Isentar recursos e recomendações de sua classificação de segurança

Uma prioridade básica de toda equipe de segurança é garantir que os analistas possam se concentrar nas tarefas e nos incidentes relevantes para a organização. O Defender para Nuvem tem muitos recursos para personalizar a experiência e garantir que a classificação de segurança reflita as prioridades de segurança da sua organização. A opção isentar é um desses recursos.

Ao investigar suas recomendações de segurança no Microsoft Defender para Nuvem, uma das primeiras informações que você examina é a lista de recursos afetados.

Ocasionalmente, um recurso que você sente que não deve ser incluído será listado. Ou uma recomendação será mostrada em um escopo no qual você acha que ela não pertence. O recurso pode ter sido corrigido por um processo não acompanhado pelo Defender para Nuvem. A recomendação pode ser inadequada para uma assinatura específica. Ou talvez a sua organização simplesmente tenha decidido aceitar os riscos relacionados ao recurso ou à recomendação específica.

Nesses casos, você pode criar uma isenção de uma recomendação para:

  • Isentar um recurso para garantir que ele não esteja listado com os recursos não íntegros no futuro e não afete a sua classificação de segurança. O recurso será listado como não aplicável e o motivo será mostrado como "isento" com a justificativa específica que você selecionar.

  • Isente uma assinatura ou grupo de gerenciamento para garantir que a recomendação não afete a sua classificação de segurança e não seja mostrada para a assinatura ou grupo de gerenciamento no futuro. Isso está relacionado aos recursos existentes e a qualquer um que você criar no futuro. A recomendação será marcada com a justificativa específica selecionada para o escopo que você selecionou.

Disponibilidade

Aspecto Detalhes
Estado da versão: Versão Prévia
Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Preço: Essa é uma funcionalidade premium do Azure Policy oferecida sem custo adicional para clientes com os recursos de segurança aprimorada do Microsoft Defender para Nuvem habilitados. Para outros usuários, cobranças podem ser aplicadas no futuro.
Funções e permissões necessárias: Proprietário da assinatura ou Colaborador da Política de Recursos para criar uma isenção
Para criar uma regra, você precisa de permissões para editar políticas no Azure Policy.
Saiba mais em Permissões do RBAC do Azure no Azure Policy.
Limitações: As isenções podem ser criadas somente para recomendações incluídas na iniciativa padrão do Defender para Nuvem, no Azure Security Benchmark ou em qualquer uma das iniciativas de regulamentação padrão fornecidas. As recomendações que são geradas de iniciativas personalizadas não podem ser isentas. Saiba mais sobre as relações entre políticas, iniciativas e recomendações.
Nuvens: Nuvens comerciais
Nacional (Azure Governamental, Azure China 21Vianet)

Definir uma isenção

Para ajustar as recomendações de segurança que o Defender para Nuvem faz para assinaturas, grupos de gerenciamento ou recursos, você pode criar uma regra de isenção para:

  • Marcar uma recomendação específica como "mitigada" ou como "risco aceito". Você pode criar isenções de recomendação para uma assinatura, várias assinaturas ou para um grupo de gerenciamento inteiro.
  • Marcar um ou mais recursos como "mitigado" ou "risco aceito" para uma recomendação específica.

Observação

As isenções podem ser criadas somente para recomendações incluídas na iniciativa padrão do Defender para Nuvem, no Azure Security Benchmark ou em qualquer uma das iniciativas de regulamentação padrão fornecidas. As recomendações geradas por meio de iniciativas personalizadas atribuídas às suas assinaturas não podem ser isentas. Saiba mais sobre as relações entre políticas, iniciativas e recomendações.

Dica

Você também pode criar isenções usando a API. Para um exemplo de JSON e uma explicação das estruturas relevantes, confira Estrutura de isenção do Azure Policy.

Para criar uma regra de isenção:

  1. Abra a página de detalhes de recomendações para a recomendação específica.

  2. Na barra de ferramentas na parte superior da página, clique em Isenção.

    Create an exemption rule for a recommendation to be exempted from a subscription or management group.

  3. No painel de Isenção:

    1. Selecione o escopo dessa regra de isenção:

      • Se você selecionar um grupo de gerenciamento, a recomendação será isenta de todas as assinaturas dentro desse grupo
      • Se você estiver criando essa regra para isentar um ou mais recursos da recomendação, escolha "Recursos selecionados" e selecione os relevantes na lista
    2. Insira um nome para essa regra de isenção.

    3. Opcionalmente, defina uma data de validade.

    4. Selecione a categoria da isenção:

      • Resolvida por meio de terceiros (mitigada) : se você estiver usando um serviço de terceiros que o Defender para Nuvem não identificou.

        Observação

        Ao isentar uma recomendação como mitigada, você não recebe pontos para sua classificação de segurança. Porém, como os pontos não são removidos para os recursos não íntegros, o resultado é que sua classificação aumentará.

      • Risco aceito (renúncia) – se você decidiu aceitar o risco de não mitigar essa recomendação

    5. Digite uma descrição.

    6. Selecione Criar.

    Steps to create an exemption rule to exempt a recommendation from your subscription or management group.

    Quando a isenção entrar em vigor (pode levar até 30 minutos):

    • A recomendação ou os recursos não afetarão sua classificação de segurança.

    • Se você isentar recursos específicos, eles serão listados na guia Não aplicáveis na página de detalhes de recomendação.

    • Se você isentar uma recomendação, ela ficará oculta por padrão na página de recomendações do Defender para Nuvem. Isso ocorre porque as opções padrão do filtro de Status de recomendação nessa página são excluir as recomendações Não aplicáveis. O mesmo ocorrerá se você isentar todas as recomendações em um controle de segurança.

      Default filters on Microsoft Defender for Cloud's recommendations page hide the not applicable recommendations and security controls

    • A faixa de informações na parte superior da página de detalhes da recomendação atualiza o número de recursos isentos:

      Number of exempted resources.

  4. Para examinar os recursos isentos, abra a guia Não aplicáveis:

    Modifying an exemption.

    O motivo para cada isenção é incluído na tabela (1).

    Para modificar ou excluir uma isenção, selecione o menu de reticências ("...") conforme mostrado (2).

  5. Para examinar todas as regras de isenção em sua assinatura, selecione Exibir isenções na faixa de informações:

    Importante

    Para ver as isenções específicas relevantes para uma recomendação, filtre a lista de acordo com o nome da recomendação e o escopo relevante.

    Azure Policy's exemption page

Monitorar isenções criadas em suas assinaturas

Conforme explicado anteriormente nesta página, as regras de isenção são uma ferramenta poderosa que fornece controle granular sobre as recomendações que afetam os recursos em suas assinaturas e grupos de gerenciamento.

Para controlar como os usuários exercitam esse recurso, criamos um modelo do ARM (Azure Resource Manager) que implanta um Guia Estratégico de Aplicativo Lógico e todas as conexões de API necessárias para notificar você quando uma isenção for criada.

Use o inventário para encontrar recursos que têm isenções aplicadas

A página de inventário de ativos do Microsoft Defender para Nuvem tem uma única página para exibir a postura de segurança dos recursos que você conectou ao Defender para Nuvem. Saiba mais em Explorar e gerenciar recursos usando um inventário de ativos.

A página de inventário inclui muitos filtros para permitir restringir a lista de recursos aos mais interessantes para qualquer cenário. Um desses filtros é oContém isenções. Use esse filtro para encontrar todos os recursos que foram isentos de uma ou mais recomendações.

Defender for Cloud's asset inventory page and the filter to find resources with exemptions

Encontrar recomendações com isenções por meio do Azure Resource Graph

O ARG (Azure Resource Graph) fornece acesso instantâneo a informações de recursos em seus ambientes de nuvem com recursos robustos de filtragem, agrupamento e classificação. É uma maneira rápida e eficiente de consultar informações em assinaturas do Azure programaticamente ou de dentro do portal do Azure.

Para exibir todas as recomendações que têm regras de isenção:

  1. Abra o Azure Resource Graph Explorer.

    Launching Azure Resource Graph Explorer** recommendation page

  2. Insira a consulta a seguir e selecione Executar consulta.

    securityresources
    | where type == "microsoft.security/assessments"
    // Get recommendations in useful format
    | project
     ['TenantID'] = tenantId,
     ['SubscriptionID'] = subscriptionId,
     ['AssessmentID'] = name,
     ['DisplayName'] = properties.displayName,
     ['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]),
     ['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]),
     ['ResourceGroup'] = resourceGroup,
     ['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink),
     ['StatusCode'] = properties.status.code,
     ['StatusDescription'] = properties.status.description,
     ['PolicyDefID'] = properties.metadata.policyDefinitionId,
     ['Description'] = properties.metadata.description,
     ['RecomType'] = properties.metadata.assessmentType,
     ['Remediation'] = properties.metadata.remediationDescription,
     ['Severity'] = properties.metadata.severity,
     ['Link'] = properties.links.azurePortal
     | where StatusDescription contains "Exempt"    
    

Saiba mais nas seguintes páginas:

Perguntas frequentes – Regras de isenção

O que acontece quando uma recomendação está em várias iniciativas de política?

Às vezes, uma recomendação de segurança é exibida em mais de uma iniciativa de política. Se você tiver várias instâncias da mesma recomendação atribuída à mesma assinatura e criar uma isenção para a recomendação, ela afetará todas as iniciativas que você tem permissão para editar.

Por exemplo, a recomendação **** faz parte da iniciativa de política padrão atribuída a todas as assinaturas do Azure pelo Microsoft Defender para Nuvem. Ela também está em XXXXX.

Se você tentar criar uma isenção para essa recomendação, verá uma das duas seguintes mensagens:

  • Se você tiver as permissões necessárias para editar as duas iniciativas, verá:

    Essa recomendação está incluída em várias iniciativas de política: [nomes de iniciativa separados por vírgula]. As isenções serão criadas em todas elas.

  • Se você não tiver permissões suficientes nas duas iniciativas, verá esta mensagem:

    Você tem permissões limitadas para aplicar a isenção em todas as iniciativas de política. As isenções serão criadas somente nas iniciativas com permissões suficientes.

Existem recomendações livres de isenção?

Essas recomendações geralmente disponíveis não são suportadas para isenção:

  • Todos os tipos de proteção avançada contra ameaças devem ser habilitados nas configurações de segurança de dados avançada da instância gerenciada do SQL
  • Todos os tipos de proteção avançada contra ameaças devem ser habilitados nas configurações de segurança de dados avançada do SQL Server
  • Deverão ser aplicados limites de memória e CPU ao contêiner
  • As imagens de contêiner deverão ser implantadas somente se forem de registros confiáveis
  • Os contêineres com elevação de privilégio deverão ser evitados
  • Os contêineres que compartilham namespaces de host confidenciais deverão ser evitados
  • Os contêineres deverão escutar somente em portas permitidas
  • A Política de Filtro IP Padrão deve ser Negar
  • Um sistema de arquivos raiz imutável (somente leitura) deverá ser aplicado aos contêineres
  • Dispositivos IoT – Abrir portas no dispositivo
  • Dispositivos IoT – Uma política de firewall permissiva foi encontrada em uma das cadeias
  • Dispositivos IoT – Uma regra de firewall permissiva foi encontrada na cadeia de entrada
  • Dispositivos IoT – Uma regra de firewall permissiva foi encontrada na cadeia de saída
  • Intervalo de IP grande da regra do Filtro IP
  • Deverão ser aplicadas aos contêineres funcionalidades do Linux com privilégios mínimos
  • Os computadores devem ser configurados com segurança
  • As ações para substituir ou desabilitar o perfil do AppArmor de contêineres deverão ser restritas
  • Os contêineres com privilégios deverão ser evitados
  • Executar contêineres como usuário raiz deverá ser evitado
  • Os serviços deverão escutar somente em portas permitidas
  • Os SQL Servers devem ter um administrador do Azure Active Directory provisionado
  • Usar redes e portas do host deverá ser restrito
  • O uso de montagens de volume do Pod HostPath deve ser restrito a uma lista conhecida para restringir o acesso ao nó de contêineres comprometidos

Próximas etapas

Neste artigo, você aprendeu a isentar um recurso de uma recomendação para que ele não afete sua classificação de segurança. Para obter mais informações sobre classificação de segurança, confira: