Undanta resurser och rekommendationer från din säkerhetspoäng

En viktig prioritet för varje säkerhetsteam är att säkerställa att analytiker kan fokusera på de uppgifter och incidenter som är viktiga för organisationen. Security Center har många funktioner för att anpassa upplevelsen och se till att din säkerhetspoäng återspeglar organisationens säkerhetsprioriteringar. Undantagsalternativet är en sådan funktion.

När du undersöker dina säkerhetsrekommendationer i Azure Security Center är en av de första uppgifterna som du granskar listan över berörda resurser.

Ibland visas en resurs som du anser inte ska ingå. Eller så visas en rekommendation i ett omfång där du anser att den inte tillhör. Resursen kan ha åtgärdats av en process som inte spårats av Security Center. Rekommendationen kan vara olämplig för en viss prenumeration. Eller så kanske din organisation helt enkelt har valt att acceptera de risker som är relaterade till den specifika resursen eller rekommendationen.

I sådana fall kan du skapa ett undantag för en rekommendation för att:

  • Undanta en resurs för att se till att den inte visas med de resurser som inte är felfria i framtiden och påverkar inte dina säkerhetspoäng. Resursen visas som ej tillämplig och orsaken visas som "undantagen" med den specifika motivering som du väljer.

  • Undanta en prenumeration eller hanteringsgrupp för att säkerställa att rekommendationen inte påverkar dina säkerhetspoäng och inte visas för prenumerationen eller hanteringsgruppen i framtiden. Detta gäller för befintliga resurser och eventuella som du skapar i framtiden. Rekommendationen markeras med den specifika motivering som du väljer för det omfång som du har valt.

Tillgänglighet

Aspekt Information
Utgivningstillstånd: Förhandsgranskning
I tilläggs villkoren för Azure Preview ingår ytterligare juridiska villkor som gäller för Azure-funktioner som är i beta, för hands version eller på annat sätt ännu inte har publicerats i allmän tillgänglighet.
Prissättning: Det här är Azure Policy premiumfunktion som erbjuds för Azure Defender kunder utan extra kostnad. För andra användare kan avgifter tillkomma i framtiden.
Nödvändiga roller och behörigheter: Ägare eller resursprincipdeltagare för att skapa ett undantag
Om du vill skapa en regel behöver du behörighet att redigera principer i Azure Policy.
Läs mer i Azure RBAC-behörigheter i Azure Policy.
Begränsningar: Undantag kan bara skapas för rekommendationer som ingår i Security Center standardinitiativ, Azure Security Benchmarkeller någon av de tillhandahållna regelstandardinitiativen. Rekommendationer som genereras från anpassade initiativ kan inte undantas. Läs mer om relationerna mellan principer, initiativ och rekommendationer.
Moln: Kommersiella moln
Nationella/nationella (Azure Government, Azure China 21Vianet)

Definiera ett undantag

Om du vill finjustera de säkerhetsrekommendationer Security Center gör för dina prenumerationer, hanteringsgrupp eller resurser kan du skapa en undantagsregel för att:

  • Markera en specifik rekommendation eller som "minimerad" eller "accepterad risk". Du kan skapa rekommendationsundantag för en prenumeration, flera prenumerationer eller en hel hanteringsgrupp.
  • Markera en eller flera resurser som "minimerad" eller "accepterad risk" för en specifik rekommendation.

Anteckning

Undantag kan bara skapas för rekommendationer som ingår Security Center standardinitiativ, Azure Security Benchmark eller någon av de tillhandahållna regelstandardinitiativen. Rekommendationer som genereras från anpassade initiativ som tilldelats dina prenumerationer kan inte undantas. Läs mer om relationerna mellan principer, initiativ och rekommendationer.

Tips

Du kan också skapa undantag med hjälp av API:et. Ett exempel på JSON och en förklaring av relevanta strukturer finns i Azure Policy undantagsstruktur.

Så här skapar du en undantagsregel:

  1. Öppna sidan med information om rekommendationer för den specifika rekommendationen.

  2. Välj Undanta i verktygsfältet längst upp på sidan.

    Skapa en undantagsregel för en rekommendation som ska undantas från en prenumeration eller hanteringsgrupp.

  3. I fönstret Undantag:

    1. Välj omfånget för den här undantagsregeln:

      • Om du väljer en hanteringsgrupp undantas rekommendationen från alla prenumerationer i gruppen
      • Om du skapar den här regeln för att undanta en eller flera resurser från rekommendationen väljer du "Valda resurser" och väljer relevanta resurser i listan
    2. Ange ett namn för den här undantagsregeln.

    3. Du kan också ange ett förfallodatum.

    4. Välj kategorin för undantaget:

      • Löst via tredje part (åtgärdat) – om du använder en tjänst från tredje part som Security Center inte har identifierat.

        Anteckning

        När du undantar en rekommendation som har åtgärdats får du inga poäng mot dina säkerhetspoäng. Men eftersom punkter inte tas bort för de resurser som inte är felsamma blir resultatet att poängen ökar.

      • Accepterad risk (friskrivning) – om du har valt att acceptera risken för att inte minska den här rekommendationen

    5. Du kan också ange en beskrivning.

    6. Välj Skapa.

    Steg för att skapa en undantagsregel för att undanta en rekommendation från din prenumeration eller hanteringsgrupp.

    När undantaget tillämpas (det kan ta upp till 30 minuter):

    • Rekommendationen eller resurserna påverkar inte dina säkerhetspoäng.

    • Om du har undantagits från vissa resurser visas de på fliken Ej tillämpligt på sidan med rekommendationsinformation.

    • Om du har undantagits från en rekommendation döljs den som standard Security Center sidan med rekommendationer. Det beror på att standardalternativen för filtret Rekommendationsstatus på den sidan är att undanta Ej tillämpliga rekommendationer. Samma sak gäller om du undantar alla rekommendationer i en säkerhetskontroll.

      Standardfilter på Azure Security Center rekommendationssidan döljer de rekommendationer och säkerhetskontroller som inte är tillämpliga

    • Informationslisten överst på sidan med rekommendationsinformation uppdaterar antalet undantagna resurser:

      Antal undantagna resurser.

  4. Om du vill granska dina undantagna resurser öppnar du fliken Ej tillämpligt:

    Ändra ett undantag.

    Orsaken till varje undantag tas med i tabellen (1).

    Om du vill ändra eller ta bort ett undantag väljer du ellipsmenyn ("...") enligt bilden (2).

  5. Om du vill granska alla undantagsregler för din prenumeration väljer du Visa undantag från informationslisten:

    Viktigt

    Om du vill se specifika undantag som är relevanta för en rekommendation filtrerar du listan enligt relevant omfångs- och rekommendationsnamn.

    Azure Policy undantagssidan

Övervaka undantag som skapats i dina prenumerationer

Som vi nämnde tidigare på den här sidan är undantagsregler ett kraftfullt verktyg som ger detaljerad kontroll över rekommendationerna som påverkar resurser i dina prenumerationer och hanteringsgrupper.

För att hålla reda på hur dina användare använder den här funktionen har vi skapat en Azure Resource Manager-mall (ARM) som distribuerar en Logic App Playbook och alla nödvändiga API-anslutningar för att meddela dig när ett undantag har skapats.

Använd inventeringen för att hitta resurser som har undantag tillämpade

Sidan för tillgångsinventering i Azure Security Center en enda sida för att visa säkerhetsstatusen för de resurser som du har anslutit till Security Center. Läs mer i Utforska och hantera dina resurser med tillgångsinventering.

Inventeringssidan innehåller många filter som gör att du kan begränsa listan över resurser till de som är mest intressanta för ett visst scenario. Ett sådant filter är Innehåller undantag. Använd det här filtret för att hitta alla resurser som har undantagits från en eller flera rekommendationer.

Security Center tillgångsinventeringssidan och filtret för att hitta resurser med undantag

Hitta rekommendationer med undantag med hjälp av Azure Resource Graph

Azure Resource Graph (ARG) ger omedelbar åtkomst till resursinformation i dina molnmiljöer med robusta filtrerings-, grupperings- och sorteringsfunktioner. Det är ett snabbt och effektivt sätt att fråga efter information i Azure-prenumerationer programmatiskt eller inifrån Azure Portal.

Så här visar du alla rekommendationer som har undantagsregler:

  1. Öppna Azure Resource Graph Explorer.

    Starta rekommendationssidan för Azure Resource Graph Explorer**

  2. Ange följande fråga och välj Kör fråga.

    securityresources
    | where type == "microsoft.security/assessments"
    // Get recommendations in useful format
    | project
    ['TenantID'] = tenantId,
    ['SubscriptionID'] = subscriptionId,
    ['AssessmentID'] = name,
    ['DisplayName'] = properties.displayName,
    ['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]),
    ['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]),
    ['ResourceGroup'] = resourceGroup,
    ['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink),
    ['StatusCode'] = properties.status.code,
    ['StatusDescription'] = properties.status.description,
    ['PolicyDefID'] = properties.metadata.policyDefinitionId,
    ['Description'] = properties.metadata.description,
    ['RecomType'] = properties.metadata.assessmentType,
    ['Remediation'] = properties.metadata.remediationDescription,
    ['Severity'] = properties.metadata.severity,
    ['Link'] = properties.links.azurePortal
    | where StatusDescription contains "Exempt"    
    

Läs mer på följande sidor:

Vanliga frågor och svar – Undantagsregler

Vad händer när en rekommendation finns i flera principinitiativ?

Ibland visas en säkerhetsrekommendation i mer än ett principinitiativ. Om du har flera instanser av samma rekommendation tilldelad till samma prenumeration och du skapar ett undantag för rekommendationen påverkar det alla initiativ som du har behörighet att redigera.

Rekommendationen *** är till exempel en del av standardprincipinitiativ som tilldelas till alla Azure-prenumerationer av Azure Security Center. Det finns även i XXXXX.

Om du försöker skapa ett undantag för den här rekommendationen visas något av följande två meddelanden:

  • Om du har de behörigheter som krävs för att redigera båda initiativen visas följande:

    Den här rekommendationen ingår i flera principinitiativ: [initiativnamn avgränsade med kommatecken]. Undantag skapas på alla.

  • Om du inte har tillräcklig behörighet för båda initiativen visas det här meddelandet i stället:

    Du har begränsad behörighet att tillämpa undantaget på alla principinitiativ. Undantagen skapas endast på initiativ med tillräcklig behörighet.

Finns det några rekommendationer som inte stöder undantag?

De här rekommendationerna stöder inte undantag:

  • Container-CPU- och minnesgränser ska framtvingas
  • Privilegierade containrar bör undvikas
  • Containeravbildningar bör endast distribueras från betrodda register
  • Containrar bör endast lyssna på tillåtna portar
  • Tjänsterna bör endast lyssna på tillåtna portar
  • Linux-funktioner med lägsta privilegier ska tillämpas för container
  • Oföränderligt (skrivskyddat) rotfilsystem ska framtvingas för containrar
  • Container med behörighetseskalering bör undvikas
  • Du bör undvika att köra containrar som rotanvändare
  • Användningen av värdnätverk och portar bör begränsas
  • Containrar som delar känsliga värdnamnrymder bör undvikas
  • Användningen av Pod HostPath-volymmonteringar bör begränsas till en känd lista för att begränsa nodåtkomst från komprometterade containrar
  • Åsidosättning eller inaktivering av Container AppArmor-profil bör begränsas

Nästa steg

I den här artikeln har du lärt dig hur du undantar en resurs från en rekommendation så att den inte påverkar dina säkerhetspoäng. Mer information om säkerhetspoäng finns i: