你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

从建议中豁免资源

在 Microsoft Defender for Cloud 中调查安全建议时，通常会查看受影响的资源列表。 有时，系统会列出你认为不应包含的资源。 或者某个建议会显示在你觉得它不属于的范围内。 例如，资源可能已由 Defender for Cloud 未跟踪的流程修正，或者建议可能不适合特定订阅。 或者，组织可能已决定接受与特定资源或建议相关的风险。

在这种情况下，可以创建豁免以：

• 豁免某资源，以确保其将来不会被列入运行不正常的资源，并且不会影响安全分数。 该资源将被列为不适用，原因将显示“已免除”以及你选择的特定理由。

• 豁免某订阅或管理组，以确保相应建议不会影响安全分数，并且将来不会针对该订阅或管理组显示。 这与现有资源以及将来创建的任何资源相关。 建议将标记有你针对所选范围选择的特定理由。

对于所需的范围，可以创建豁免规则以：

• 将特定建议标记为一个或多个订阅或整个管理组的“已缓解”或“接受的风险”。
• 针对特定建议，将一个或多个资源标记为“已缓解”或“已接受风险”。

准备工作

此功能目前为预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。 这是一项 Azure Policy 高级功能，免费提供给已启用 Microsoft Defender for Cloud 增强安全功能的客户。 对于其他用户，将来可能需要付费。

• 需要以下权限才能进行豁免：

  • 要创建豁免的所有者、安全管理员或资源策略参与者
    • 若要创建规则，你需要在 Azure Policy 中编辑策略的权限。 了解详细信息。

• 可以为 Defender for Cloud 的默认Microsoft 云安全基准标准或任何提供的法规标准中包含的建议创建豁免。

注意

Defender for Cloud 豁免依赖于 Microsoft 云安全基准 (MCSB) 计划来评估和检索 Defender for Cloud 门户上的资源符合性状态。 如果缺少 MCSB，门户将部分工作，某些资源可能不会显示。

• Microsoft 云安全基准中包含的一些建议不支持豁免，此处列出了这些建议

• 包含在多个策略计划中的建议必须全部进行豁免

• 无法豁免自定义建议。

• 如果禁用某建议，则会豁免其所有子建议。

• 除了在门户中工作以外，还可以使用 Azure Policy API 创建豁免。 详细了解Azure Policy 豁免结构。

定义免除

若要创建免除规则，请执行以下操作：

1. 在 Defender for Cloud 门户中，打开“建议”页，然后选择要豁免的建议。

2. 在“执行操作”中，选择“豁免”。

   

3. 在“免除”窗格中：

   1. 选择豁免的范围。

      • 如果选择某个管理组，则相应建议将在该组内所有订阅中豁免
      • 如果要创建此规则以免除建议中的一个或多个资源，请选择“选择的资源”，然后选择列表中的相关资源

   2. 输入豁免规则的名称。

   3. （可选）设置到期日期。

   4. 选择免除的类别：

      • 已通过第三方解决(已缓解) - 如果使用的是 Defender for Cloud 未识别的第三方服务。

        注意

        如果通过标记为“已缓解”来免除某项建议，安全功能分数不会因此增加。 但由于没有因运行不正常的资源而减分，因此分数将会增加。

      • 已接受风险（放弃） - 如果已决定接受不缓解此建议所面临的风险

   5. 输入说明。

   6. 选择“创建”。

创建豁免后

创建豁免后，最长可能需要 30 分钟才能生效。 生效后：

• 建议或资源不会影响安全功能分数。
• 如果豁免了特定资源，则“建议详细信息”页面的“不适用”选项卡中会列出这些资源。
• 如果豁免了某项建议，则 Defender for Cloud 的“建议”页面中将默认隐藏该建议。 这是因为该页中的“建议状态”筛选器的默认选项将排除不适用的建议 。 如果免除安全控制措施中的所有建议，情况也是如此。

后续步骤

在 Defender for Cloud 中查看豁免的资源。