Güvenli puanınızdan kaynakları ve önerileri muaf tutma

  • Makale
  • Okumak için 7 dakika

Not

Azure Güvenlik Merkezi ve Azure Defender artık Bulut için Microsoft Defender olarak adlandırılan bir yazılımdır. Ayrıca, microsoft Azure Defender Microsoft Defender planları olarak yeniden adlandırıldı. Örneğin, Azure Defender artık Depolama için Microsoft Defender Depolama.

Microsoft güvenlik hizmetlerinin en son yeniden olarak yeniden olarak yeniden an kullanımı hakkında daha fazla bilgi edinmek için.

Her güvenlik ekibinin temel önceliği, analistlerin kuruluşa bağlı görevlere ve olaylara odaklanabildiğinden emin olunması sağlamaktır. İçin Defender, deneyimi özelleştirmek ve güvenli puanınızın kuruluşunuzun güvenlik önceliklerini yansıttığından emin olmak için birçok özelliğe sahiptir. Muaf seçeneği bu tür bir özelliktir.

Bulut için Microsoft Defender 'daki güvenlik önerilerinizi araştırdığınızda, gözden geçirenlerin ilk bilgi parçalarından biri etkilenen kaynakların listesidir.

Bazen, dahil edilmemeniz gerektiğini belirten bir kaynak listelenecektir. Ya da bir öneri, ait olmadığı yerde bir kapsamda gösterilecektir. Kaynak, Defender tarafından bulut için izlenmeyen bir işlem tarafından düzeltilebilir olabilir. Öneri, belirli bir abonelik için uygun olmayabilir. Ya da kuruluşunuz yalnızca belirli kaynakla veya öneriyle ilgili riskleri kabul etmeye karar verdi.

Bu gibi durumlarda öneri için bir istisna oluşturabilirsiniz:

  • İleride sağlıksız kaynaklarla listelenmediğinden emin olmak için bir kaynağı muaf tut ve güvenli puanınızı etkilemez. Kaynak geçerli değil olarak listelenecektir ve bu nedenle seçtiğiniz belirli bir gerekçe ile "muaf tutulan" olarak gösterilir.

  • Önerinin güvenli puanınızı etkilememesini sağlamak için bir aboneliği veya yönetim grubunu muaf tut ve gelecekte abonelik veya yönetim grubu için gösterilmeyecektir. Bu, mevcut kaynaklarla ve gelecekte oluşturduğunuz herhangi bir kaynak ile ilgilidir. Öneri, seçtiğiniz kapsam için seçtiğiniz belirli bir gerekçe ile işaretlenir.

Kullanılabilirlik

Görünüş Ayrıntılar
Yayın durumu: Önizleme
Azure önizleme ek koşulları , Beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek yasal koşulları içerir.
Fiyat Bu, bulut için Microsoft Defender 'ın artırılmış güvenlik özellikleri etkin olan müşteriler için hiçbir ek ücret ödemeden sunulan bir Premium Azure Ilke özelliğidir. Diğer kullanıcılar için ücretler gelecekte uygulanabilir.
Gerekli roller ve izinler: Muafiyet oluşturmak için sahip veya kaynak ilkesi katılımcısı
Bir kural oluşturmak için Azure Ilkesinde ilkeleri düzenleme izinlerinizin olması gerekir.
Azure Ilkesinde Azure RBAC izinlerihakkında daha fazla bilgi edinin.
Sınırlamalar: Muafiyetler yalnızca, Defender 'ın varsayılan girişim, Azure Güvenlik kıyaslamasıveya sağlanan mevzuata standart girişimlerinin herhangi biri için Defender 'a dahil edilen öneriler için oluşturulabilir. özel girişimlerden oluşturulan Öneriler dışarıda bırakılamaz. İlkeler, girişimler ve önerilerarasındaki ilişkiler hakkında daha fazla bilgi edinin.
Larının Ticari bulutlar
Ulusal (Azure Kamu, Azure Çin 21Vianet)

İstisna tanımlama

Bulut için Defender 'ın abonelikleriniz, yönetim grubunuz veya kaynaklarınız için yaptığı güvenlik önerilerini hassas bir şekilde ayarlamak için, aşağıdakileri yapmak üzere bir istisna kuralı oluşturabilirsiniz:

  • Belirli bir öneriyi veya "azaltıldığında" veya "risk kabul edildi" olarak işaretleyin. Bir abonelik, birden çok abonelik veya bir yönetim grubu için öneri muafiyetleri oluşturabilirsiniz.
  • Belirli bir öneri için bir veya daha fazla kaynağı "azaltıldığında" veya "risk kabul edildi" olarak işaretleyin.

Not

Muafiyet işlemleri yalnızca, Defender 'ın varsayılan girişim, Azure Güvenlik kıyaslaması veya sağlanan mevzuata standart girişimlerinin herhangi biri için Defender 'a dahil edilen öneriler için oluşturulabilir. aboneliklerinize atanan herhangi bir özel girişimden oluşturulan Öneriler muaf tutulamaz. İlkeler, girişimler ve önerilerarasındaki ilişkiler hakkında daha fazla bilgi edinin.

İpucu

Ayrıca API kullanarak dışarıda bırakma oluşturabilirsiniz. Bir JSON örneği ve ilgili yapıların açıklaması için bkz. Azure ilke muafiyet yapısı.

Muafiyet kuralı oluşturmak için:

  1. Belirli bir öneri için öneriler ayrıntıları sayfasını açın.

  2. Sayfanın üst kısmındaki araç çubuğundan muaf tut' u seçin.

    Bir aboneliğin veya yönetim grubunun dışında tutulan bir öneri için muafiyet kuralı oluşturun.

  3. Dışlama bölmesinde:

    1. Bu muafiyet kuralının kapsamını seçin:

      • Bir yönetim grubu seçerseniz, öneri bu grup içindeki tüm aboneliklerden muaf tutulur
      • Bu kuralı bir veya daha fazla kaynağın öneriden muaf tutulması için oluşturuyorsanız, "Seçili kaynaklar" ı seçin ve listeden ilgili olanları seçin

    2. Bu muafiyet kuralı için bir ad girin.

    3. İsteğe bağlı olarak, bir sona erme tarihi ayarlayın.

    4. Muafiyet kategorisini seçin:

      • 3. taraf üzerinden çözüldü ( azaltılan): bir üçüncü taraf hizmeti kullanıyorsanız, bu Defender for Cloud tarafından belirlenmemiştir.

        Not

        Öneriyi azaltılan olarak muaf bulundurarak, güvenli puanınızın altına işaret vermemesini sağlayabilirsiniz. Ancak, uygun olmayan kaynaklar için noktaların kaldırılmadığı için sonuç puanınızın artması olur.

      • Risk kabul edildi (feragat aldığınız) – bu öneriyi azaltıcı riski kabul etmeye karar verdiyseniz

    5. İsteğe bağlı olarak bir açıklama girin.

    6. Oluştur’u seçin.

    Aboneliğinizi veya yönetim grubunuzu bir öneriyi muaf tutmak için muafiyet kuralı oluşturma adımları.

    Muafiyet yürürlüğe girer (30 dakikaya kadar sürebilir):

    • Öneri veya kaynaklar, güvenli puanınızı etkilemez.

    • Belirli kaynakları muaf Tutuldıysanız, bunlar öneri Ayrıntıları sayfasının geçerli değil sekmesinde listelenecektir.

    • Bir öneriyi muaf tutarak, bu, varsayılan olarak, bulut 'un öneriler sayfası için Defender 'da gizlenir. Bunun nedeni, söz konusu sayfadaki öneri durumu filtresinin varsayılan seçeneklerinin, uygulanamaz önerilerin dışlanmasını sağlar. Bir güvenlik denetimindeki tüm önerileri muaf tutmak için de aynı değer geçerlidir.

      Bulut için Microsoft Defender 'ın öneriler sayfasında varsayılan filtreler geçerli değil önerileri ve güvenlik denetimlerini gizleyin

    • Öneri Ayrıntıları sayfasının en üstündeki bilgi şeridi, muaf tutulan kaynakların sayısını güncelleştirir:

      Muaf tutulan kaynak sayısı.

  4. Muaf tutulan kaynaklarınızı gözden geçirmek için, geçerli değil sekmesini açın:

    Muafiyeti değiştirme.

    Her bir istisna için neden tabloya (1) dahildir.

    Bir istisnayı değiştirmek veya silmek için (2) gösterildiği gibi üç nokta menüsünü ("...") seçin.

  5. Aboneliğinizdeki tüm muafiyet kurallarını gözden geçirmek için, bilgi şeridinde muafiyetleri görüntüle ' yi seçin:

    Önemli

    Bir öneriyle ilgili belirli muafiyetleri görmek için listeyi ilgili kapsama ve öneri adına göre filtreleyin.

    Azure Ilkesinin muafiyet sayfası

    İpucu

    alternatif olarak, muafiyetli öneriler bulmak için Azure kaynak Graph kullanın.

Aboneliklerinizde oluşturulan, izleme muafiyetleri

Bu sayfada daha önce anlatıldığı gibi istisna kuralları, aboneliklerinizde ve yönetim gruplarındaki kaynakları etkileyen öneriler üzerinde ayrıntılı denetim sağlayan güçlü bir araçtır.

Kullanıcılarınızın bu yeteneği nasıl kullandığını izlemek için, bir istisna oluşturulduğunda size bildirimde bulunan bir Logic App PlayBook 'u ve gerekli tüm API bağlantılarını dağıtan bir Azure Resource Manager (ARM) şablonu oluşturduk.

Muafiyet uygulanmış kaynakları bulmak için envanteri kullanın

Bulut için Microsoft Defender 'ın varlık Envanteri sayfası, bulut için Defender 'a bağladığınız kaynakların güvenlik duruşunu görüntülemek için tek bir sayfa sağlar. Varlık envanteriyle kaynaklarınızı araştırıp yönetmehakkında daha fazla bilgi edinin.

Envanter sayfası, kaynak listesini, belirli bir senaryo için en çok ilgilendikleriyle sınırlamak için birçok filtre içerir. Bu tür bir filtre muafiyetleri içerir. Bir veya daha fazla öneriden muaf tutulan tüm kaynakları bulmak için bu filtreyi kullanın.

Bulutun varlık Envanteri sayfası için Defender ve Muafiyetli kaynakları bulmak için filtre

Azure Resource Graph kullanarak Muafiyetli öneriler bulun

Azure kaynak Graph (ARG), güçlü filtreleme, gruplama ve sıralama özelliklerine sahip bulut ortamlarınızdaki kaynak bilgilerine anında erişim sağlar. Azure aboneliklerindeki bilgileri programlı olarak veya Azure portal içinden sorgulamak için hızlı ve verimli bir yoldur.

Muafiyet kuralları olan tüm önerileri görüntülemek için:

  1. Azure Resource Graph gezginini açın.

    Azure kaynak Graph gezgini * * öneri sayfası başlatılıyor

  2. Aşağıdaki sorguyu girin ve Sorguyu Çalıştır' ı seçin.

    securityresources
| where type == "microsoft.security/assessments"
// Get recommendations in useful format
| project
['TenantID'] = tenantId,
['SubscriptionID'] = subscriptionId,
['AssessmentID'] = name,
['DisplayName'] = properties.displayName,
['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]),
['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]),
['ResourceGroup'] = resourceGroup,
['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink),
['StatusCode'] = properties.status.code,
['StatusDescription'] = properties.status.description,
['PolicyDefID'] = properties.metadata.policyDefinitionId,
['Description'] = properties.metadata.description,
['RecomType'] = properties.metadata.assessmentType,
['Remediation'] = properties.metadata.remediationDescription,
['Severity'] = properties.metadata.severity,
['Link'] = properties.links.azurePortal
| where StatusDescription contains "Exempt"

Aşağıdaki sayfalarda daha fazla bilgi edinin:

SSS-muafiyet kuralları

Bir öneri birden çok ilke girişimleriyle olduğunda ne olur?

Bazen, bir güvenlik önerisi birden fazla ilke girişimi içinde görünür. Aynı öneriyi aynı aboneliğe atanmış birden fazla örneğe sahipseniz ve öneri için bir istisna oluşturursanız, düzenleme izniniz olan tüm girişimleri etkiler.

Örneğin, * * * * önerisi, bulut için Microsoft Defender tarafından tüm Azure aboneliklerine atanan varsayılan ilke girişiminin bir parçasıdır. Ayrıca, XXXXX ' de de olur.

Bu öneri için bir istisna oluşturmaya çalışırsanız aşağıdaki iki iletiden birini görürsünüz:

  • Her iki girişimi de düzenlemek için gerekli izinlere sahipseniz şunları görürsünüz:

    Bu öneri çeşitli ilke girişimleriyle birlikte bulunur: [virgülle ayrılmış girişim adları]. Muafiyetler Bunların tümünde oluşturulur.

  • Her iki girişim üzerinde yeterli izniniz yoksa, bunun yerine şu iletiyi görürsünüz:

    Tüm ilke girişimlerinde muafiyeti uygulamak için sınırlı izinleriniz vardır. muafiyet yalnızca yeterli izinlere sahip girişimlerle oluşturulacaktır.

Muafiyeti desteklemeyen öneriler var mı?

Bu genel kullanıma sunulan öneriler, istisnayı desteklemez:

  • gelişmiş tehdit koruması türlerinin SQL yönetilen örnek gelişmiş veri güvenliği ayarları 'nda etkinleştirilmesi gerekir
  • gelişmiş tehdit koruması türlerinin tümünün SQL server gelişmiş veri güvenliği ayarları 'nda etkinleştirilmesi gerekir
  • SQL sunucuları için Azure Active Directory yöneticisi sağlanmalıdır
  • Key Vault için Azure Defender etkinleştirilmelidir
  • Kapsayıcı CPU ve bellek sınırları zorunlu kılınmalıdır
  • Kapsayıcı görüntüleri yalnızca güvenilen kayıt defterlerinden dağıtılmalıdır
  • Ayrıcalık yükseltme ile kapsayıcının önlenebilir olması gerekir
  • Gizli ana bilgisayar ad alanlarını paylaşan kapsayıcıların önlenebilir olması gerekir
  • Kapsayıcılar yalnızca izin verilen bağlantı noktalarında dinleme yapılmalıdır
  • CORS, her kaynağın Web uygulamalarınıza erişmesine izin vermemelidir
  • Varsayılan IP filtresi Ilkesi reddetme olmalıdır
  • Kapsayıcılar için sabit (salt okunurdur) kök dosya sistemi zorunlu kılınmalıdır
  • Makinelerinize Endpoint Protection çözümünü yükler
  • IoT cihazları-cihazda bağlantı noktalarını açma
  • IoT cihazları-zincirden birindeki Izin veren güvenlik duvarı ilkesi bulundu
  • IoT cihazları-giriş zincirindeki Izin veren güvenlik duvarı kuralı bulundu
  • IoT cihazları-çıkış zincirindeki Izin veren güvenlik duvarı kuralı bulundu
  • IP filtre kuralı büyük IP aralığı
  • Kapsayıcılar için en az ayrıcalıklı Linux özellikleri zorlanmalıdır
  • Kapsayıcılar AppArmor profilinin geçersiz kılınması veya devre dışı bırakılması kısıtlanıyor
  • Ayrıcalıklı kapsayıcılar kaçınılmalıdır
  • Kök kullanıcı olarak çalışan kapsayıcılar önlenebilir olmalıdır
  • Hizmetlerin yalnızca izin verilen bağlantı noktalarını dinlemesi gerekir
  • Makinelerinize sistem güncelleştirmeleri yüklenmelidir
  • Konak ağ ve bağlantı noktalarının kullanımı sınırlandırılmalıdır
  • , Güvenliği aşılmış kapsayıcılardan düğüm erişimini kısıtlamak için pod HostPath birimi takiciler, bilinen bir listeyle sınırlandırılmalıdır

Sonraki adımlar

Bu makalede, güvenli puanınızı etkilememesi için bir kaynağı öneriden muaf tutmak öğrendiniz. Güvenli Puanlama hakkında daha fazla bilgi için bkz.