pun yang ditetapkan ke langganan Anda tidak dapat dikecualikan. Pelajari lebih lanjut hubungan antara kebijakan, inisiatif, dan rekomendasi.
Tip
Anda juga dapat membuat pengecualian menggunakan API. Misalnya JSON, dan penjelasan tentang struktur yang relevan, lihat Struktur pengecualian Azure Policy.
Untuk membuat aturan pengecualian:
Buka halaman detail rekomendasi untuk rekomendasi tertentu.
Di toolbar, di bagian atas halaman, pilih Kecualikan.
Di panel Kecualikan:
Pilih cakupan untuk aturan pengecualian ini:
- Jika Anda memilih grup manajemen, maka rekomendasi akan dikecualikan dari semua langganan dalam grup tersebut
- Jika Anda membuat aturan ini untuk membebaskan satu atau beberapa sumber daya dari rekomendasi, pilih "Sumber daya yang dipilih"" dan pilih sumber daya yang relevan dari daftar
Masukkan nama untuk aturan pengecualian ini.
Secara opsional, tetapkan tanggal kedaluwarsa.
Pilih kategori untuk pengecualian:
Diselesaikan melalui pihak ketiga (dikurangi) – jika Anda menggunakan layanan pihak ketiga yang belum diidentifikasi oleh Defender for Cloud.
Catatan
Ketika Anda mengecualikan rekomendasi sebagai dimitigasi, Anda tidak diberikan poin terhadap skor aman Anda. Tetapi karena poin tidak dihapus untuk sumber daya yang tidak sehat, maka skor Anda akan meningkat.
Risiko diterima (pengabaian) - jika Anda telah memutuskan untuk menerima risiko untuk tidak mengurangi rekomendasi ini
Masukkan deskripsi.
Pilih Buat.
Saat pengecualian berlaku (mungkin diperlukan waktu hingga 30 menit):
Rekomendasi atau sumber daya tidak akan memengaruhi skor aman Anda.
Jika Anda telah mengecualikan sumber daya tertentu, sumber daya tersebut akan dicantumkan di tab Tidak berlaku di halaman detail rekomendasi.
Jika Anda telah mengecualikan rekomendasi, maka rekomendasi tersebut akan disembunyikan secara default di halaman rekomendasi Defender for Cloud'. Hal ini karena opsi default filter status Rekomendasi pada halaman tersebut adalah mengecualikan rekomendasi yang Tidak berlaku. Hal yang sama berlaku jika Anda mengecualikan semua rekomendasi dalam kontrol keamanan.
Strip informasi di bagian atas halaman detail rekomendasi memperbarui jumlah sumber daya yang dikecualikan:
Untuk meninjau sumber daya yang dikecualikan, buka tab Tidak berlaku:
Alasan untuk setiap pengecualian disertakan dalam tabel (1).
Untuk mengubah atau menghapus pengecualian, pilih menu elipsis ("...") seperti yang ditunjukkan (2).
Untuk meninjau semua aturan pengecualian pada langganan Anda, pilih Tampilkan pengecualian dari strip informasi:
Penting
Untuk melihat pengecualian tertentu yang relevan dengan rekomendasi, filter daftar sesuai dengan cakupan dan nama rekomendasi yang relevan.
Memantau pengecualian yang dibuat di langganan Anda
Seperti yang dijelaskan sebelumnya di halaman ini, aturan pengecualian adalah alat ampuh yang memberikan kontrol terperinci atas rekomendasi yang memengaruhi sumber daya dalam langganan dan grup manajemen Anda.
Untuk melacak cara pengguna Anda menjalankan kemampuan ini, kami telah membuat templat Azure Resource Manager (ARM) yang menyebarkan Playbook Aplikasi Logika dan semua koneksi API yang diperlukan untuk memberi tahu Anda ketika pengecualian telah dibuat.
- Untuk mempelajari lebih lanjut kegunaan playbook, lihat postingan blog komunitas teknologi Cara melacak Pengecualian Sumber Daya di Microsoft Defender for Cloud
- Anda akan menemukan templat ARM di repositori Microsoft Defender for Cloud GitHub
- Gunakan proses otomatis ini untuk menyebarkan semua komponen yang diperlukan
Menggunakan inventaris untuk menemukan sumber daya yang memiliki pengecualian
Halaman inventaris aset Microsoft Defender for Cloud menyediakan satu halaman untuk melihat postur keamanan sumber daya yang Anda sambungkan ke Defender for Cloud. Pelajari lebih lanjut dalam Menjelajahi dan mengelola sumber daya Anda dengan inventaris aset.
Halaman inventaris mencakup banyak filter untuk memungkinkan Anda mempersempit daftar sumber daya menjadi yang paling diminati untuk skenario tertentu. Salah satu filter tersebut adalah Berisi pengecualian. Gunakan filter ini untuk menemukan semua sumber daya yang telah dikecualikan dari satu atau beberapa rekomendasi.
Menemukan rekomendasi dengan pengecualian menggunakan Azure Resource Graph
Azure Resource Graph (ARG) menyediakan akses instan ke informasi sumber daya di seluruh lingkungan cloud Anda dengan kemampuan filter, pengelompokan, dan pengurutan yang andal. Ini adalah cara cepat dan efisien untuk meminta informasi di seluruh langganan Azure secara terprogram atau dari dalam portal Microsoft Azure.
Untuk melihat semua rekomendasi dengan pengecualian:
Buka Azure Resource Graph Explorer.
Masukkan kueri berikut, lalu pilih Jalankan kueri.
securityresources | where type == "microsoft.security/assessments" // Get recommendations in useful format | project ['TenantID'] = tenantId, ['SubscriptionID'] = subscriptionId, ['AssessmentID'] = name, ['DisplayName'] = properties.displayName, ['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]), ['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]), ['ResourceGroup'] = resourceGroup, ['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink), ['StatusCode'] = properties.status.code, ['StatusDescription'] = properties.status.description, ['PolicyDefID'] = properties.metadata.policyDefinitionId, ['Description'] = properties.metadata.description, ['RecomType'] = properties.metadata.assessmentType, ['Remediation'] = properties.metadata.remediationDescription, ['Severity'] = properties.metadata.severity, ['Link'] = properties.links.azurePortal | where StatusDescription contains "Exempt"
Pelajari lebih lanjut di halaman berikut:
- Pelajari lebih lanjut Azure Resource Graph.
- Cara membuat kueri dengan Azure Resource Graph Explorer
- Bahasa Kueri Kusto (KQL)
FAQ - Aturan pengecualian
- Apa yang terjadi jika satu rekomendasi berada dalam beberapa inisiatif kebijakan?
- Apakah ada rekomendasi yang tidak mendukung pengecualian?
Apa yang terjadi jika satu rekomendasi berada dalam beberapa inisiatif kebijakan?
Terkadang, rekomendasi keamanan muncul di lebih dari satu inisiatif kebijakan. Jika Anda memiliki beberapa instans rekomendasi yang sama ditetapkan untuk langganan yang sama, dan Anda membuat pengecualian untuk rekomendasi, maka hal itu akan memengaruhi semua inisiatif yang dapat Anda edit.
Misalnya, rekomendasi **** adalah bagian dari inisiatif kebijakan default yang ditetapkan untuk semua langganan Azure oleh Microsoft Defender for Cloud. Itu juga terdapat di XXXXX.
Jika Anda mencoba membuat pengecualian untuk rekomendasi ini, Anda akan melihat salah satu dari dua pesan berikut:
Jika Anda memiliki izin yang diperlukan untuk mengedit kedua inisiatif tersebut, Anda akan melihat:
Rekomendasi ini termasuk dalam beberapa inisiatif kebijakan: [nama inisiatif yang dipisahkan oleh koma]. Pengecualian akan dibuat di semua inisiatif kebijakan. Pengecualian akan dibuat pada semuanya.
Jika Anda tidak memiliki izin yang memadai di kedua inisiatif, Anda akan melihat pesan berikut:
Anda memiliki izin terbatas untuk menerapkan pengecualian pada semua inisiatif kebijakan, pengecualian hanya akan dibuat pada inisiatif dengan izin yang memadai.
Apakah ada rekomendasi yang tidak mendukung pengecualian?
Rekomendasi yang tersedia secara umum ini tidak mendukung pengecualian:
- Semua jenis perlindungan ancaman tingkat lanjut harus diaktifkan dalam pengaturan keamanan data tingkat lanjut instans terkelola Bahasa Permintaan Terstruktur
- Semua jenis perlindungan terhadap ancaman tingkat lanjut harus diatur dalam pengaturan keamanan data tingkat lanjut server SQL
- CPU kontainer dan batas memori harus diberlakukan
- Citra kontainer harus disebarkan hanya dari registri tepercaya
- Kontainer dengan eskalasi hak istimewa harus dihindari
- Kontainer yang berbagi namespace layanan host yang sensitif harus dihindari
- Kontainer hanya mendengarkan pada port yang diizinkan
- Kebijakan Filter IP Default harus Ditolak
- Sistem file akar yang tidak dapat diubah (baca-saja) harus diberlakukan untuk kontainer
- Perangkat IoT - Buka Port di Perangkat
- Perangkat IoT - Kebijakan firewall permisif di salah satu rantai ditemukan
- Perangkat IoT - Aturan firewall permisif dalam rantai input ditemukan
- Perangkat IoT - Aturan firewall permisif dalam rantai output ditemukan
- Aturan Filter IP dengan rentang IP besar
- Kemampuan Linux dengan hak istimewa paling rendah harus diberlakukan untuk kontainer
- Mesin harus dikonfigurasi dengan aman
- Menimpa atau menonaktifkan profil kontainer AppArmor harus dibatasi
- Kontainer dengan hak istimewa harus dihindari
- Menjalankan kontainer sebagai pengguna akar harus dihindari
- Layanan hanya mendengarkan pada port yang diizinkan
- Server SQL harus memiliki administrator Azure Active Directory yang diprovisikan
- Penggunaan jaringan dan port host harus dibatasi
- Penggunaan pemasangan volume HostPath pod harus dibatasi hingga daftar yang diketahui untuk membatasi akses node dari kontainer yang mengalami gangguan
Langkah berikutnya
Dalam artikel ini, Anda telah mempelajari cara mengecualikan sumber daya dari rekomendasi sehingga tidak memengaruhi skor aman Anda. Untuk mengetahui informasi lebih lanjut tentang skor aman, lihat: