Esentare le risorse dalle raccomandazioni

  • Articolo

Quando si esaminano le raccomandazioni sulla sicurezza in Microsoft Defender per il cloud, in genere si esamina l'elenco delle risorse interessate. Occasionalmente, viene elencata una risorsa che si ritiene non debba essere inclusa. In alternativa, una raccomandazione viene visualizzata in un ambito in cui si ritiene che non appartenga. Ad esempio, una risorsa potrebbe essere risolta da un processo non monitorato da Defender per il cloud o una raccomandazione potrebbe non essere appropriata per una sottoscrizione specifica. O forse l'organizzazione ha deciso di accettare i rischi correlati alla risorsa o alla raccomandazione specifica.

In questi casi, è possibile creare un'esenzione per:

  • Esentare una risorsa per assicurarsi che non sia elencata con le risorse non integre in futuro e non influisca sul punteggio di sicurezza. La risorsa verrà elencata come non applicabile e il motivo verrà visualizzato come "esente" con la giustificazione specifica selezionata.

  • Esentare una sottoscrizione o un gruppo di gestione per assicurarsi che la raccomandazione non influisca sul punteggio di sicurezza e non venga visualizzata per la sottoscrizione o il gruppo di gestione in futuro. Ciò si riferisce alle risorse esistenti e a tutte le risorse create in futuro. La raccomandazione verrà contrassegnata con la giustificazione specifica selezionata per l'ambito selezionato.

Per l'ambito necessario, è possibile creare una regola di esenzione per:

  • Contrassegnare una raccomandazione specifica come "mitigata" o "rischio accettato" per una o più sottoscrizioni o per un intero gruppo di gestione.
  • Contrassegnare una o più risorse come "mitigate" o "rischio accettate" per una raccomandazione specifica.

Prima di iniziare

Questa funzionalità è disponibile in anteprima. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale. Si tratta di una funzionalità premium Criteri di Azure offerta senza costi aggiuntivi per i clienti con funzionalità di sicurezza avanzate di Microsoft Defender per il cloud abilitate. Per altri utenti, gli addebiti potrebbero essere applicati in futuro.

  • Per effettuare esenzioni sono necessarie le autorizzazioni seguenti:

    • Proprietario o Amministrazione di sicurezza o Collaboratore criteri di risorsa per creare un'esenzione
      • Per creare una regola, sono necessarie le autorizzazioni per modificare i criteri in Criteri di Azure. Altre informazioni.

  • È possibile creare esenzioni per le raccomandazioni incluse nello standard microsoft cloud security benchmark predefinito di Defender per il cloud o in uno degli standard normativi forniti.

Nota

L'esenzione Defender per il cloud si basa sull'iniziativa Microsoft Cloud Security Benchmark (MCSB) per valutare e recuperare lo stato di conformità delle risorse nel portale di Defender per il cloud. Se mcsb manca, il portale funzionerà parzialmente e alcune risorse potrebbero non essere visualizzate.

  • Alcune raccomandazioni incluse in Microsoft Cloud Security Benchmark non supportano le esenzioni, un elenco di tali raccomandazioni è disponibile qui

  • Consigli incluse in più iniziative politiche devono essere tutte esentate

  • Non è possibile esentare raccomandazioni personalizzate.

  • Se una raccomandazione è disabilitata, tutte le relative sottocomendazioni vengono escluse.

  • Oltre a lavorare nel portale, è possibile creare esenzioni usando l'API Criteri di Azure. Altre informazioni Criteri di Azure struttura di esenzione.

Definire un'esenzione

Per creare una regola di esenzione:

  1. Nel portale di Defender per il cloud aprire la pagina Consigli e selezionare la raccomandazione da escludere.

  2. In Azione fare clic su Esentare.

    Creare una regola di esenzione per un consiglio da esentare da una sottoscrizione o da un gruppo di gestione.

  3. Nel riquadro Esenzione:

    1. Selezionare l'ambito per l'esenzione.

      • Se si seleziona un gruppo di gestione, la raccomandazione è esente da tutte le sottoscrizioni all'interno di tale gruppo
      • Se si sta creando questa regola per esentare una o più risorse dalla raccomandazione, scegliere "Risorse selezionate" e selezionare quelle pertinenti dall'elenco

    2. Immettere un nome per la regola di esenzione.

    3. Facoltativamente, impostare una data di scadenza.

    4. Selezionare la categoria per l'esenzione:

      • Risolto tramite terze parti (mitigato): se si usa un servizio di terze parti che Defender per il cloud non è stato identificato.

        Nota

        Quando si esenta una raccomandazione come attenuata, non vengono assegnati punti al punteggio di sicurezza. Tuttavia, poiché i punti non vengono rimossi per le risorse non integre, il risultato è che il punteggio aumenterà.

      • Rischio accettato (rinuncia): se si decide di accettare il rischio di non attenuare questa raccomandazione

    5. Immettere una descrizione.

    6. Seleziona Crea. Procedura per creare una regola di esenzione per esentare una raccomandazione dalla sottoscrizione o dal gruppo di gestione.

Dopo aver creato l'esenzione

Dopo aver creato l'esenzione, possono essere necessari fino a 30 minuti. Dopo l'applicazione:

  • La raccomandazione o le risorse non influisce sul punteggio di sicurezza.
  • Se sono state esentate risorse specifiche, queste verranno elencate nella scheda Non applicabile della pagina dei dettagli della raccomandazione.
  • Se è stata esentata una raccomandazione, verrà nascosta per impostazione predefinita nella pagina delle raccomandazioni di Defender per il cloud. Ciò è dovuto al fatto che le opzioni predefinite del filtro stato raccomandazione in tale pagina devono escludere raccomandazioni non applicabili . Lo stesso vale se si esentano tutte le raccomandazioni in un controllo di sicurezza.

Passaggi successivi

Esaminare le risorse esentate in Defender per il cloud.