Ausnehmen von Ressourcen von Empfehlungen

Von Bedeutung

Dieses Feature befindet sich in der Vorschau. Die ergänzenden Bedingungen für Azure Preview enthalten zusätzliche rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, Vorschau oder noch nicht in der allgemeinen Verfügbarkeit befinden. Diese Premium-Azure-Richtlinienfunktion wird für Kunden ohne zusätzliche Kosten angeboten, die die erweiterten Sicherheitsfeatures von Microsoft Defender für Cloud aktiviert haben. Für andere Benutzer fallen hierfür in Zukunft unter Umständen Gebühren an.

Wenn Sie Sicherheitsempfehlungen in Microsoft Defender für Cloud untersuchen, überprüfen Sie die Liste der betroffenen Ressourcen. Gelegentlich finden Sie eine Ressource, die nicht in der Liste enthalten sein sollte, oder Sie finden eine Empfehlung, die in einem Bereich angezeigt wird, in dem sie nicht gehört. Beispielsweise kann Defender for Cloud einen Korrekturvorgang nicht nachverfolgen, oder eine Empfehlung gilt möglicherweise nicht für ein bestimmtes Abonnement. Ihre Organisation kann sich entscheiden, die Risiken im Zusammenhang mit der spezifischen Ressource oder Empfehlung zu akzeptieren.

Erstellen Sie in solchen Fällen eine Ausnahmeregel für:

  • Nehmen Sie eine Ressource aus, um sie aus der Liste der problematischen Ressourcen und aus den Auswirkungen auf die Sicherheitsbewertung zu entfernen. Defender für Cloud listet die Ressource als nicht zutreffend auf und zeigt den Grund als "Ausgenommen" mit der von Ihnen ausgewählten Begründung an.

  • Nehmen Sie eine Abonnement- oder eine Verwaltungsgruppe aus, um zu verhindern, dass die Empfehlung sich auf Ihre Sicherheitsbewertung auswirkt oder für diesen Bereich angezeigt wird. Die Ausnahme gilt für vorhandene Ressourcen und ressourcen, die Sie später erstellen. Defender for Cloud kennzeichnet die Empfehlung mit der Begründung, die Sie für diesen Geltungsbereich auswählen.

Erstellen Sie für jeden Bereich eine Ausnahmeregel für:

  • Markieren Sie eine bestimmte Empfehlung als Abgemildert oder Risiko akzeptiert für ein oder mehrere Abonnements oder eine Verwaltungsgruppe.

  • Markieren Sie eine oder mehrere Ressourcen als Abgemildert oder Risiko akzeptiert für eine bestimmte Empfehlung.

Die Ressourcenfreistellung ist auf 5.000 Ressourcen pro Abonnement beschränkt. Wenn Sie mehr als 5.000 Ausnahmen pro Abonnement hinzufügen, treten möglicherweise Ladeprobleme auf der Ausnahmeseite auf.

Voraussetzungen

Die Ausnahme in Defender for Cloud basiert auf der Initiative Microsoft Cloud Security Benchmark (MCSB). MCSB muss dem Abonnement zugewiesen werden, bevor Sie Ausnahmen erstellen.

Von Bedeutung

Ohne MCSB-Zuweisung:

  • Einige Portalfeatures funktionieren möglicherweise nicht wie erwartet.
  • Möglicherweise werden Ressourcen in Compliance-Ansichten nicht angezeigt.
  • Ausnahmeoptionen sind gelegentlich nicht verfügbar.

Sie können Ausnahmen für Empfehlungen erstellen, die zur Standardmäßigen MCSB-Initiative oder zu anderen integrierten regulatorischen Standards gehören. Einige Empfehlungen in MCSB unterstützen keine Ausnahmen. Eine Liste dieser Empfehlungen finden Sie in den häufig gestellten Fragen zu Ausnahmen.

Permissions:

Zum Erstellen von Ausnahmen benötigen Sie die folgenden Berechtigungen:

  • Besitzer oder Sicherheitsadministrator für den Bereich, in dem Sie die Ausnahme erstellen.
  • Zum Erstellen einer Regel benötigen Sie Berechtigungen zum Bearbeiten von Richtlinien in Azure Policy. Erfahren Sie mehr.
  • Sie müssen über eine Ausnahmeberechtigung für alle Projektzuweisungen im Zielbereich verfügen. Wenn mehrere Initiativen eine Empfehlung enthalten, müssen Sie die Ausnahme mit Berechtigungen für alle erstellen. Eine fehlende Berechtigung für selbst eine Initiative kann dazu führen, dass die Ausnahme fehlschlägt.

Sie benötigen die folgenden RBAC-Aktionen:

Action BESCHREIBUNG
Microsoft.Authorization/policyExemptions/write Erstellen einer Ausnahme
Microsoft.Authorization/policyExemptions/delete Löschen einer Ausnahme
Microsoft.Authorization/policyExemptions/read Eine Ausnahme anzeigen
Microsoft.Authorization/policyAssignments/exempt/action Ausführen eines Ausnahmevorgangs für einen verknüpften Bereich

Hinweis

Wenn eine dieser Aktionen fehlt, ist die Schaltfläche "Ausgenommen" möglicherweise ausgeblendet. Benutzerdefinierte Rollen bieten eingeschränkte Unterstützung für Ausnahmevorgänge.

Verwenden Sie zum Verwalten von Ausnahmen eine der folgenden integrierten Rollen:

  • Sicherheitsadministrator (empfohlen)
  • Owner
  • Mitwirkender (auf Abonnementebene)
  • Mitwirkender an Ressourcenrichtlinien

  • Berechtigungen auf Abonnementebene werden nicht zu höheren Ebenen in Verwaltungsgruppen vererbt. Wenn die Zuweisung der Richtlinie auf der Ebene der Verwaltungsgruppe erfolgt, müssen Sie die Rolle auf dieser Ebene zuweisen.

  • Um Ausnahmen für bestimmte Ressourcen zu verwalten, benötigen Sie die erforderlichen RBAC-Aktionen auf Ressourcen- oder Ressourcengruppenebene. Rollenzuweisungen mit Abonnementbereich bieten möglicherweise keinen ausreichenden Zugriff, um Ausnahmen für einzelne Ressourcen zu erstellen oder zu löschen. Stellen Sie sicher, dass ihre Rollenzuweisung den Umfang der Ressource abdeckt, die Sie ausnehmen möchten.

  • Wenn Sie eine Ausnahme auf Verwaltungsgruppenebene erstellen, stellen Sie sicher, dass der Microsoft Azure Security Resource Provider über die erforderlichen Berechtigungen verfügt, indem Sie ihm die Rolle Reader für diese Verwaltungsgruppe zuweisen. Gewähren Sie dieser Rolle auf die gleiche Weise, wie Sie Benutzerberechtigungen erteilen.

Einschränkungen:

  • Sie erstellen keine Ausnahmen für benutzerdefinierte Empfehlungen.

  • Vorschauempfehlungen unterstützen eventuell keine Ausnahmen. Überprüfen Sie, ob in der Empfehlung ein Preview-Tag angezeigt wird.

  • Einige Empfehlungen in MCSB unterstützen keine Ausnahmen. Eine Liste dieser Empfehlungen finden Sie in den häufig gestellten Fragen zu Ausnahmen.

  • Wenn Sie eine Empfehlung deaktivieren, werden auch alle dazugehörigen Unterempfehlungen davon ausgenommen.

  • KQL-basierte Empfehlungen greifen auf Standardzuweisungen zurück und berücksichtigen keine „Azure Policy“-Ausnahmeereignisse in den Aktivitätsprotokollen. Um festzustellen, ob eine Empfehlung KQL-basiert oder richtlinienbasiert ist, öffnen Sie die Empfehlung im Portal, und überprüfen Sie das Feld "Bewertungsschlüssel ". KQL-basierte Empfehlungen zeigen ein Standardbewertungsschlüsselformat an und verfügen nicht über einen zugeordneten Azure Policy Definitionslink. Richtlinienbasierte Empfehlungen zeigen einen direkten Link zur zugrunde liegenden Richtliniendefinition an.

  • Wenn Sie eine Ausnahme vom Defender for Cloud-Portal erstellen, identifiziert Defender for Cloud alle Initiativen, die die Empfehlung enthalten, und erstellt automatisch die Ausnahme. Wenn Sie stattdessen die Ausnahme über die Azure Policy-API erstellen, müssen Sie für jede Initiative manuell eine separate Ausnahme erstellen. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Ausnahmen.

  • Wenn Sie einer neuen Initiative eine Empfehlung mit einer bestehenden Ausnahme zuweisen, wird diese Ausnahme nicht auf die neue Initiative übertragen. Erstellen Sie eine neue Ausnahme für die Empfehlung unter der neu zugewiesenen Initiative.

Tip

Wenn nach dem Erstellen einer Ausnahme Probleme auftreten, finden Sie unter "Überprüfen und Verwalten von Empfehlungsfreistellungen" anleitungen zu folgenden Themen:

Definieren einer Ausnahme

Es wird empfohlen, Ausnahmen im Defender for Cloud Portal zu erstellen. Ausnahmen, die über die Azure Policy-API erstellt wurden, sind möglicherweise nicht vollständig in Defender for Cloud integriert und können zu unerwarteten Ergebnissen führen, z. B. Ausnahmen, die nicht ordnungsgemäß in allen relevanten Initiativen weitergegeben werden. Wenn Sie die API verwenden müssen, lesen Sie Azure Policy Ausnahmestruktur.

So erstellen Sie eine Ausnahmeregel:

  1. Melden Sie sich im Azure-Portal an.

  2. Wechseln Sie zu Defender for Cloud>Empfehlungen.

  3. Wählen Sie eine Empfehlung aus.

  4. Wählen Sie Ausgenommen aus.

    Erstellen Sie eine Ausnahmeregel für eine Empfehlung, von der ein Abonnement oder eine Verwaltungsgruppe ausgenommen werden soll.

  5. Wählen Sie den Bereich für die Ausnahme aus.

    • Wenn Sie eine Verwaltungsgruppe auswählen, nimmt Defender für Cloud die Empfehlung von allen Abonnements in dieser Gruppe aus.
    • Wenn Sie diese Regel erstellen, um eine oder mehrere Ressourcen aus der Empfehlung auszuschließen, wählen Sie "Ausgewählte Ressourcen " und dann die relevanten Ressourcen aus der Liste aus.

  6. Geben Sie einen Namen ein.

  7. (Optional) Legen Sie ein Ablaufdatum fest.

  8. Wählen Sie die Kategorie für die Ausnahme aus:

    • Gelöst durch einen Drittanbieterdienst (gemildert) – wenn Sie einen Nicht-Microsoft-Dienst für die Schadensbegrenzung verwenden, den Defender for Cloud nicht nachverfolgt.

    Hinweis

    Wenn Sie eine Ressource als entschärft ausschließen, zählt sie als fehlerfrei. Sie erhalten keine Punkte für die Behebung, aber Defender for Cloud zieht keine Punkte ab, wenn die Ressourcen fehlerhaft bleiben, sodass ausgenommene Ressourcen Ihre Bewertung nicht senken.

    • Risiko akzeptiert (Verzicht) – wenn Sie sich entscheiden, das Risiko zu akzeptieren, diese Empfehlung nicht zu mindern.

    1. Geben Sie eine Beschreibung ein.

    2. Wählen Sie "Erstellen" aus.

    Schritte zum Erstellen einer Ausnahmeregel, um Ihr Abonnement oder Ihre Verwaltungsgruppe von einer Empfehlung auszuschließen.

Nachdem Sie die Ausnahme erstellt haben

Eine Ausnahme kann bis zu 24 Stunden in Kraft treten, da Defender for Cloud Ressourcen alle 12-24 Stunden auswertet. Nach Inkrafttreten der Befreiung:

  • Die Empfehlung oder Ressourcen wirken sich nicht auf Ihre Sicherheitsbewertung aus.

  • Wenn Sie bestimmte Ressourcen ausgenommen haben, listet Defender für Cloud diese auf der Registerkarte "Nicht zutreffend " der Seite mit den Empfehlungsdetails auf.

  • Wenn Sie eine Empfehlung ausgenommen haben, blendet Defender für Cloud sie standardmäßig auf der Seite "Empfehlungen " aus. Dieses Verhalten tritt auf, da der Standardfilter "Empfehlungsstatus " nicht anwendbare Empfehlungen ausschließt. Das gleiche Verhalten tritt auf, wenn Sie alle Empfehlungen in einer Sicherheitskontrolle ausnehmen.

Verstehen, wie sich der Ausnahmetyp auf den Empfehlungsstatus auswirkt

Der von Ihnen ausgewählte Ausnahmetyp bestimmt, wie sich die Ausnahme auf die Empfehlung und die Sicherheitsbewertung auswirkt:

  • Gemilderte Ausnahmen: Ausgenommene Ressourcen zählen als gesund. Die Sicherheitsbewertung steigt.
  • Verzichtserklärungen : Ausgenommene Ressourcen werden von der Berechnung der Sicherheitsbewertung ausgeschlossen. Ressourcen zählen nicht für den Sicherheits-Score, können aber dennoch in den Empfehlungen erscheinen.

Hinweis

Vorschauempfehlungen haben keine Auswirkungen auf die Sicherheitsbewertung, unabhängig vom Ausnahmestatus.

Überprüfen, ob die Ausnahme funktioniert

Wenn die Empfehlung nach 24 Stunden immer noch Ressourcen als fehlerhaft anzeigt, finden Sie unter Beheben einer Ausnahme, die den Empfehlungsstatus nicht aktualisiert detaillierte Schritte.

Nächster Schritt

Überprüfen und Verwalten von Empfehlungsfreistellungen

  • Last updated on