Resources en aanbevelingen van uw beveiligde score vrijstellen

Een kernprioriteit van elk beveiligingsteam is ervoor te zorgen dat analisten zich kunnen richten op de taken en incidenten die voor de organisatie van belang zijn. Defender for Cloud heeft veel functies voor het aanpassen van de ervaring en ervoor te zorgen dat uw beveiligingsscore de beveiligingsprioriteiten van uw organisatie weerspiegelt. De uitzonderingsoptie is een van deze functies.

Wanneer u uw beveiligingsaanbevelingen in Microsoft Defender for Cloud onderzoekt, is de lijst met betrokken resources een van de eerste gegevens die u bekijkt.

Af en toe wordt een resource weergegeven die u niet wilt toevoegen. Of een aanbeveling wordt in een bereik weer gegeven waar deze volgens u niet bij hoort. De resource is mogelijk herstelt door een proces dat niet is bij te houden door Defender for Cloud. De aanbeveling is mogelijk niet geschikt voor een specifiek abonnement. Of misschien heeft uw organisatie besloten om de risico's met betrekking tot de specifieke resource of aanbeveling te accepteren.

In dergelijke gevallen kunt u een uitzondering maken voor een aanbeveling om:

• Een resource vrijstellen om ervoor te zorgen dat deze in de toekomst niet wordt vermeld met de resources die niet in orde zijn en geen invloed heeft op uw beveiligde score. De resource wordt vermeld als niet van toepassing en de reden wordt weergegeven als 'uitgesloten' met de specifieke reden die u selecteert.

• Een abonnement of beheergroep uit te sluiten om ervoor te zorgen dat de aanbeveling geen invloed heeft op uw beveiligde score en in de toekomst niet wordt weergegeven voor het abonnement of de beheergroep. Dit heeft betrekking op bestaande resources en alle resources die u in de toekomst maakt. De aanbeveling wordt gemarkeerd met de specifieke reden die u selecteert voor het bereik dat u hebt geselecteerd.

Beschikbaarheid

Aspect	Details
Releasestatus:	Preview De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Prijzen:	Dit is een premium Azure Policy die zonder extra kosten wordt aangeboden voor klanten met de verbeterde beveiligingsfuncties van Microsoft Defender for Cloud ingeschakeld. Voor andere gebruikers kunnen er in de toekomst kosten in rekening worden gebracht.
Vereiste rollen en machtigingen:	Eigenaar of Inzender voor resourcebeleid om een uitzondering te maken Als u een regel wilt maken, hebt u machtigingen nodig om beleid te bewerken in Azure Policy. Meer informatie in Azure RBAC-machtigingen in Azure Policy.
Beperkingen:	Uitzonderingen kunnen alleen worden gemaakt voor aanbevelingen die zijn opgenomen in het standaardinitiatief van Defender for Cloud, Azure Security Benchmarkof een van de opgegeven standaardinitiatieven voor regelgeving. Aanbevelingen die worden gegenereerd op basis van aangepaste initiatieven, kunnen niet worden uitgesloten. Meer informatie over de relaties tussen beleidsregels, initiatieven en aanbevelingen.
Clouds:	Commerciële clouds National (Azure Government, Azure China 21Vianet)

Een uitzondering definiëren

Als u de beveiligingsaanbevelingen die Defender for Cloud doet voor uw abonnementen, beheergroep of resources wilt afstemmen, kunt u een uitzonderingsregel maken om:

• Markeer een specifieke aanbeveling of als 'beperkt' of 'geaccepteerd risico'. U kunt aanbevelingsvrijstellingen maken voor een abonnement, meerdere abonnementen of een hele beheergroep.
• Markeer een of meer resources als 'beperkt' of 'geaccepteerd risico' voor een specifieke aanbeveling.

Een uitzonderingsregel maken:

1. Open de pagina met details van de aanbevelingen voor de specifieke aanbeveling.

2. Selecteer In de werkbalk boven aan de pagina de optie Uitgesloten.

   

3. In het deelvenster Uitgesloten:

   1. Selecteer het bereik voor deze uitzonderingsregel:

      • Als u een beheergroep selecteert, wordt de aanbeveling uitgesloten van alle abonnementen binnen die groep
      • Als u deze regel maakt om een of meer resources uit te sluiten van de aanbeveling, kiest u Geselecteerde resources en selecteert u de relevante resources in de lijst

   2. Voer een naam in voor deze uitzonderingsregel.

   3. U kunt eventueel een vervaldatum instellen.

   4. Selecteer de categorie voor de uitzondering:

      • Opgelost via externe partij (beperkt) : als u een service van derden gebruikt die Niet door Defender for Cloud is geïdentificeerd.

        Notitie

        Wanneer u een aanbeveling als beperkt hebt uitgesloten, krijgt u geen punten voor uw beveiligingsscore. Maar omdat er geen punten worden verwijderd voor de resources die niet in orde zijn, is het resultaat dat uw score toeneemt.

      • Geaccepteerd risico (if you've decided to accept the risk of not mitigating this recommendation

   5. Voer desgewenst een beschrijving in.

   6. Selecteer Maken.

   

   Wanneer de uitzondering van kracht wordt (dit kan tot 30 minuten duren):

   • De aanbeveling of resources hebben geen invloed op uw beveiligde score.

   • Als u specifieke resources hebt uitgesloten, worden deze weergegeven op het tabblad Niet van toepassing op de pagina met aanbevelingsdetails.

   • Als u een aanbeveling hebt uitgesloten, wordt deze standaard verborgen op de pagina met aanbevelingen van Defender for Cloud. Dit komt doordat de standaardopties van het filter Aanbevelingsstatus op die pagina zijn om Niet van toepassing zijnde aanbevelingen uit te sluiten. Hetzelfde geldt als u alle aanbevelingen in een besturingselement voor beveiliging uitkeert.

     

   • In de informatie strip boven aan de pagina met aanbevelingsdetails wordt het aantal uitgesloten resources bijgewerkt:

     

4. Als u de uitgesloten resources wilt controleren, opent u het tabblad Niet van toepassing:

   

   De reden voor elke uitzondering is opgenomen in de tabel (1).

   Als u een uitzondering wilt wijzigen of verwijderen, selecteert u het menu met het beletselteken ('...') zoals weergegeven (2).

5. Als u alle uitzonderingsregels voor uw abonnement wilt bekijken, selecteert u Uitzonderingen in de informatie strip weergeven:

   Belangrijk

   Als u de specifieke uitzonderingen wilt zien die relevant zijn voor één aanbeveling, filtert u de lijst op basis van het relevante bereik en de naam van de aanbeveling.

   

   Tip

   U kunt ook Azure Resource Graph om aanbevelingen met uitzonderingen te vinden.

Uitzonderingen bewaken die in uw abonnementen zijn gemaakt

Zoals eerder op deze pagina is uitgelegd, zijn uitzonderingsregels een krachtig hulpmiddel dat gedetailleerde controle biedt over de aanbevelingen die van invloed zijn op resources in uw abonnementen en beheergroepen.

Om bij te houden hoe uw gebruikers deze mogelijkheid oefenen, hebben we een ARM-sjabloon (Azure Resource Manager) gemaakt waarmee een Playbook voor logische apps en alle benodigde API-verbindingen worden geïmplementeerd om u te waarschuwen wanneer er een uitzondering is gemaakt.

• Zie voor meer informatie over het playbook de blogpost van de tech-community Resource-uitzonderingen bijhouden in Microsoft Defender for Cloud
• U vindt de ARM-sjabloon in de Microsoft Defender for Cloud GitHub opslagplaats
• Als u alle benodigde onderdelen wilt implementeren, gebruikt u dit geautomatiseerde proces

De inventaris gebruiken om resources te vinden waar uitzonderingen op zijn toegepast

De assetinventarispagina van Microsoft Defender for Cloud biedt één pagina voor het weergeven van de beveiligingsstatus van de resources die u hebt verbonden met Defender for Cloud. Voor meer informatie raadpleegt u Uw resources verkennen en beheren met assetvoorraad.

De inventarispagina bevat veel filters om de lijst met resources te beperken tot de resources die voor elk scenario het meest interessant zijn. Een dergelijk filter is de bevat uitzonderingen. Gebruik dit filter om alle resources te vinden die zijn uitgesloten van een of meer aanbevelingen.

Aanbevelingen zoeken met uitzonderingen voor het gebruik van Azure Resource Graph

Azure Resource Graph (ARG) biedt directe toegang tot resourcegegevens in uw cloudomgevingen met robuuste filter-, groeperings- en sorteermogelijkheden. Het is een snelle en efficiënte manier om via een programma of vanuit het Azure Portal.

Alle aanbevelingen met uitzonderingsregels weergeven:

1. Open Azure Resource Graph Explorer.

   

2. Voer de volgende query in en selecteer Query uitvoeren.

   securityresources
   | where type == "microsoft.security/assessments"
   // Get recommendations in useful format
   | project
   ['TenantID'] = tenantId,
   ['SubscriptionID'] = subscriptionId,
   ['AssessmentID'] = name,
   ['DisplayName'] = properties.displayName,
   ['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]),
   ['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]),
   ['ResourceGroup'] = resourceGroup,
   ['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink),
   ['StatusCode'] = properties.status.code,
   ['StatusDescription'] = properties.status.description,
   ['PolicyDefID'] = properties.metadata.policyDefinitionId,
   ['Description'] = properties.metadata.description,
   ['RecomType'] = properties.metadata.assessmentType,
   ['Remediation'] = properties.metadata.remediationDescription,
   ['Severity'] = properties.metadata.severity,
   ['Link'] = properties.links.azurePortal
   | where StatusDescription contains "Exempt"    
   

Meer informatie op de volgende pagina's:

• Meer informatie over Azure Resource Graph.
• Query's maken met Azure Resource Graph Explorer
• Kusto-querytaal (KQL)

Veelgestelde vragen - Uitzonderingsregels

• Wat gebeurt er wanneer één aanbeveling binnen meerdere beleidsinitiatieven valt?
• Zijn er aanbevelingen die geen ondersteuning bieden voor uitzondering?

Wat gebeurt er wanneer één aanbeveling binnen meerdere beleidsinitiatieven valt?

Soms wordt een beveiligingsaanbeveling in meer dan één beleidsinitiatief weergegeven. Als er meerdere exemplaren van dezelfde aanbeveling zijn toegewezen aan hetzelfde abonnement en u een uitzondering voor de aanbeveling maakt, heeft dit invloed op alle initiatieven die u mag bewerken.

De aanbeveling **** maakt bijvoorbeeld deel uit van het standaardbeleidsinitiatief dat door Microsoft Defender for Cloud is toegewezen aan alle Azure-abonnementen. Het is ook in XXXXX.

Als u probeert een uitzondering voor deze aanbeveling te maken, ziet u een van de volgende twee berichten:

• Als u de benodigde machtigingen hebt om beide initiatieven te bewerken, ziet u het volgende:

  Deze aanbeveling is opgenomen in verschillende beleidsinitiatieven: [initiatiefnamen gescheiden door komma's]. Voor al deze uitzonderingen worden uitzonderingen gemaakt.

• Als u niet over voldoende machtigingen voor beide initiatieven hebt, ziet u in plaats daarvan dit bericht:

  U hebt beperkte machtigingen om de uitzondering toe te passen op alle beleidsinitiatieven. De uitzonderingen worden alleen gemaakt voor de initiatieven met voldoende machtigingen.

Zijn er aanbevelingen die geen ondersteuning bieden voor uitzondering?

Deze algemeen beschikbare aanbevelingen bieden geen ondersteuning voor uitzondering:

• Alle Advanced Threat Protection-typen moeten zijn ingeschakeld bij de geavanceerde instellingen voor gegevensbeveiliging van het beheerde SQL-exemplaar
• Alle Advanced Threat Protection-typen moeten zijn ingeschakeld bij de geavanceerde instellingen voor gegevensbeveiliging van SQL-servers
• Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers
• Azure Defender for Key Vault moet zijn ingeschakeld
• De CPU- en geheugenlimieten van containers moeten worden afgedwongen
• Containerinstallatiekopieën mogen alleen worden geïmplementeerd vanuit vertrouwde registers
• Container met escalatie van bevoegdheden moet worden vermeden
• Containers die gevoelige hostnaamruimten delen, moeten worden vermeden
• Containers mogen alleen op toegestane poorten luisteren
• Gebruik van CORS mag er niet toe leiden dat elke resource toegang heeft tot uw webtoepassingen
• Het standaardbeleid voor IP-filters moet Weigeren zijn
• Onveranderbaar (alleen-lezen) hoofdbestandssysteem moet worden afgedwongen voor containers
• Oplossing voor eindpuntbeveiliging installeren op uw machines
• IoT-apparaten - Poorten openen op apparaat
• IoT-apparaten: er is een permissief firewallbeleid in een van de ketens gevonden
• IoT-apparaten: er is een permissieve firewallregel in de invoerketen gevonden
• IoT-apparaten: er is een permissieve firewallregel in de uitvoerketen gevonden
• Ip-filterregel: groot IP-bereik
• Minimaal bevoegde Linux-functies moeten worden afgedwongen voor containers
• Het overschrijven of uitschakelen van het AppArmor-profiel voor containers moet worden beperkt
• Bevoegde containers moeten worden vermeden
• Het uitvoeren van containers als hoofdgebruiker moet worden vermeden
• Services mogen alleen op toegestane poorten luisteren
• Er moeten systeemupdates op uw computers worden geïnstalleerd
• Het gebruik van hostnetwerken en -poorten moet worden beperkt
• Het gebruik van HostPath-volumekoppelingen voor pods moet worden beperkt tot een bekende lijst om de toegang tot knooppunten te beperken voor de containers die zijn gecompromitteerd

Volgende stappen

In dit artikel hebt u geleerd hoe u een resource kunt vrijstellen van een aanbeveling, zodat deze geen invloed heeft op uw beveiligde score. Zie voor meer informatie over de beveiligde score:

• Beveiligingsscore in Microsoft Defender for Cloud