Esenzione di risorse e raccomandazioni dal punteggio di sicurezza

  • Articolo
  • 9 minuti per la lettura

Una priorità fondamentale di ogni team di sicurezza consiste nel garantire che gli analisti possano concentrarsi sulle attività e sugli eventi imprevisti importanti per l'organizzazione. Defender for Cloud offre molte funzionalità per personalizzare l'esperienza e assicurarsi che il punteggio di sicurezza rifletta le priorità di sicurezza dell'organizzazione. L'opzione esentata è una di queste funzionalità.

Quando si esaminano le raccomandazioni sulla sicurezza in Microsoft Defender for Cloud, una delle prime informazioni esaminate è l'elenco delle risorse interessate.

In alcuni casi, verrà elencata una risorsa che non dovrebbe essere inclusa. In alternativa, una raccomandazione verrà visualizzata in un ambito in cui si ritiene che non appartenga. La risorsa potrebbe essere stata risolta da un processo non rilevato da Defender for Cloud. La raccomandazione potrebbe non essere appropriata per una sottoscrizione specifica. O forse l'organizzazione ha semplicemente deciso di accettare i rischi correlati alla risorsa o alla raccomandazione specifica.

In questi casi, è possibile creare un'esenzione per una raccomandazione per:

  • Esentare una risorsa per assicurarsi che non sia elencata con le risorse non integre in futuro e non influisca sul punteggio di sicurezza. La risorsa verrà elencata come non applicabile e il motivo verrà visualizzato come "esentato" con la motivazione specifica selezionata.

  • Esentare una sottoscrizione o un gruppo di gestione per assicurarsi che la raccomandazione non influisca sul punteggio di sicurezza e non venga visualizzata per la sottoscrizione o il gruppo di gestione in futuro. Ciò si riferisce alle risorse esistenti e a tutte le risorse create in futuro. La raccomandazione verrà contrassegnata con la motivazione specifica selezionata per l'ambito selezionato.

Disponibilità

Aspetto Dettagli
Stato della versione: Anteprima
Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Prezzi: Si tratta di una funzionalità di Criteri di Azure Premium offerta senza costi aggiuntivi per i clienti con le funzionalità di sicurezza avanzate di Microsoft Defender for Cloud abilitate. Per altri utenti, gli addebiti potrebbero essere applicati in futuro.
Autorizzazioni e ruoli obbligatori: Proprietario o Collaboratore criteri risorse per creare un'esenzione
Per creare una regola, sono necessarie le autorizzazioni per modificare i criteri in Criteri di Azure.
Per altre informazioni, vedere Autorizzazioni di controllo degli accessi in base al ruolo di Azure in Criteri di Azure.
Limitazioni Le esenzioni possono essere create solo per le raccomandazioni incluse nell'iniziativa predefinita di Defender for Cloud, Azure Security Benchmark o in una delle iniziative standard normative fornite. Consigli generati da iniziative personalizzate non possono essere esenti. Altre informazioni sulle relazioni tra criteri, iniziative e raccomandazioni.
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Azure China 21Vianet)

Definire un'esenzione

Per ottimizzare le raccomandazioni sulla sicurezza create da Defender for Cloud per le sottoscrizioni, i gruppi di gestione o le risorse, è possibile creare una regola di esenzione per:

  • Contrassegnare una raccomandazione specifica o come "mitigata" o "rischio accettato". È possibile creare esenzioni delle raccomandazioni per una sottoscrizione, più sottoscrizioni o un intero gruppo di gestione.
  • Contrassegnare una o più risorse come "mitigate" o "rischio accettato" per una raccomandazione specifica.

Nota

Le esenzioni possono essere create solo per le raccomandazioni incluse nell'iniziativa predefinita di Defender for Cloud, Azure Security Benchmark o in una delle iniziative standard normative fornite. Consigli generati da eventuali iniziative personalizzate assegnate alle sottoscrizioni non possono essere escluse. Altre informazioni sulle relazioni tra criteri, iniziative e raccomandazioni.

Suggerimento

È anche possibile creare esenzioni usando l'API. Per un esempio json e una spiegazione delle strutture pertinenti, vedere Criteri di Azure struttura di esenzione.

Per creare una regola di esenzione:

  1. Aprire la pagina dei dettagli delle raccomandazioni per la raccomandazione specifica.

  2. Nella barra degli strumenti nella parte superiore della pagina selezionare Esentato.

    Create an exemption rule for a recommendation to be exempted from a subscription or management group.

  3. Nel riquadro Esenzione :

    1. Selezionare l'ambito per questa regola di esenzione:

      • Se si seleziona un gruppo di gestione, la raccomandazione verrà esentata da tutte le sottoscrizioni all'interno di tale gruppo
      • Se si sta creando questa regola per esentare una o più risorse dal consiglio, scegliere "Risorse selezionate" e selezionare quelle pertinenti nell'elenco

    2. Immettere un nome per questa regola di esenzione.

    3. Facoltativamente, impostare una data di scadenza.

    4. Selezionare la categoria per l'esenzione:

      • Risolto tramite terze parti (mitigato): se si usa un servizio di terze parti non identificato da Defender for Cloud.

        Nota

        Quando si esenta una raccomandazione come mitigata, non vengono assegnati punti al punteggio di sicurezza. Tuttavia, poiché i punti non vengono rimossi per le risorse non integre, il risultato è che il punteggio aumenterà.

      • Rischio accettato (rinuncia): se si è deciso di accettare il rischio di non attenuare questa raccomandazione

    5. Immettere una descrizione.

    6. Selezionare Crea.

    Steps to create an exemption rule to exempt a recommendation from your subscription or management group.

    Quando l'esenzione diventa effettiva (potrebbero essere necessari fino a 30 minuti):

    • La raccomandazione o le risorse non influisce sul punteggio di sicurezza.

    • Se sono state esentate risorse specifiche, queste verranno elencate nella scheda Non applicabile della pagina dei dettagli della raccomandazione.

    • Se è stata esentata una raccomandazione, questa verrà nascosta per impostazione predefinita nella pagina delle raccomandazioni di Defender for Cloud. Ciò è dovuto al fatto che le opzioni predefinite del filtro stato raccomandazione in tale pagina devono escludere le raccomandazioni Non applicabili . Lo stesso vale se si esentano tutte le raccomandazioni in un controllo di sicurezza.

      Default filters on Microsoft Defender for Cloud's recommendations page hide the not applicable recommendations and security controls

    • La barra delle informazioni nella parte superiore della pagina dei dettagli della raccomandazione aggiorna il numero di risorse escluse:

      Number of exempted resources.

  4. Per esaminare le risorse escluse, aprire la scheda Non applicabile :

    Modifying an exemption.

    Il motivo di ogni esenzione è incluso nella tabella (1).

    Per modificare o eliminare un'esenzione, selezionare il menu con i puntini di sospensione ("...") come illustrato (2).

  5. Per esaminare tutte le regole di esenzione nella sottoscrizione, selezionare Visualizza esenzioni dalla striscia di informazioni:

    Importante

    Per visualizzare le esenzioni specifiche rilevanti per una raccomandazione, filtrare l'elenco in base all'ambito e al nome della raccomandazione pertinenti.

    Azure Policy's exemption page

    Suggerimento

    In alternativa, usare Azure Resource Graph per trovare raccomandazioni con esenzioni.

Monitorare le esenzioni create nelle sottoscrizioni

Come spiegato in precedenza in questa pagina, le regole di esenzione sono uno strumento potente che fornisce un controllo granulare sulle raccomandazioni che interessano le risorse nelle sottoscrizioni e nei gruppi di gestione.

Per tenere traccia del modo in cui gli utenti esercitano questa funzionalità, è stato creato un modello di Azure Resource Manager (ARM) che distribuisce un playbook dell'app per la logica e tutte le connessioni API necessarie per notificare quando è stata creata un'esenzione.

Usare l'inventario per trovare le risorse con esenzioni applicate

La pagina inventario asset di Microsoft Defender for Cloud offre una singola pagina per visualizzare il comportamento di sicurezza delle risorse connesse a Defender for Cloud. Per altre informazioni, vedere Esplorare e gestire le risorse con l'inventario degli asset.

La pagina inventario include molti filtri che consentono di restringere l'elenco delle risorse a quelli più interessanti per qualsiasi scenario specifico. Un filtro di questo tipo è l'esenzione Contains. Usare questo filtro per trovare tutte le risorse escluse da una o più raccomandazioni.

Defender for Cloud's asset inventory page and the filter to find resources with exemptions

Trovare raccomandazioni con esenzioni con Azure Resource Graph

Azure Resource Graph (ARG) offre accesso immediato alle informazioni sulle risorse negli ambienti cloud con potenti funzionalità di filtro, raggruppamento e ordinamento. Si tratta di un modo rapido ed efficiente di eseguire query sulle informazioni nelle sottoscrizioni di Azure a livello di codice o dall'interno del portale di Azure.

Per visualizzare tutte le raccomandazioni con regole di esenzione:

  1. Aprire Azure Resource Graph Explorer.

    Launching Azure Resource Graph Explorer** recommendation page

  2. Immettere la query seguente e selezionare Esegui query.

    securityresources
| where type == "microsoft.security/assessments"
// Get recommendations in useful format
| project
 ['TenantID'] = tenantId,
 ['SubscriptionID'] = subscriptionId,
 ['AssessmentID'] = name,
 ['DisplayName'] = properties.displayName,
 ['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]),
 ['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]),
 ['ResourceGroup'] = resourceGroup,
 ['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink),
 ['StatusCode'] = properties.status.code,
 ['StatusDescription'] = properties.status.description,
 ['PolicyDefID'] = properties.metadata.policyDefinitionId,
 ['Description'] = properties.metadata.description,
 ['RecomType'] = properties.metadata.assessmentType,
 ['Remediation'] = properties.metadata.remediationDescription,
 ['Severity'] = properties.metadata.severity,
 ['Link'] = properties.links.azurePortal
 | where StatusDescription contains "Exempt"

Per altre informazioni, vedere le pagine seguenti:

Domande frequenti - Regole di esenzione

Cosa accade quando una raccomandazione si trova in più iniziative politiche?

In alcuni casi, viene visualizzata una raccomandazione sulla sicurezza in più di un'iniziativa di criteri. Se sono state assegnate più istanze della stessa raccomandazione alla stessa sottoscrizione e si crea un'esenzione per la raccomandazione, tutte le iniziative a cui si è autorizzati a modificare verranno applicate tutte le iniziative.

Ad esempio, la raccomandazione fa parte dell'iniziativa dei criteri predefinita assegnata a tutte le sottoscrizioni di Azure da Microsoft Defender for Cloud. È anche in XXXXX.

Se si tenta di creare un'esenzione per questa raccomandazione, verrà visualizzato uno dei due messaggi seguenti:

  • Se si dispone delle autorizzazioni necessarie per modificare entrambe le iniziative, verrà visualizzato:

    Questa raccomandazione è inclusa in diverse iniziative di criteri: [nomi di iniziative separati da virgola]. Le esenzioni verranno create su tutti.

  • Se non si dispone di autorizzazioni sufficienti per entrambe le iniziative, verrà visualizzato questo messaggio:

    Si dispone di autorizzazioni limitate per applicare l'esenzione a tutte le iniziative politiche, le esenzioni verranno create solo sulle iniziative con autorizzazioni sufficienti.

Sono presenti raccomandazioni che non supportano l'esenzione?

Queste raccomandazioni disponibili a livello generale non supportano l'esenzione:

  • È necessario abilitare tutti i tipi di protezione di Advanced Threat Protection nelle impostazioni di Sicurezza dei dati avanzata dell'istanza gestita di SQL
  • È necessario abilitare tutti i tipi di protezione di Advanced Threat Protection nelle impostazioni di Sicurezza dei dati avanzata di SQL Server
  • È consigliabile applicare limiti per la CPU e la memoria dei contenitori
  • Le immagini del contenitore devono essere distribuite solo da registri attendibili
  • È consigliabile evitare i contenitori con escalation dei privilegi
  • I contenitori che condividono spazi dei nomi host sensibili devono essere evitati
  • I contenitori devono essere in ascolto solo sulle porte consentite
  • I criteri di filtro IP predefiniti devono essere Nega
  • Per i contenitori deve essere imposto il file system radice non modificabile (di sola lettura)
  • Dispositivi IoT - Porte aperte nel dispositivo
  • Dispositivi IoT: è stato trovato un criterio firewall permissivo in una delle catene
  • Dispositivi IoT : è stata trovata una regola del firewall permissiva nella catena di input
  • Dispositivi IoT : è stata trovata una regola del firewall permissiva nella catena di output
  • Regola filtro IP di grandi dimensioni
  • Per i contenitori devono essere imposte le funzionalità Linux con privilegi minimi
  • I computer devono essere configurati in modo sicuro
  • La sovrascrittura o la disabilitazione del profilo AppArmor dei contenitori deve essere limitata
  • I contenitori con privilegi devono essere evitati
  • È consigliabile evitare l'esecuzione di contenitori come utente radice
  • I servizi devono essere in ascolto solo sulle porte consentite
  • SQL server devono avere un amministratore di Azure Active Directory di cui è stato effettuato il provisioning
  • L'utilizzo della rete host e delle porte deve essere limitato
  • L'utilizzo dei montaggi dei volumi HostPath dei pod deve essere limitato a un elenco noto per limitare l'accesso ai nodi da contenitori compromessi

Passaggi successivi

In questo articolo si è appreso come esentare una risorsa da una raccomandazione in modo che non influisca sul punteggio di sicurezza. Per altre informazioni sul punteggio di sicurezza, vedere: