Exención de recursos de las recomendaciones

  • Artículo

Al investigar las recomendaciones de seguridad en Microsoft Defender for Cloud, normalmente se revisa la lista de recursos afectados. En ocasiones, aparecerá un recurso que no debe estar incluido. O bien se mostrará una recomendación en un ámbito al que cree que no pertenece. Por ejemplo, puede que un proceso haya corregido un recurso sin el seguimiento de Defender for Cloud o que una recomendación sea inadecuada para una suscripción específica. O quizás la organización ha decidido aceptar los riesgos relacionados con la recomendación o el recurso específicos.

En tales casos, puede crear una exención para:

  • Excluya un recurso para asegurarse de que no aparezca con los recursos incorrectos en el futuro y no afecte a la puntuación de seguridad. El recurso se mostrará como no aplicable y el motivo aparecerá como "exento" con la justificación específica que seleccione.

  • Excluya una suscripción o un grupo de administración para asegurarse de que la recomendación no afecta a la puntuación de seguridad y que no se va a mostrar para la suscripción o el grupo de administración en el futuro. Esto se refiere a los recursos existentes y cualquiera que cree en el futuro. La recomendación se marcará con la justificación específica que seleccione para el ámbito que ha seleccionado.

Puede crear una regla de exención en el ámbito que requiera para:

  • Marcar una recomendación específica como "mitigada" o con "riesgo aceptado" para una o más suscripciones, o para un grupo de administración completo.
  • Marcar uno o más recursos como "Mitigado" o "Riesgo aceptado" para una recomendación concreta.

Antes de comenzar

Esta característica se encuentra en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general. Se trata de una funcionalidad premium de Azure Policy que se ofrece sin costo adicional para los clientes con las características de seguridad mejorada de Microsoft Defender for Cloud habilitadas. En el caso de otros usuarios, pueden aplicarse cargos en el futuro.

  • Para hacer exenciones, necesita los siguientes permisos:

    • Propietario, Administrador de seguridad o Colaborador de la directiva de recursos para crear una exención
      • Para crear una regla, necesita permisos para editar directivas en Azure Policy. Más información.

  • Puede crear exenciones para las recomendaciones incluidas en el estándar predeterminado de Defender for Cloud, Microsoft Cloud Security Benchmark, o cualquiera de los estándares normativos proporcionados.

  • Algunas recomendaciones incluidas en el banco de pruebas de seguridad en la nube de Microsoft no admiten exenciones, puede encontrar una lista de esas recomendaciones aquí

  • Las recomendaciones incluidas en varias iniciativas de directiva deben estar exentas

  • Las recomendaciones personalizadas no se pueden excluir.

  • Si se deshabilita una recomendación, todas sus subrecomendaciones están exentas.

  • Además de trabajar en el portal, puede crear exenciones mediante la API de Azure Policy. Obtenga más información sobre la Estructura de exención de Azure Policy.

Definición de una exención

Para crear una regla de exención:

  1. En el portal de Defender for Cloud, abra la página Recomendaciones y seleccione la recomendación que quiere excluir.

  2. En Realizar acción, seleccione Exención.

    Create an exemption rule for a recommendation to be exempted from a subscription or management group.

  3. En el panel Exención:

    1. Seleccione el ámbito de la exención.

      • Si selecciona un grupo de administración, la recomendación se excluirá de todas las suscripciones de ese grupo
      • Si va a crear esta regla para excluir uno o varios recursos de la recomendación, elija "Recursos seleccionados" y seleccione los correspondientes en la lista

    2. Escriba un nombre para la regla de exención.

    3. Opcionalmente, puede establecer una fecha de expiración.

    4. Seleccione la categoría de la exención:

      • Se resuelve a través de terceros (mitigada) : si está usando un servicio de terceros que Defender for Cloud no ha identificado.

        Nota

        Cuando se excluye de una recomendación como mitigada, no se proporcionan puntos hacia la puntuación de seguridad. No obstante, dado que los puntos no se quitan para los recursos incorrectos, el resultado es que aumentará la puntuación.

      • Riesgo aceptado (renuncia): si ha decidido aceptar el riesgo de no mitigar esta recomendación

    5. Escriba una descripción.

    6. Seleccione Crear. Steps to create an exemption rule to exempt a recommendation from your subscription or management group.

Después de crear la exención

Después de crear la exención, puede tardar hasta 30 minutos en surtir efecto. Después de que surta efecto:

  • La recomendación o los recursos no afectarán a la puntuación de seguridad.
  • Si ha excluido recursos específicos, se mostrarán en la pestaña No aplicable de la página de detalles de la recomendación.
  • Si ha excluido una recomendación, se ocultará de manera predeterminada en la página de recomendaciones de Defender for Cloud. Esto se debe a que las opciones predeterminadas del filtro de estado de recomendación de la página indican que se excluyan las recomendaciones No aplicables. Lo mismo sucede si se excluyen todas las recomendaciones en un control de seguridad.

Pasos siguientes

Revise los recursos exentos en Defender for Cloud.