Exempter des ressources à partir des suggestions

Quand vous examinez des suggestions de sécurité dans Microsoft Defender pour le cloud, l’une des premières informations que vous examinez généralement est la liste des ressources affectées. Parfois, une ressource est répertoriée alors qu’elle ne devrait pas être incluse. Ou vous pensez qu’une recommandation qui s’affiche dans une étendue n’est pas à sa place. Par exemple, il est possible qu’une ressource soit corrigée par un processus non suivi par Defender pour le cloud, ou une suggestion peut être inappropriée pour un abonnement spécifique. Ou encore, il est possible que votre organisation ait décidé d’accepter les risques liés à une ressource ou à une recommandation particulière.

Dans ce cas, vous pouvez créer une exemption pour :

  • Exemptez une ressource pour qu’elle ne soit plus listée parmi les ressources non saines, pour qu’elle n’affecte pas votre degré de sécurisation. La ressource sera listée comme non applicable, avec le motif « exemptée » et la justification de votre choix.

  • Exemptez un abonnement ou un groupe d’administration pour que la recommandation n’affecte pas votre degré de sécurisation et ne s’affiche plus pour l’abonnement ou le groupe d’administration. Cela concerne les ressources existantes et futures. La recommandation sera signalée avec la justification que vous avez choisie pour l’étendue sélectionnée.

Pour l’étendue dont vous avez besoin, vous créez une règle d’exemption pour :

  • Marquez une suggestion spécifique comme « corrigée » ou « a accepté le risque » pour un ou plusieurs abonnements, ou pour un groupe d’administration entier.
  • Marquer une ou plusieurs ressources comme « atténué » ou « risque accepté » pour une recommandation spécifique.

Avant de commencer

Cette fonctionnalité est en préversion. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale. Il s’agit d’une fonctionnalité premium d’Azure Policy proposée sans frais supplémentaires aux clients disposant des fonctionnalités de sécurité améliorées de Microsoft Defender pour le cloud. Pour les autres utilisateurs, des frais pourront s’appliquer.

  • Vous avez besoin des autorisations suivantes pour accorder des exemptions :

    • Propriétaire ou administrateur(-trice) de sécurité pour créer une exemption.
      • Pour créer une règle, vous devez disposer de l’autorisation de modifier des stratégies dans Azure Policy. Plus d’informations
  • Vous pouvez créer des exemptions pour des suggestions incluses dans la norme par défaut Point de référence de sécurité du cloud Microsoft de Defender pour le cloud, ou l’une des normes réglementaires fournies.

Remarque

L’exemption Defender pour le cloud s’appuie sur l’initiative Microsoft Cloud Security Benchmark (MCSB) pour évaluer et récupérer l’état de conformité des ressources sur le portail Defender pour le cloud. Si le MCSB est manquant, le portail fonctionnera partiellement et certaines ressources pourraient ne pas apparaître.

  • Certaines recommandations incluses dans le point de référence de la sécurité cloud Microsoft ne prennent pas en charge les exemptions. Une liste de ces recommandations est disponible ici

  • Les recommandations incluses dans plusieurs initiatives politiques doivent toutes être exemptées

  • Les suggestions personnalisées ne peuvent pas être exemptées.

  • Si une recommandation est désactivée, toutes ses sous-soumissions sont exemptées.

  • Outre l’utilisation dans le portail, vous pouvez créer des exemptions en tirant parti de l’API Azure Policy. Découvrez plus d’informations sur la structure d’exemption Azure Policy.

Définir une exemption

Pour créer une règle d’exemption :

  1. Dans le portail de Defender pour le cloud, ouvrez la page Suggestions et sélectionnez la suggestion à exempter.

  2. Dans Prendre des mesures, sélectionnez Exempter.

    Créez une règle d’exemption pour qu’une recommandation soit exemptée d’un abonnement ou d’un groupe d’administration.

  3. Dans le volet Exemption :

    1. Sélectionnez l’étendue de l’exemption.

      • Si vous sélectionnez un groupe d’administration, la recommandation est exemptée de tous les abonnements au sein de ce groupe
      • Si vous créez cette règle pour exempter une ou plusieurs ressources de la recommandation, choisissez « Ressources sélectionnées » et sélectionnez les ressources appropriées dans la liste
    2. Entrez un nom pour la règle d’exemption.

    3. Éventuellement, définissez une date d’expiration.

    4. Sélectionnez la catégorie de l’exemption :

      • Résolu par le biais du tiers (atténué) : si vous utilisez un service tiers que Defender pour le cloud n’a pas identifié.

        Notes

        Lorsque vous exemptez une recommandation comme étant atténuée, vous ne recevez pas de points pour votre score de sécurité. Toutefois, étant donné que les points ne sont pas supprimés pour les ressources défectueuses, le résultat est que votre score augmente.

      • Risque accepté (renonciation) : si vous avez décidé d’accepter le risque de ne pas atténuer cette recommandation

    5. Saisissez une description.

    6. Sélectionnez Create (Créer). Étapes de création d’une règle d’exemption pour exempter une recommandation de votre abonnement ou groupe d’administration.

Après la création de l’exemption

L’application de l’exemption peut prendre jusqu’à 24 heures après création. Après sa prise d’effet :

  • La recommandation ou les ressources n’ont pas d’impact sur votre score sécurisé.
  • Si vous avez exempté des ressources spécifiques, celles-ci sont répertoriées dans l’onglet Non applicable de la page des détails de la recommandation.
  • Si vous avez exempté une recommandation, elle est masquée par défaut sur la page Recommandations de Defender pour le cloud. Cela est dû au fait que les options par défaut du filtre de l’état Recommandation de cette page doivent exclure les recommandations Non applicable. Il en va de même si vous n’avez pas exempté toutes les recommandations dans un contrôle de sécurité.

Étapes suivantes

Examinez les ressources exemptées dans Defender pour le cloud.