リソースを推奨事項から除外する

Microsoft Defender for Cloud でセキュリティに関する推奨事項を調査するときは、通常、影響を受けるリソースの一覧を確認します。 この一覧には、含まれるべきではないと思われるリソースが含まれていることがあります。 または、推奨事項が属していないと思われるスコープに表示されます。 たとえば、リソースが Defender for Cloud によって追跡されないプロセスによって修復された場合や、特定のサブスクリプションに対して推奨事項が不適切な場合があります。 または、ご自分の組織が、特定のリソースまたは推奨事項に関連するリスクを受け入れることにしたのかもしれません。

このような場合は、次の例外を作成できます。

  • リソースを除外して、将来、問題のあるリソースと共に一覧に表示されないようにします。セキュア スコアには影響しません。 リソースは適用外として表示され、その理由は "除外" として、選択した特定の正当な理由と共に示されます。

  • サブスクリプションまたは管理グループを除外して、推奨事項がセキュア スコアに影響を与えないようにします。サブスクリプションまたは管理グループには今後表示されません。 これは、既存のリソースと、今後作成するすべてのリソースに関係してきます。 推奨事項は、選択したスコープに対して選択した特定の理由でマークされます。

必要なスコープについて、除外規則を作成して次のことができます。

  • 1 つ以上のサブスクリプション、または管理グループ全体に対して、特定の推奨事項を "軽減済み" または "リスクの許容" としてマークします。
  • 特定の推奨事項について、1 つまたは複数のリソースを "軽減済み" または "リスク承認済み" としてマークします。

開始する前に

この機能はプレビュー中です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。 これは、Microsoft Defender for Cloud の強化されたセキュリティ機能が有効になっているお客様が追加コストなしで利用できる Azure Policy の Premium 機能です。 他のユーザーについては、将来、料金が適用されることがあります。

  • 除外を行うには、次のアクセス許可が必要です。

    • 所有者またはセキュリティ管理者で除外を作成します。
      • 規則を作成するには、Azure Policy でポリシーを編集するためのアクセス許可が必要です。 詳細情報。
  • Defender for Cloud の既定の Microsoft クラウド セキュリティ ベンチマーク標準に含まれる推奨事項や、指定された規制基準のいずれかに対する除外を作成できます。

Note

Defender for Cloud の除外は、Microsoft Cloud Security Benchmark (MCSB) イニシアチブに依存しており、Defender for Cloud ポータルでリソースのコンプライアンスの状態を評価および取得します。 MCSB が見つからない場合、ポータルは部分的に機能し、一部のリソースが表示されないことがあります。

  • Microsoft クラウド セキュリティ ベンチマークに含まれる一部の推奨事項は除外をサポートしていません。そのような推奨事項の一覧については、こちらを参照してください。

  • 複数のポリシー イニシアティブに含まれる推奨事項はすべて除外する必要があります。

  • カスタム推奨事項は除外できません。

  • ある推奨事項を無効にすると、そのサブ推奨事項はすべて除外されます。

  • ポータルで作業するだけでなく、Azure Policy API を使用して除外を作成することもできます。 Azure Policy の除外構造の詳細はこちらです。

除外対象の定義

除外規則を作成するには、次の手順を実行します。

  1. Defender for Cloud ポータルで、[推奨事項] ページを開き、除外する推奨事項を選択します。

  2. [アクションの実行] で、[除外] を選択します。

    サブスクリプションまたは管理グループから除外する推奨事項の除外規則を作成します。

  3. [除外] ウィンドウで次のようにします。

    1. 除外のスコープを選択します。

      • ある管理グループを選ぶと、そのグループ内のすべてのサブスクリプションから推奨事項が除外されます
      • この規則を作成して推奨設定から 1 つまたは複数のリソースを除外する場合は、[Selected resources] (選択したリソース) を選択し、一覧から関連するリソースを選択します。
    2. この除外規則の名前を入力します。

    3. 必要に応じて、有効期限を設定します。

    4. 除外対象のカテゴリを選択します。

      • サードパーティによって解決済み (軽減済み) – Security Center が特定していないサードパーティのサービスを使用している場合。

        注意

        推奨事項を軽減済みとして除外すると、セキュリティ スコアに対するポイントは付与されません。 ただし、問題のあるリソースのポイントは削除されないため、スコアは増えることになります。

      • リスク承認済み (免除) - この推奨事項を軽減しないというリスクに同意する場合

    5. 説明を入力します。

    6. [作成] を選択します サブスクリプションまたは管理グループから推奨事項を除外するための除外規則を作成する手順。

除外を作成した後

除外を作成した後、有効になるまでに最大 24 時間かかる場合があります。 有効になった後は、次のようになります。

  • 推奨事項またはリソースは、セキュリティ スコアには影響しません。
  • 特定のリソースを除外した場合は、推奨事項の詳細ページの [適用外] タブに表示されます。
  • 推奨事項を除外した場合は、Defender for Cloud の [推奨事項] ページで既定で非表示になります。 これは、そのページの推奨事項のステータス フィルターの既定のオプションが、 [適用外] 推奨事項を除外するためのオプションではないからです。 セキュリティ コントロールのすべての推奨事項を除外する場合も同様です。

次のステップ

Defender for Cloud で除外されたリソースを確認します