Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
Cette fonctionnalité est en préversion. Les Conditions d’utilisation supplémentaires des préversions Microsoft Azure incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou pas encore disponibles dans la version en disponibilité générale. Cette fonctionnalité Azure Policy Premium n’est proposée à aucun coût supplémentaire pour les clients avec les fonctionnalités de sécurité améliorées de Microsoft Defender pour cloud activées. Pour les autres utilisateurs, des frais pourront s’appliquer.
Lorsque vous examinez les recommandations de sécurité dans Microsoft Defender pour Cloud, vous passez en revue la liste des ressources affectées. Parfois, vous trouvez une ressource qui ne doit pas figurer dans la liste ou vous trouvez une recommandation qui apparaît dans une étendue où elle n’appartient pas. Par exemple, une ressource peut être corrigée par un processus que Defender pour cloud ne suit pas, ou une recommandation peut ne pas s’appliquer à un abonnement spécifique. Votre organisation peut décider d’accepter les risques liés à la ressource ou à la recommandation spécifique.
Dans ce cas, créez une règle d’exemption pour :
Exemptez une ressource pour la supprimer de la liste des ressources non saines et de l’impact du score sécurisé. Defender pour Cloud répertorie la ressource comme non applicable et indique la raison d’être exemptée avec la justification que vous sélectionnez.
Exemptez un abonnement ou un groupe d’administration pour empêcher la recommandation d’affecter votre score de sécurité ou d’apparaître pour ce périmètre. L’exemption s’applique aux ressources existantes et aux ressources que vous créez ultérieurement. Defender pour le Cloud marque la recommandation avec la justification que vous sélectionnez pour cette étendue.
Pour chaque étendue, créez une règle d’exemption pour :
Marquez une recommandation spécifique en tant qu’atténuation ou risque accepté pour un ou plusieurs abonnements, ou pour un groupe d’administration.
Marquez une ou plusieurs ressources comme étant atténuées ou à risque acceptées pour une recommandation spécifique.
L’exemption des ressources est limitée à 5 000 ressources par abonnement. Si vous ajoutez plus de 5 000 exemptions par abonnement, vous pouvez rencontrer des problèmes de chargement sur la page d’exemption.
Avant de commencer
Pour créer des exemptions, vous avez besoin des autorisations suivantes :
- Propriétaire ou Administrateur de sécurité dans l’étendue où vous créez l’exemption.
- Pour créer une règle, vous devez disposer de l’autorisation de modifier des stratégies dans Azure Policy. En savoir plus.
- Vous devez disposer d’une autorisation d’exemption sur toutes les attributions d’initiative au niveau de l’étendue cible. Si une recommandation fait partie de plusieurs initiatives, vous devez créer l’exemption avec des autorisations sur l’ensemble d’entre elles. Une autorisation manquante sur une même initiative peut entraîner l’échec de l’exemption.
Vous avez besoin des actions RBAC suivantes :
| Action | Description |
|---|---|
Microsoft.Authorization/policyExemptions/write |
Créer une exemption |
Microsoft.Authorization/policyExemptions/delete |
Supprimer une exemption |
Microsoft.Authorization/policyExemptions/read |
Afficher une exemption |
Microsoft.Authorization/policyAssignments/exempt/action |
Effectuer une opération d’exemption sur une étendue liée |
Remarque
Si l’une de ces actions est manquante, le bouton Exempt peut être masqué. Les rôles personnalisés ont une prise en charge limitée des opérations d’exemption. Seuls les rôles intégrés peuvent effectuer certaines actions liées à l’exemption. Utilisez l’un des rôles intégrés suivants pour gérer les exemptions : Administrateur de la sécurité (recommandé), Propriétaire, Contributeur au niveau de l’abonnement ou Contributeur de stratégie de ressources.
Les autorisations au niveau de l’abonnement ne remontent pas aux groupes d’administration. Si l’attribution de stratégie se fait au niveau du groupe d’administration, vous devez disposer du rôle assigné à ce niveau.
Pour gérer les exemptions pour des ressources spécifiques, vous avez besoin des actions RBAC requises au niveau de la ressource ou du groupe de ressources. Les attributions de rôles délimitées par l’abonnement peuvent ne pas fournir un accès suffisant pour créer ou supprimer des exemptions sur des ressources individuelles. Vérifiez que votre attribution de rôle couvre l’étendue de la ressource que vous souhaitez exempter.
Microsoft Cloud Security Benchmark (MCSB) doit être assigné à l’abonnement.
Important
Defender for Cloud exemptions s’appuient sur l’initiative Microsoft Cloud Security Benchmark (MCSB) pour évaluer et récupérer l’état de conformité des ressources dans le portail Defender for Cloud. Sans MCSB affecté :
- Certaines fonctionnalités du portail peuvent ne pas fonctionner comme prévu.
- Les ressources peuvent ne pas apparaître dans les vues de conformité.
- Les options d’exemption peuvent parfois être indisponibles.
Vous pouvez créer des exemptions pour les recommandations qui appartiennent à l'initiative Microsoft Cloud Security Benchmark (MCSB) par défaut de Microsoft Defender pour Cloud ou à d'autres normes réglementaires intégrées.
Certaines recommandations dans microsoft Cloud Security Benchmark (MCSB) ne prennent pas en charge les exemptions. Vous trouverez la liste de ces recommandations dans le FAQ sur les exemptions.
Vous devez exempter les recommandations qui apparaissent dans plusieurs initiatives de stratégie dans chaque initiative. Pour plus d’informations, consultez le FAQ sur les exemptions.
Vous ne créez pas d’exemptions pour les recommandations personnalisées.
Les recommandations en aperçu peuvent ne pas prendre en charge les exemptions. Vérifiez si la recommandation affiche une balise d’aperçu .
Les recommandations basées sur KQL utilisent des affectations standard et n'utilisent pas d'événements d'exemption Azure Policy dans les journaux d'activité.
Si vous désactivez une recommandation, vous exemptez également toutes ses sous-recommandations.
Outre le portail, vous pouvez créer des exemptions à l’aide de l’interface de programmation d’applications Azure Policy (API). Pour plus d’informations, consultez Structure d’exemption Azure Policy.
Lorsque vous créez une exemption au niveau du groupe d’administration, vérifiez que le fournisseur de ressources de sécurité Windows Azure dispose des autorisations nécessaires en lui attribuant le rôle Lecteur sur ce groupe d’administration. Accordez ce rôle de la même façon que vous accordez des autorisations utilisateur.
Conseil / Astuce
Si vous rencontrez des problèmes après avoir créé une exemption, consultez Examiner et gérer les exemptions de recommandation pour obtenir des conseils sur la résolution d’un état défectueux, les erreurs d’autorisation au niveau du groupe d’administration, les exemptions manquantes dans le portail, la suppression des exemptions et le nettoyage des exemptions en double.
Définir une exemption
Pour créer une règle d’exemption :
Connectez-vous au portail Azure.
Accédez à Defender pour le Cloud>Recommandations.
Sélectionnez une recommandation.
Sélectionnez Exempt.
Sélectionnez l’étendue de l’exemption.
- Si vous sélectionnez un groupe d’administration, Defender pour Cloud exempte la recommandation de tous les abonnements de ce groupe.
- Si vous créez cette règle pour exempter une ou plusieurs ressources de la recommandation, choisissez Ressources sélectionnées et sélectionnez les ressources pertinentes dans la liste.
Entrez un nom.
(Facultatif) définissez une date d’expiration.
Sélectionnez la catégorie de l’exemption :
- Résolu par le biais d’un tiers (atténué) : si vous utilisez un service tiers que Defender pour Cloud n’identifie pas.
Remarque
Lorsque vous exemptez une recommandation comme atténuée, vous ne gagnez pas de points vers votre score sécurisé. Toutefois, étant donné que Defender pour Cloud ne supprime pas de points pour les ressources non saines, votre score augmente.
- Risque accepté (dispense) : si vous décidez d’accepter le risque de ne pas atténuer cette recommandation.
Saisissez une description.
Cliquez sur Créer.
Après avoir créé l’exemption
Une exemption peut prendre jusqu'à 24 heures pour prendre effet. Defender for Cloud évalue régulièrement les ressources, généralement toutes les 12 à 24 heures. Une fois l’exemption appliquée :
La recommandation ou les ressources n’affectent pas votre score de sécurisation.
Si vous exemptez des ressources spécifiques, Defender pour Cloud les répertorie dans l’onglet Non applicable de la page détails de la recommandation.
Si vous exemptez une recommandation, Defender pour Cloud le masque par défaut dans la page Recommandations . Ce comportement se produit parce que les options par défaut du filtre d’état recommandation de cette page excluent les recommandations non applicables . Le même comportement se produit si vous exemptez toutes les recommandations dans un contrôle de sécurité.
Comprendre comment le type d’exemption affecte l’état de la recommandation
Le type d’exemption que vous sélectionnez détermine la façon dont l’exemption affecte la recommandation et le score sécurisé :
- Exemptions atténuées : Les ressources exemptées sont considérées comme saines. Le score de sécurité s'améliore.
- Exonérations : Les ressources exemptées sont exclues du calcul du score sécurisé. Les ressources ne comptent pas dans le score de sécurité, mais peuvent toujours apparaître dans les recommandations.
Remarque
Les recommandations en préversion n’ont aucun impact sur le score de sécurité, quel que soit l’état de l’exemption.
Vérifier que l’exemption fonctionne
Si la recommandation affiche toujours des ressources non saines après 24 heures, consultez Résoudre une exemption qui ne met pas à jour l’état de la recommandation pour obtenir des étapes détaillées.