권장 사항에서 리소스 제외

  • 아티클

클라우드용 Microsoft Defender에서 보안 권장 사항을 조사할 때 일반적으로 영향을 받는 리소스 목록을 검토합니다. 포함되어서는 안 된다고 생각되는 리소스가 나열되는 경우도 있습니다. 또는 권장 사항이 속하지 않는다고 생각되는 범위에 표시됩니다. 예를 들어, 클라우드용 Defender에서 추적하지 않는 프로세스를 통해 리소스가 수정되거나 특정 구독에 권장 사항이 부적절할 수 있습니다. 또는 조직에서 특정 리소스 또는 권장 사항과 관련된 위험을 수용하기로 결정했을 수 있습니다.

이러한 경우 다음 사항에 대한 예외를 만들 수 있습니다.

  • 리소스를 제외하여 향후 비정상적인 리소스에 나열되지 않고 보안 점수에 영향을 주지 않도록 합니다. 리소스가 해당되지 않는 것으로 나열되고 선택한 특정 근거와 함께 이유가 "예외"로 표시됩니다.

  • 권장 사항이 보안 점수에 영향을 주지 않고 향후 구독 또는 관리 그룹에 표시되지 않도록 하려면 구독 또는 관리 그룹을 제외합니다. 이는 기존 리소스와 나중에 만드는 리소스와 관련이 있습니다. 권장 사항은 선택한 범위에 대해 선택한 특정 근거로 표시됩니다.

필요한 범위에 대해 다음을 위한 예외 규칙을 만들 수 있습니다.

  • 하나 이상의 구독 또는 전체 관리 그룹에 대해 특정 권장 사항을 "완화됨" 또는 "위험 수락"으로 표시합니다.
  • 특정 권장 사항에 대해 하나 이상의 리소스를 "완화" 또는 "위험 수락"으로 표시합니다.

시작하기 전에

이 기능은 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다. 이는 클라우드용 Microsoft Defender의 보안 강화 기능을 사용하도록 설정한 고객에게 추가 비용 없이 제공되는 프리미엄 Azure Policy 기능입니다. 다른 사용자에게는 나중에 요금이 부과될 수 있습니다.

  • 제외하려면 다음 권한이 필요합니다.

    • 예외를 만들 수 있는 소유자, 보안 관리자 또는 리소스 정책 기여자
      • 규칙을 만들려면 Azure Policy에서 정책을 편집할 수 있는 권한이 필요합니다. 자세히 알아보기.

  • 클라우드용 Defender의 기본 Microsoft 클라우드 보안 벤치마크 표준 또는 제공된 규정 표준에 포함된 권장 사항에 대한 예외를 만들 수 있습니다.

참고 항목

클라우드용 Defender 예외는 MCSB(Microsoft Cloud Security Benchmark) 이니셔티브를 사용하여 클라우드용 Defender 포털에서 리소스 준수 상태를 평가하고 검색합니다. MCSB가 누락된 경우 포털이 부분적으로 작동하고 일부 리소스가 표시되지 않을 수 있습니다.

  • Microsoft 클라우드 보안 벤치마크에 포함된 일부 권장 사항은 예외를 지원하지 않습니다. 해당 권장 사항 목록은 여기에서 확인할 수 있습니다.

  • 여러 정책 이니셔티브에 포함된 권장 사항 모두 면제되어야 합니다.

  • 사용자 지정 권장 사항은 제외될 수 없습니다.

  • 권장 사항이 사용하지 않도록 설정되면 모든 하위 권장 사항이 제외됩니다.

  • 포털에서 작업하는 것 외에도 Azure Policy API를 사용하여 예외를 만들 수 있습니다. Azure Policy 예외 구조에 대해 자세히 알아봅니다.

예외 정의

예외 규칙을 만들려면 다음을 수행합니다.

  1. 클라우드용 Defender 포털에서 권장 사항 페이지를 열고 제외할 권장 사항을 선택합니다.

  2. 작업 취하기에서 예외를 선택합니다.

    구독 또는 관리 그룹에서 제외할 권장 사항에 대한 예외 규칙을 만듭니다.

  3. 예외 창에서 다음을 수행합니다.

    1. 예외 범위를 선택합니다.

      • 관리 그룹을 선택하면 해당 그룹 내의 모든 구독에서 권장 사항이 제외됩니다.
      • 권장 사항에서 리소스를 하나 이상 제외하기 위해 이 규칙을 만드는 경우 "선택된 리소스"를 선택하고 목록에서 관련 항목을 선택합니다.

    2. 예외 규칙의 이름을 입력합니다.

    3. 필요에 따라 만료 날짜를 설정합니다.

    4. 예외에 대한 범주를 선택합니다.

      • 타사를 통해 해결됨(완화됨) – 클라우드용 Defender가 식별하지 않은 타사 서비스를 사용 중인 경우.

        참고 항목

        권장 사항을 완화된 항목으로 제외하면 보안 점수에 대한 점수가 부여되지 않습니다. 그러나 비정상적인 리소스에 대해 점수가 제거되지 않기 때문에 결과적으로는 점수가 증가합니다.

      • 위험 수락(면제) – 이 권장 사항을 완화하지 않는 위험을 수락하기로 결정한 경우입니다.

    5. 설명을 입력합니다.

    6. 만들기를 실행합니다. 구독 또는 관리 그룹에서 권장 사항을 제외하는 예외 규칙을 만드는 단계입니다.

예외를 만든 후

예외를 만든 후 적용되는 데 최대 30분이 걸릴 수 있습니다. 적용 후:

  • 권장 사항 또는 리소스는 보안 점수에 영향을 주지 않습니다.
  • 특정 리소스를 제외하면 권장 사항 세부 정보 페이지의 해당 없음 탭에 나열됩니다.
  • 권장 사항을 제외한 경우 기본적으로 클라우드용 Defender의 권장 사항 페이지에서 숨겨집니다. 해당 페이지에서 권장 사항 상태 필터의 기본 옵션이 해당 없는 권장 사항을 제외하기 때문입니다. 보안 제어에서 모든 권장 사항을 제외하는 경우에도 마찬가지입니다.

다음 단계

클라우드용 Defender에서 예외 리소스를 검토합니다.