Esclusione delle risorse e delle raccomandazioni dal punteggio di sicurezza

  • Articolo

Una priorità fondamentale di ogni team di sicurezza consiste nel garantire che gli analisti possano concentrarsi sulle attività e sugli eventi imprevisti che riguardano l'organizzazione. Defender for Cloud offre molte funzionalità per personalizzare l'esperienza e assicurarsi che il punteggio sicuro rifletta le priorità di sicurezza dell'organizzazione. L'opzione esentata è una di queste funzionalità.

Quando si esaminano le raccomandazioni sulla sicurezza in Microsoft Defender for Cloud, una delle prime informazioni esaminate è l'elenco delle risorse interessate.

Occasionalmente, una risorsa verrà elencata che non dovrebbe essere inclusa. O un consiglio mostrerà in un ambito in cui si sente che non appartiene. La risorsa potrebbe essere stata correzionata da un processo non monitorato da Defender for Cloud. La raccomandazione potrebbe non essere appropriata per una sottoscrizione specifica. O forse l'organizzazione ha deciso di accettare i rischi correlati alla risorsa o alla raccomandazione specifici.

In questi casi, è possibile creare un'esenzione per una raccomandazione a:

  • Esentare una risorsa per assicurarsi che non sia elencata con le risorse non integre in futuro e non influisce sul punteggio sicuro. La risorsa verrà elencata come non applicabile e il motivo verrà visualizzato come "esentato" con la giustificazione specifica selezionata.

  • Esentare una sottoscrizione o un gruppo di gestione per assicurarsi che la raccomandazione non influisca sul punteggio sicuro e non venga visualizzata per la sottoscrizione o il gruppo di gestione in futuro. Ciò si riferisce alle risorse esistenti e a qualsiasi creazione in futuro. La raccomandazione verrà contrassegnata con la giustificazione specifica selezionata per l'ambito selezionato.

Disponibilità

Aspetto Dettagli
Stato della versione: Anteprima
Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Prezzi: Questa è una funzionalità premium Criteri di Azure offerta senza costi per i clienti con Microsoft Defender per le funzionalità di sicurezza avanzate di Cloud abilitate. Per altri utenti, gli addebiti potrebbero essere applicati in futuro.
Autorizzazioni e ruoli obbligatori: Proprietario o Collaboratore criteri di risorsa per creare un'esenzione
Per creare una regola, sono necessarie autorizzazioni per modificare i criteri in Criteri di Azure.
Altre informazioni sulle autorizzazioni di controllo degli accessi in base al ruolo di Azure in Criteri di Azure.
Limitazioni Le esenzioni possono essere create solo per le raccomandazioni incluse nell'iniziativa predefinita di Defender for Cloud, nel benchmark di sicurezza cloud Microsoft o in una delle iniziative standard normative fornite. Le raccomandazioni generate da iniziative personalizzate non possono essere escluse. Altre informazioni sulle relazioni tra criteri, iniziative e raccomandazioni.
Cloud: Cloud commerciali
Nazionale (Azure per enti pubblici, Azure China 21Vianet)

Definire un'esenzione

Per ottimizzare le raccomandazioni per la sicurezza create da Defender for Cloud per le sottoscrizioni, i gruppi di gestione o le risorse, è possibile creare una regola di esenzione per:

  • Contrassegnare una raccomandazione specifica o come "mitigazione" o "rischio accettato". È possibile creare eccezioni consigliate per una sottoscrizione, più sottoscrizioni o un intero gruppo di gestione.
  • Contrassegnare una o più risorse come "mitigazione" o "rischio accettato" per una raccomandazione specifica.

Nota

Le esenzioni possono essere create solo per le raccomandazioni incluse nell'iniziativa predefinita di Defender for Cloud, nel benchmark di sicurezza cloud Microsoft o in una delle iniziative standard normative fornite. Le raccomandazioni generate da qualsiasi iniziativa personalizzata assegnata alle sottoscrizioni non possono essere escluse. Altre informazioni sulle relazioni tra criteri, iniziative e raccomandazioni.

Suggerimento

È anche possibile creare esenzioni usando l'API. Per un esempio JSON e una spiegazione delle strutture pertinenti, vedere Criteri di Azure struttura di esenzione.

Per creare una regola di esenzione:

  1. Aprire la pagina dei dettagli dei consigli per la raccomandazione specifica.

  2. Nella barra degli strumenti nella parte superiore della pagina selezionare Esentata.

    Creare una regola di esenzione per un consiglio da escludere da una sottoscrizione o da un gruppo di gestione.

  3. Nel riquadro Esentato :

    1. Selezionare l'ambito per questa regola di esenzione:

      • Se si seleziona un gruppo di gestione, la raccomandazione verrà esentata da tutte le sottoscrizioni all'interno di tale gruppo
      • Se si sta creando questa regola per esentare una o più risorse dalla raccomandazione, scegliere "Risorse selezionate" e selezionare quelle pertinenti nell'elenco

    2. Immettere un nome per questa regola di esenzione.

    3. Facoltativamente, impostare una data di scadenza.

    4. Selezionare la categoria per l'esenzione:

      • Risolta tramite la terza parte (attenuata): se si usa un servizio di terze parti non identificato da Defender for Cloud.

        Nota

        Quando si esenta una raccomandazione come attenuata, non si hanno punti verso il punteggio sicuro. Ma perché i punti non vengono rimossi per le risorse non integre, il risultato è che il punteggio aumenterà.

      • Rischio accettato (rinuncia): se si è deciso di accettare il rischio di non attenuare questa raccomandazione

    5. Immettere una descrizione.

    6. Selezionare Crea.

    Passaggi per creare una regola di esenzione per esentare una raccomandazione dalla sottoscrizione o dal gruppo di gestione.

    Quando l'esenzione ha effetto (potrebbe richiedere fino a 30 minuti):

    • La raccomandazione o le risorse non influisce sul punteggio sicuro.

    • Se sono state esentate risorse specifiche, verranno elencate nella scheda Non applicabile della pagina dei dettagli della raccomandazione.

    • Se è stata esentata una raccomandazione, verrà nascosta per impostazione predefinita nella pagina consigli di Defender for Cloud. Ciò è dovuto al fatto che le opzioni predefinite del filtro stato raccomandazione in tale pagina devono escludere raccomandazioni non applicabili . Lo stesso vale se si esentano tutte le raccomandazioni in un controllo di sicurezza.

      I filtri predefiniti in Microsoft Defender per le raccomandazioni di Cloud nascondono le raccomandazioni e i controlli di sicurezza non applicabili

    • La barra delle informazioni nella parte superiore della pagina dei dettagli della raccomandazione aggiorna il numero di risorse escluse:

      Numero di risorse escluse.

  4. Per esaminare le risorse escluse, aprire la scheda Non applicabile :

    Modifica di un'esenzione.

    Il motivo di ogni esenzione è incluso nella tabella (1).

    Per modificare o eliminare un'esenzione, selezionare il menu con i puntini di sospensione ("...") come illustrato (2).

  5. Per esaminare tutte le regole di esenzione nella sottoscrizione, selezionare Visualizza le esenzioni dalla striscia di informazioni:

    Importante

    Per visualizzare le esenzioni specifiche pertinenti a una raccomandazione, filtrare l'elenco in base all'ambito e al nome di raccomandazione pertinenti.

    pagina di esenzione di Criteri di Azure

    Suggerimento

    In alternativa, usare Azure Resource Graph per trovare raccomandazioni con esenzioni.

Monitorare le esenzioni create nelle sottoscrizioni

Come illustrato in precedenza in questa pagina, le regole di esenzione sono uno strumento potente che fornisce un controllo granulare sulle raccomandazioni che interessano le risorse nelle sottoscrizioni e nei gruppi di gestione.

Per tenere traccia di come gli utenti eseguono questa funzionalità, è stato creato un modello di Azure Resource Manager (ARM) che distribuisce un Playbook per la logica e tutte le connessioni API necessarie per notificare quando è stata creata un'esenzione.

Usare l'inventario per trovare risorse che dispongono di esenzioni applicate

La pagina dell'inventario degli asset di Microsoft Defender for cloud offre un'unica pagina per visualizzare la postura di sicurezza delle risorse connesse a Defender per cloud. Per altre informazioni, vedere Esplorare e gestire le risorse con l'inventario degli asset.

La pagina di inventario include molti filtri che consentono di restringere l'elenco delle risorse a quelli di maggior interesse per qualsiasi scenario specifico. Un filtro di questo tipo è l'esenzione Contains. Usare questo filtro per trovare tutte le risorse escluse da una o più raccomandazioni.

Pagina dell'inventario delle risorse di Defender for Cloud e filtro per trovare risorse con esenzioni

Trovare raccomandazioni con esenzioni con Azure Resource Graph

Azure Resource Graph (ARG) offre accesso immediato alle informazioni sulle risorse negli ambienti cloud con potenti funzionalità di filtro, raggruppamento e ordinamento. Si tratta di un modo rapido ed efficiente di eseguire query sulle informazioni nelle sottoscrizioni di Azure a livello di codice o dall'interno del portale di Azure.

Per visualizzare tutte le raccomandazioni con regole di esenzione:

  1. Aprire Azure Resource Graph Explorer.

    Pagina delle raccomandazioni di avvio di Azure Resource Graph Explorer**

  2. Immettere la query seguente e selezionare Esegui query.

    securityresources
| where type == "microsoft.security/assessments"
// Get recommendations in useful format
| project
 ['TenantID'] = tenantId,
 ['SubscriptionID'] = subscriptionId,
 ['AssessmentID'] = name,
 ['DisplayName'] = properties.displayName,
 ['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]),
 ['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]),
 ['ResourceGroup'] = resourceGroup,
 ['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink),
 ['StatusCode'] = properties.status.code,
 ['StatusDescription'] = properties.status.description,
 ['PolicyDefID'] = properties.metadata.policyDefinitionId,
 ['Description'] = properties.metadata.description,
 ['RecomType'] = properties.metadata.assessmentType,
 ['Remediation'] = properties.metadata.remediationDescription,
 ['Severity'] = properties.metadata.severity,
 ['Link'] = properties.links.azurePortal
 | where StatusDescription contains "Exempt"

Per altre informazioni, vedere le pagine seguenti:

Domande frequenti - Regole di esenzione

Cosa accade quando una raccomandazione si trova in più iniziative politiche?

In alcuni casi, viene visualizzata una raccomandazione sulla sicurezza in più di un'iniziativa di criteri. Se sono state assegnate più istanze della stessa raccomandazione alla stessa sottoscrizione e si crea un'esenzione per la raccomandazione, tutte le iniziative a cui si è autorizzati a modificare verranno applicate tutte le iniziative.

Ad esempio, la raccomandazione _____ fa parte dell'iniziativa dei criteri predefinita assegnata a tutte le sottoscrizioni di Azure da Microsoft Defender for Cloud. È anche in XXXXX.

Se si tenta di creare un'esenzione per questa raccomandazione, verrà visualizzato uno dei due messaggi seguenti:

  • Se si dispone delle autorizzazioni necessarie per modificare entrambe le iniziative, verrà visualizzato:

    Questa raccomandazione è inclusa in diverse iniziative di criteri: [nomi di iniziative separati da virgola]. Le esenzioni verranno create su tutti.

  • Se non si dispone di autorizzazioni sufficienti per entrambe le iniziative, verrà visualizzato questo messaggio:

    Si dispone di autorizzazioni limitate per applicare l'esenzione a tutte le iniziative politiche, le esenzioni verranno create solo sulle iniziative con autorizzazioni sufficienti.

Sono presenti raccomandazioni che non supportano l'esenzione?

Queste raccomandazioni disponibili a livello generale non supportano l'esenzione:

  • È necessario abilitare tutti i tipi di protezione di Advanced Threat Protection nelle impostazioni di Sicurezza dei dati avanzata dell'istanza gestita di SQL
  • È necessario abilitare tutti i tipi di protezione di Advanced Threat Protection nelle impostazioni di Sicurezza dei dati avanzata di SQL Server
  • È consigliabile applicare limiti per la CPU e la memoria dei contenitori
  • Le immagini del contenitore devono essere distribuite solo da registri attendibili
  • È consigliabile evitare i contenitori con escalation dei privilegi
  • I contenitori che condividono spazi dei nomi host sensibili devono essere evitati
  • I contenitori devono essere in ascolto solo sulle porte consentite
  • I criteri di filtro IP predefiniti devono essere Nega
  • Per i contenitori deve essere imposto il file system radice non modificabile (di sola lettura)
  • Dispositivi IoT - Porte aperte nel dispositivo
  • Dispositivi IoT: è stato trovato un criterio firewall permissivo in una delle catene
  • Dispositivi IoT : è stata trovata una regola del firewall permissiva nella catena di input
  • Dispositivi IoT : è stata trovata una regola del firewall permissiva nella catena di output
  • Regola filtro IP di grandi dimensioni
  • Per i contenitori devono essere imposte le funzionalità Linux con privilegi minimi
  • I computer devono essere configurati in modo sicuro
  • La sovrascrittura o la disabilitazione del profilo AppArmor dei contenitori deve essere limitata
  • I contenitori con privilegi devono essere evitati
  • È consigliabile evitare l'esecuzione di contenitori come utente radice
  • I servizi devono essere in ascolto solo sulle porte consentite
  • Per i server SQL deve essere stato effettuato il provisioning di un amministratore di Azure Active Directory
  • L'utilizzo della rete host e delle porte deve essere limitato
  • L'utilizzo dei montaggi dei volumi HostPath dei pod deve essere limitato a un elenco noto per limitare l'accesso ai nodi da contenitori compromessi

Passaggi successivi

In questo articolo si è appreso come esentare una risorsa da una raccomandazione in modo che non influisca sul punteggio di sicurezza. Per altre informazioni sul punteggio di sicurezza, vedere: