Исключение ресурсов из рекомендаций

  • Статья

При изучении рекомендаций по безопасности в Microsoft Defender для облака обычно просматривается список затронутых ресурсов. Иногда ресурс указывается, что не следует включать. Или рекомендация отображается в область, где вы чувствуете, что она не принадлежит. Например, ресурс может быть исправлен процессом, не отслеживаемым Defender для облака, или рекомендация может быть неуместна для определенной подписки. Или, возможно, ваша организация решила принять риски, связанные с конкретным ресурсом или рекомендацией.

В таких случаях можно создать исключение для:

  • Исключите ресурс , чтобы убедиться, что он не указан в неработоспособных ресурсах в будущем и не влияет на оценку безопасности. Ресурс будет указан как неприменимый по причине исключения с указанным вами обоснованием.

  • Исключите подписку или группу управления, чтобы убедиться, что рекомендация не влияет на вашу оценку безопасности и не будет отображаться для подписки или группы управления в будущем. Это применимо как существующим ресурсам, так и всем тем, которые вы создадите в будущем. Рекомендации будут дополнены обоснованием, указанным для выбранной области.

Для область необходимо создать правило исключения:

  • Пометьте определенную рекомендацию как "смягчаемую" или "риск принят" для одной или нескольких подписок или для всей группы управления.
  • Указание метки "уменьшение рисков" или "риск принят" для одного ресурса или нескольких в конкретной рекомендации.

Перед началом работы

Эта функция находится в режиме предварительного просмотра. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам. Это возможность Политика Azure уровня "Премиум" без дополнительных затрат для клиентов с поддержкой расширенных функций безопасности Microsoft Defender для облака. Для других пользователей в будущем может взиматься плата.

  • Чтобы сделать исключения, вам потребуются следующие разрешения:

    • Владелец или Администратор безопасности или участник политики ресурсов для создания исключения
      • Чтобы создать правило, нужны разрешения на изменение политик в Политике Azure. Подробнее.

  • Вы можете создать исключения для рекомендаций, включенных в стандарт microsoft cloud security benchmark по умолчанию Defender для облака или любой из указанных нормативных стандартов.

Примечание.

Исключение Defender для облака использует инициативу Microsoft Cloud Security Benchmark (MCSB) для оценки состояния соответствия ресурсов на портале Defender для облака. Если MCSB отсутствует, портал частично будет работать, и некоторые ресурсы могут не отображаться.

  • Некоторые рекомендации, включенные в microsoft cloud security benchmark, не поддерживают исключения, список этих рекомендаций можно найти здесь.

  • Рекомендации, включенные в несколько инициатив политики, должны быть исключены

  • Пользовательские рекомендации не могут быть исключены.

  • Если рекомендация отключена, все его вложенные компоненты исключены.

  • Помимо работы на портале, можно создавать исключения с помощью API Политика Azure. Дополнительные сведения о структуре исключения Политика Azure.

Определение исключения

Чтобы создать правило исключения, сделайте следующее.

  1. На портале Defender для облака откройте страницу Рекомендации и выберите рекомендацию, которую вы хотите исключить.

  2. В действии выберите " Исключить".

    Создайте правило исключения для рекомендации, которая будет исключена из подписки или группы управления.

  3. В области Исключение сделайте следующее.

    1. Выберите область для исключения.

      • Если выбрать группу управления, рекомендация будет исключена из всех подписок в этой группе.
      • Если вы создаете это правило, чтобы исключить один или несколько ресурсов из рекомендации, выберите "Выбранные ресурсы" и выберите соответствующие из списка.

    2. Введите имя правила исключения.

    3. При необходимости задайте дату окончания срока действия.

    4. Выберите категорию для исключения.

      • Resolved through 3rd party (mitigated) (Разрешено сторонними средствами [устранено]) — если вы используете стороннюю службу, не идентифицированную в Defender для облака.

        Примечание.

        Если вы исключите рекомендацию как устраненную, вы не получите баллы для оценки безопасности. Однако, так как точки для неработоспособных ресурсов не удаляются, оценка в результате увеличится.

      • Риск принят (отказ) — если вы решили принять риск не смягчить эту рекомендацию.

    5. Введите описание.

    6. Нажмите кнопку создания. Действия по созданию правила исключения для исключения рекомендации из подписки или группы управления.

После создания исключения

После создания исключения может потребоваться до 30 минут. После того как оно вступает в силу:

  • Рекомендации или ресурсы не влияют на вашу оценку безопасности.
  • Если вы исключили определенные ресурсы, они будут перечислены на вкладке "Неприменимо " страницы сведений о рекомендации.
  • Если вы исключили рекомендацию, она будет скрыта по умолчанию на странице рекомендаций Defender для облака. Это связано с тем, что параметры по умолчанию для фильтра Состояние рекомендаций на этой странице исключают рекомендации типа Неприменимо. То же самое справедливо и при исключении всех рекомендаций в средстве безопасности.

Следующие шаги

Просмотрите исключенные ресурсы в Defender для облака.