Undanta resurser och rekommendationer från din säkerhetspoäng

  • Artikel
  • 8 minuter för att läsa

Anteckning

Azure Security Center och Azure Defender heter nu Microsoft Defender för molnet. Vi har också bytt namn Azure Defender till Microsoft Defender-planer. Till exempel är Azure Defender för Storage microsoft Defender för Storage.

Läs mer om det senaste namnbytet av Microsofts säkerhetstjänster.

En viktig prioritet för varje säkerhetsteam är att säkerställa att analytiker kan fokusera på de uppgifter och incidenter som är viktiga för organisationen. Defender for Cloud har många funktioner för att anpassa upplevelsen och se till att dina säkerhetspoäng återspeglar organisationens säkerhetsprioriteringar. Undantagsalternativet är en sådan funktion.

När du undersöker dina säkerhetsrekommendationer i Microsoft Defender for Cloud är en av de första uppgifterna som du granskar listan över berörda resurser.

Ibland visas en resurs som du anser inte bör inkluderas. Eller så visas en rekommendation i ett omfång där du anser att den inte tillhör. Resursen kan ha åtgärdats av en process som inte spårats av Defender for Cloud. Rekommendationen kan vara olämplig för en viss prenumeration. Eller så kanske din organisation helt enkelt har valt att acceptera de risker som är relaterade till den specifika resursen eller rekommendationen.

I sådana fall kan du skapa ett undantag för en rekommendation om att:

  • Undanta en resurs för att se till att den inte listas med de resurser som inte är felfria i framtiden och inte påverkar dina säkerhetspoäng. Resursen visas som ej tillämplig och orsaken visas som "undantagen" med den specifika motivering som du väljer.

  • Undanta en prenumeration eller hanteringsgrupp för att säkerställa att rekommendationen inte påverkar dina säkerhetspoäng och inte visas för prenumerationen eller hanteringsgruppen i framtiden. Detta gäller för befintliga resurser och alla som du skapar i framtiden. Rekommendationen markeras med den specifika motivering som du väljer för det omfång som du har valt.

Tillgänglighet

Aspekt Information
Utgivningstillstånd: Förhandsgranskning
I tilläggs villkoren för Azure Preview ingår ytterligare juridiska villkor som gäller för Azure-funktioner som är i beta, för hands version eller på annat sätt ännu inte har publicerats i allmän tillgänglighet.
Prissättning: Det här är Azure Policy premiumfunktion som erbjuds utan extra kostnad för kunder med Microsoft Defender för clouds förbättrade säkerhetsfunktioner aktiverade. För andra användare kan avgifter tillkomma i framtiden.
Nödvändiga roller och behörigheter: Ägare eller Resursprincipdeltagare för att skapa ett undantag
Om du vill skapa en regel behöver du behörighet att redigera principer i Azure Policy.
Läs mer i Azure RBAC-behörigheter i Azure Policy.
Begränsningar: Undantag kan bara skapas för rekommendationer som ingår i Defender for Clouds standardinitiativ, Azure Security Benchmarkeller någon av de tillhandahållna regelstandardinitiativen. Rekommendationer som genereras från anpassade initiativ kan inte undantas. Läs mer om relationerna mellan principer, initiativ och rekommendationer.
Moln: Kommersiella moln
Nationella (Azure Government, Azure China 21Vianet)

Definiera ett undantag

Om du vill finjustera säkerhetsrekommendationerna som Defender for Cloud ger för dina prenumerationer, hanteringsgrupp eller resurser kan du skapa en undantagsregel för att:

  • Markera en specifik rekommendation eller som "minimerad" eller "accepterad risk". Du kan skapa rekommendationsundantag för en prenumeration, flera prenumerationer eller en hel hanteringsgrupp.
  • Markera en eller flera resurser som "minimerad" eller "accepterad risk" för en specifik rekommendation.

Anteckning

Undantag kan bara skapas för rekommendationer som ingår i Defender for Clouds standardinitiativ, Azure Security Benchmark eller någon av de tillhandahållna regelstandardinitiativen. Rekommendationer som genereras från anpassade initiativ som tilldelats dina prenumerationer kan inte undantas. Läs mer om relationerna mellan principer, initiativ och rekommendationer.

Tips

Du kan också skapa undantag med hjälp av API:et. Ett exempel på JSON och en förklaring av relevanta strukturer finns i Azure Policy undantagsstruktur.

Så här skapar du en undantagsregel:

  1. Öppna sidan med information om rekommendationer för den specifika rekommendationen.

  2. Välj Undanta i verktygsfältet högst upp på sidan.

    Skapa en undantagsregel för en rekommendation som ska undantas från en prenumeration eller hanteringsgrupp.

  3. I fönstret Undantag:

    1. Välj omfånget för den här undantagsregeln:

      • Om du väljer en hanteringsgrupp undantas rekommendationen från alla prenumerationer i gruppen
      • Om du skapar den här regeln för att undanta en eller flera resurser från rekommendationen väljer du "Valda resurser" och väljer relevanta resurser i listan

    2. Ange ett namn för den här undantagsregeln.

    3. Du kan också ange ett förfallodatum.

    4. Välj kategorin för undantaget:

      • Löst via tredje part (åtgärdat) – om du använder en tjänst från tredje part som Defender for Cloud inte har identifierat.

        Anteckning

        När du undantar en rekommendation som minimeras får du inga poäng mot dina säkerhetspoäng. Men eftersom punkter inte tas bort för de resurser som inte är felande blir resultatet att poängen ökar.

      • Risk som accepteras (avtalsenliga) – om du har valt att acceptera risken för att inte åtgärda den här rekommendationen

    5. Du kan också ange en beskrivning.

    6. Välj Skapa.

    Steg för att skapa en undantagsregel för att undanta en rekommendation från din prenumeration eller hanteringsgrupp.

    När undantaget har verkställs (det kan ta upp till 30 minuter):

    • Rekommendationen eller resurserna påverkar inte dina säkerhetspoäng.

    • Om du har undantagits från specifika resurser visas de på fliken Ej tillämpligt på sidan med rekommendationsinformation.

    • Om du har undantagits från en rekommendation döljs den som standard på sidan för molnrekommendationer i Defender. Det beror på att standardalternativen för filtret Rekommendationsstatus på den sidan är att undanta Ej tillämpliga rekommendationer. Samma sak gäller om du undantar alla rekommendationer i en säkerhetskontroll.

      Standardfilter på sidan med rekommendationer för Microsoft Defender for Cloud döljer de rekommendationer och säkerhetskontroller som inte är tillämpliga

    • Informationslisten överst på sidan med rekommendationsinformation uppdaterar antalet undantagna resurser:

      Antal undantagna resurser.

  4. Om du vill granska dina undantagna resurser öppnar du fliken Ej tillämpligt:

    Ändra ett undantag.

    Orsaken till varje undantag tas med i tabellen (1).

    Om du vill ändra eller ta bort ett undantag väljer du ellipsmenyn ("...") enligt (2).

  5. Om du vill granska alla undantagsregler för din prenumeration väljer du Visa undantag från informationslisten:

    Viktigt

    Om du vill se specifika undantag som är relevanta för en rekommendation filtrerar du listan enligt relevant omfång och rekommendationsnamn.

    Azure Policy undantagssidan

    Tips

    Du kan också använda Azure Resource Graph för att hitta rekommendationer med undantag.

Övervaka undantag som skapats i dina prenumerationer

Som vi nämnde tidigare på den här sidan är undantagsregler ett kraftfullt verktyg som ger detaljerad kontroll över rekommendationerna som påverkar resurser i dina prenumerationer och hanteringsgrupper.

För att hålla reda på hur användarna använder den här funktionen har vi skapat en Azure Resource Manager-mall (ARM) som distribuerar en Logic App Playbook och alla nödvändiga API-anslutningar för att meddela dig när ett undantag har skapats.

Använd inventeringen för att hitta resurser som har undantag tillämpade

Sidan för tillgångsinventering i Microsoft Defender for Cloud innehåller en enda sida för att visa säkerhetsstatusen för de resurser som du har anslutit till Defender for Cloud. Läs mer i Utforska och hantera dina resurser med tillgångsinventering.

Inventeringssidan innehåller många filter som gör att du kan begränsa listan över resurser till de som är mest intressanta för ett visst scenario. Ett sådant filter är Innehåller undantag. Använd det här filtret för att hitta alla resurser som har undantagits från en eller flera rekommendationer.

Defender for Clouds tillgångsinventeringssida och filtret för att hitta resurser med undantag

Hitta rekommendationer med undantag med hjälp av Azure Resource Graph

Azure Resource Graph (ARG) ger omedelbar åtkomst till resursinformation i dina molnmiljöer med robusta filtrerings-, grupperings- och sorteringsfunktioner. Det är ett snabbt och effektivt sätt att fråga efter information i Azure-prenumerationer programmatiskt eller Azure Portal.

Så här visar du alla rekommendationer som har undantagsregler:

  1. Öppna Azure Resource Graph Explorer.

    Starta rekommendationssidan för Azure Resource Graph Explorer**

  2. Ange följande fråga och välj Kör fråga.

    securityresources
| where type == "microsoft.security/assessments"
// Get recommendations in useful format
| project
['TenantID'] = tenantId,
['SubscriptionID'] = subscriptionId,
['AssessmentID'] = name,
['DisplayName'] = properties.displayName,
['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]),
['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]),
['ResourceGroup'] = resourceGroup,
['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink),
['StatusCode'] = properties.status.code,
['StatusDescription'] = properties.status.description,
['PolicyDefID'] = properties.metadata.policyDefinitionId,
['Description'] = properties.metadata.description,
['RecomType'] = properties.metadata.assessmentType,
['Remediation'] = properties.metadata.remediationDescription,
['Severity'] = properties.metadata.severity,
['Link'] = properties.links.azurePortal
| where StatusDescription contains "Exempt"

Läs mer på följande sidor:

Vanliga frågor och svar – Undantagsregler

Vad händer när en rekommendation finns i flera principinitiativ?

Ibland visas en säkerhetsrekommendation i mer än ett principinitiativ. Om du har flera instanser av samma rekommendation tilldelad till samma prenumeration och du skapar ett undantag för rekommendationen påverkar det alla initiativ som du har behörighet att redigera.

Rekommendationen *** är till exempel en del av standardprincipinitiativ som tilldelats till alla Azure-prenumerationer av Microsoft Defender för molnet. Det finns också i XXXXX.

Om du försöker skapa ett undantag för den här rekommendationen visas något av följande två meddelanden:

  • Om du har de behörigheter som krävs för att redigera båda initiativen visas följande:

    Den här rekommendationen ingår i flera principinitiativ: [initiativnamn avgränsade med kommatecken]. Undantag skapas på alla.

  • Om du inte har tillräcklig behörighet för båda initiativen visas det här meddelandet i stället:

    Du har begränsad behörighet att tillämpa undantaget på alla principinitiativ. Undantagen skapas endast på initiativ med tillräcklig behörighet.

Finns det några rekommendationer som inte stöder undantag?

Dessa allmänt tillgängliga rekommendationer stöder inte undantag:

  • Alla typer av avancerat skydd ska vara aktiverade i SQL hanterade instans avancerade inställningar för datasäkerhet
  • Alla typer av avancerat skydd ska vara aktiverade i SQL avancerade inställningar för datasäkerhet på servern
  • En Azure Active Directory bör etableras för SQL servrar
  • Azure Defender för Key Vault ska vara aktiverat
  • Container-CPU- och minnesgränser ska framtvingas
  • Containeravbildningar bör endast distribueras från betrodda register
  • Container med behörighetseskalering bör undvikas
  • Containrar som delar känsliga värdnamnrymder bör undvikas
  • Containrar bör endast lyssna på tillåtna portar
  • CORS bör inte tillåta att alla resurser får åtkomst till dina webbprogram
  • Standardprincipen för IP-filter ska vara Neka
  • Oföränderligt (skrivskyddat) rotfilsystem ska framtvingas för containrar
  • Installera Endpoint Protection-lösningen på dina datorer
  • IoT-enheter – Öppna portar på enheten
  • IoT-enheter – En tillåtande brandväggsprincip i en av kedjorna hittades
  • IoT-enheter – En tillåten brandväggsregel i indatakedjan hittades
  • IoT-enheter – en tillåten brandväggsregel i utdatakedjan hittades
  • IP-filterregel för stort IP-intervall
  • Linux-funktioner med lägsta privilegier ska tillämpas för containrar
  • Åsidosättning eller inaktivering av Container AppArmor-profil bör begränsas
  • Privilegierade containrar bör undvikas
  • Du bör undvika att köra containrar som rotanvändare
  • Tjänsterna bör endast lyssna på tillåtna portar
  • Systemuppdateringar ska ha installerats på dina datorer
  • Användningen av värdnätverk och portar bör begränsas
  • Användningen av Pod HostPath-volymmonteringar bör begränsas till en känd lista för att begränsa nodåtkomst från komprometterade containrar

Nästa steg

I den här artikeln har du lärt dig hur du undantar en resurs från en rekommendation så att den inte påverkar dina säkerhetspoäng. Mer information om säkerhetspoäng finns i: