Isentar recursos de recomendações
Quando investiga recomendações de segurança no Microsoft Defender for Cloud, normalmente revê a lista de recursos afetados. Ocasionalmente, é listado um recurso que você acha que não deve ser incluído. Ou uma recomendação aparece em um escopo onde você sente que não pertence. Por exemplo, um recurso pode ser corrigido por um processo não rastreado pelo Defender for Cloud ou uma recomendação pode ser inadequada para uma assinatura específica. Ou talvez a sua organização tenha decidido aceitar os riscos relacionados com o recurso ou recomendação específica.
Nesses casos, você pode criar uma isenção para:
Isente um recurso para garantir que ele não seja listado com os recursos não íntegros no futuro e não afete sua pontuação segura. O recurso será listado como não aplicável e o motivo será mostrado como "isento" com a justificativa específica que você selecionar.
Isente uma subscrição ou um grupo de gestão para garantir que a recomendação não afeta a sua pontuação segura e não será apresentada para a subscrição ou grupo de gestão no futuro. Isso está relacionado aos recursos existentes e a qualquer um que você crie no futuro. A recomendação será marcada com a justificação específica que selecionar para o âmbito selecionado.
Para o escopo necessário, você pode criar uma regra de isenção para:
- Marque uma recomendação específica como "mitigada" ou "risco aceito" para uma ou mais assinaturas ou para um grupo de gerenciamento inteiro.
- Marque um ou mais recursos como "mitigados" ou "risco aceito" para uma recomendação específica.
Antes de começar
Esta funcionalidade está em pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral. Este é um recurso premium do Azure Policy oferecido sem custo adicional para clientes com os recursos de segurança aprimorados do Microsoft Defender for Cloud habilitados. Para outros utilizadores, poderão ser aplicadas taxas no futuro.
Você precisa das seguintes permissões para fazer isenções:
- Proprietário ou administrador de segurança para criar uma isenção.
- Para criar uma regra, você precisa de permissões para editar políticas na Política do Azure. Mais informações.
- Proprietário ou administrador de segurança para criar uma isenção.
Você pode criar isenções para recomendações incluídas no padrão padrão de referência de segurança na nuvem da Microsoft do Defender for Cloud ou em qualquer um dos padrões regulatórios fornecidos.
Nota
A isenção do Defender for Cloud depende da iniciativa Microsoft Cloud Security Benchmark (MCSB) para avaliar e recuperar o estado de conformidade dos recursos no portal do Defender for Cloud. Se o MCSB estiver ausente, o portal funcionará parcialmente e alguns recursos podem não aparecer.
Algumas recomendações incluídas no benchmark de segurança na nuvem da Microsoft não suportam isenções, uma lista dessas recomendações pode ser encontrada aqui
As recomendações incluídas em múltiplas iniciativas políticas devem ser todas isentas
As recomendações personalizadas não podem ser isentas.
Se uma recomendação estiver desativada, todas as suas subrecomendações serão isentas.
Além de trabalhar no portal, você pode criar isenções usando a API de Política do Azure. Saiba mais sobre a estrutura de isenção da Política do Azure.
Definir uma isenção
Para criar uma regra de isenção:
No portal do Defender for Cloud, abra a página Recomendações e selecione a recomendação que deseja isentar.
Em Executar ação, selecione Isentar.
No painel Isentos:
Selecione o âmbito da isenção.
- Se você selecionar um grupo de gerenciamento, a recomendação será isenta de todas as assinaturas dentro desse grupo
- Se você estiver criando essa regra para isentar um ou mais recursos da recomendação, escolha "Recursos selecionados" e selecione os relevantes na lista
Insira um nome para a regra de isenção.
Opcionalmente, defina uma data de validade.
Selecione a categoria para a isenção:
Resolvido através de 3ª parte (mitigado) – se estiver a utilizar um serviço de terceiros que o Defender for Cloud não identificou.
Nota
Quando você isenta uma recomendação como mitigada, você não recebe pontos para sua pontuação segura. Mas como os pontos não são removidos para os recursos insalubres, o resultado é que sua pontuação aumentará.
Risco aceite (renúncia) – se decidiu aceitar o risco de não mitigar esta recomendação
Introduza uma descrição.
Após a criação da isenção
Depois de criar a isenção, pode levar até 24 horas para entrar em vigor. Depois de entrar em vigor:
- A recomendação ou os recursos não afetarão a classificação de segurança.
- Se você isentou recursos específicos, eles serão listados na guia Não aplicável da página de detalhes da recomendação.
- Se você isentou uma recomendação, ela ficará oculta por padrão na página de recomendações do Defender for Cloud. Isso ocorre porque as opções padrão do filtro de status Recomendação nessa página são excluir Recomendações não aplicáveis. O mesmo acontece se isentar todas as recomendações num controlo de segurança.
Próximos passos
Analise os recursos isentos no Defender for Cloud.