권장 사항 예외 검토 및 관리

클라우드용 Microsoft Defender에서는 클라우드용 Defender 보안 권장 사항에서 보호된 리소스를 제외할 수 있습니다. 이 문서에서는 제외된 리소스를 검토, 관리 및 삭제하는 방법을 설명합니다.

포털에서 제외된 리소스 검토

리소스를 제외하면 보안 권장 사항을 표시하지 않습니다. 클라우드용 Defender 포털에서 제외된 리소스를 검토하고 관리할 수 있습니다.

권장 사항 페이지에서 제외된 리소스 검토

1. Azure Portal에 로그인합니다.

2. 클라우드용 Defender>권장 사항으로 이동합니다.

3. 권장 사항 상태를 선택합니다.

4. 제외됨을 선택합니다.

5. 적용을 선택합니다.

   

6. 검토할 리소스를 선택합니다.

인벤토리 페이지에서 제외된 리소스 검토

1. Azure Portal에 로그인합니다.

2. 클라우드용 Defender>인벤토리로 이동합니다.

3. 필터 추가를 선택합니다.

   

4. 면제를 포함을 선택합니다.

5. 예를 선택합니다.

6. 확인을 선택합니다.

Azure Resource Graph를 사용하여 제외된 리소스 검토

ARG(Azure Resource Graph) 는 강력한 필터링, 그룹화 및 정렬 기능을 사용하여 클라우드 환경에서 리소스 정보에 즉시 액세스할 수 있도록 합니다. KQL(Kusto 쿼리 언어)을 사용하여 정보를 빠르고 쉽게 쿼리할 수 있습니다.

예외 규칙이 있는 모든 권장 사항을 보려면 다음을 수행합니다.

1. Azure Portal에 로그인합니다.

2. 클라우드용 Defender>권장 사항으로 이동합니다.

3. 쿼리 열기를 선택합니다.

4. 다음 쿼리를 입력합니다.

5. 쿼리 실행을 선택합니다.

   securityresources
   | where type == "microsoft.security/assessments"
   // Get recommendations in useful format
   | project
   ['TenantID'] = tenantId,
   ['SubscriptionID'] = subscriptionId,
   ['AssessmentID'] = name,
   ['DisplayName'] = properties.displayName,
   ['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]),
   ['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]),
   ['ResourceGroup'] = resourceGroup,
   ['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink),
   ['StatusCode'] = properties.status.code,
   ['StatusDescription'] = properties.status.description,
   ['PolicyDefID'] = properties.metadata.policyDefinitionId,
   ['Description'] = properties.metadata.description,
   ['RecomType'] = properties.metadata.assessmentType,
   ['Remediation'] = properties.metadata.remediationDescription,
   ['Severity'] = properties.metadata.severity,
   ['Link'] = properties.links.azurePortal
   | where StatusDescription contains "Exempt"    
   

특정 구독에 대한 모든 정책 예외를 보려면 Azure Resource Graph 탐색기에서 다음 쿼리를 실행합니다.

policyresources
| where type == "microsoft.authorization/policyexemptions"
| where subscriptionId == "<your-subscription-id>"

예외 삭제

예외를 삭제하려면 예외가 만들어진 범위에서 Microsoft.Authorization/policyExemptions/delete 권한이 필요합니다.

"예외를 삭제하지 못했습니다."라는 오류가 표시되거나 삭제된 예외가 다시 나타납니다.

• 사용 권한을 확인합니다. 구독 수준뿐만 아니라 예외가 만들어진 범위에서 삭제 권한이 있는지 확인합니다.

• 예외 상태를 확인합니다. 다음 쿼리를 Azure Resource Graph 탐색기에서 실행하여 예외 항목을 찾습니다.

  policyresources
  | where type == "microsoft.authorization/policyexemptions"
  | where subscriptionId == "<your-subscription-id>"
  

• 분리된 예외 처리. 예외에 연결된 정책 할당이 없는 경우 먼저 할당을 추가한 다음 예외를 삭제합니다. Azure CLI 또는 PowerShell을 사용하여 예외를 삭제할 수도 있습니다.

  Remove-AzPolicyExemption -Name "<exemption-name>" -Scope "<scope>"
  

• 동기화를 기다립니다. 포털 변경 내용을 반영하는 데 최대 30분이 걸릴 수 있습니다. 예외가 다시 나타나면 백 엔드 동기화와 관련될 수 있습니다. 문제가 지속되면 지원에 문의하세요.

보안 점수 영향 이해

선택한 예외 유형은 보안 점수가 영향을 받는 방식을 결정합니다.

권장 사항 상태를 업데이트하지 않는 예외 해결

예외를 만든 후에도 권장 사항 상태가 업데이트되지 않거나 비정상 상태로 표시될 수 있습니다. 클라우드용 Defender 일반적으로 12~24시간마다 정기적으로 리소스를 평가합니다. 예외가 적용되려면 최대 24시간을 허용합니다.

권장 사항이 24시간 후에도 여전히 리소스를 비정상으로 표시하는 경우:

• 예외 범위를 확인합니다. 해당 면제가 비정상 상태로 표시되는 특정 리소스를 포함하는지 확인합니다. 예외가 올바른 범위 수준(관리 그룹, 구독 또는 리소스)에 있는지 확인합니다.

• 리소스 수준 권한을 확인합니다. 구독 범위 역할 할당은 개별 리소스에 대한 예외를 관리하기에 충분한 액세스를 제공하지 못할 수 있습니다. RBAC 역할이 제외하려는 특정 리소스에 대한 리소스 또는 리소스 그룹 수준을 포함하는지 확인합니다.

• 예외 유형을 확인합니다. 면제 면제는 보안 점수 계산에서 리소스를 제외하지만 리소스는 여전히 권장 사항에 표시될 수 있습니다. 완화된 예외는 리소스를 정상으로 표시해야 합니다.

• 권장 사항이 제외된 정책을 평가하는지 확인합니다. 일부 권장 사항은 여러 정책을 기반으로 합니다. 올바른 기본 정책을 제외했는지 확인합니다.

• 클라우드용 Defender에서 예외가 생성되었음을 확인합니다. 클라우드용 Defender 대신 Azure Policy 만든 예외가 완전히 통합되지 않을 수 있습니다.

  1. 클라우드용 Defender>권장 사항으로 이동합니다.

  2. 예외를 선택합니다.

• 이니셔티브 충돌을 확인합니다. 여러 이니셔티브에 동일한 권장 사항이 있는 경우 각 이니셔티브에 대해 별도의 예외가 필요할 수 있습니다. 새로 할당된 이니셔티브는 기존 예외를 재정의할 수 있습니다.

• 예외를 다시 만듭니다. 클라우드용 Defender 사용하여 예외를 삭제하고 다시 만듭니다. 재평가를 위해 최대 24시간을 허용합니다.

관리 그룹 수준에서 권한 오류 해결

구독 수준에서 예외를 만들 수 있지만 관리 그룹 수준에서 권한 오류를 받을 수 있습니다. 일반적인 오류 메시지는 다음과 같습니다. 연결된 범위에서 작업을 수행할 수 있는 권한이 없거나 연결된 범위가 잘못되었습니다."

관리 그룹 수준에서 권한 오류를 해결하려면 다음을 수행합니다.

• 관리 그룹 수준에서 권한을 할당합니다. 구독 수준 권한은 위쪽으로 상속되지 않습니다.

  1. 관리 그룹>액세스 제어(IAM)로 이동합니다.

  2. 관리 그룹 수준에서 보안 관리자 또는 적절한 역할을 할당합니다.

• 역할 할당 범위를 확인합니다. 사용자 지정 역할은 구독 수준뿐만 아니라 관리 그룹 수준에서 할당되어야 합니다. Azure CLI를 사용하여 다음을 확인합니다.

  az role assignment list --scope "/providers/Microsoft.Management/managementGroups/<mg-name>"
  

• 정책 할당 범위를 확인합니다. 정책이 관리 그룹 수준에서 할당된 경우 예외를 만들어야 합니다. Azure Policy에서 정책 할당 위치를 확인합니다.

포털에 표시되지 않는 예외 찾기

이전에 표시된 예외가 더 이상 표시되지 않거나 예외가 나열되는 위치를 찾을 수 없는 경우:

• 중앙 집중식 예외 보기를 확인합니다. 2026년 1월 기준으로 예외 항목은 중앙 위치에서 관리됩니다.

  1. 클라우드용 Defender>Environment settings>Exemptions box로 이동합니다. 또는 Azure Policy>Exemptions로 이동합니다.

• 범위 및 필터를 확인합니다. 예외 항목은 생성된 범위에서만 확인할 수 있습니다. 올바른 구독 또는 관리 그룹을 보고 있는지 확인합니다.

• 사용 권한을 확인합니다. 올바른 범위 수준에서 Microsoft.Authorization/policyExemptions/read 권한이 있는지 확인합니다.

중복되거나 충돌하는 예외 해결

동일한 권장 사항에 대해 동일한 리소스에 대한 예외가 여러 개 있으면 충돌하는 예외 유형 또는 올바르게 업데이트되지 않는 상태와 같은 예기치 않은 동작이 발생할 수 있습니다. 권장 사항 및 리소스 조합당 신뢰할 수 있는 단일 예외를 유지 관리합니다.

중복 예외 식별

Azure Resource Graph 탐색기에서 다음 쿼리를 실행하여 여러 예외가 있는 리소스를 찾습니다.

policyresources
| where type == "microsoft.authorization/policyexemptions"
| where subscriptionId == "<your-subscription-id>"
| summarize ExemptionCount = count(), ExemptionNames = make_list(name) by tostring(properties.policyAssignmentId), tostring(properties.resourceSelectors)
| where ExemptionCount > 1

중복 예외 정리

1. Azure Portal에 로그인합니다.

2. 클라우드용 Defender>환경 설정>제외로 이동합니다.

3. 영향을 받는 구독 또는 리소스 그룹별로 필터링합니다.

4. 겹치는 예외를 검토합니다.

5. 모든 예외를 검토합니다.

6. 추가 예외를 삭제합니다.

PowerShell을 사용하여 중복 예외를 대량으로 삭제하려면 다음을 수행합니다.

# List all exemptions for a specific policy assignment
$exemptions = Get-AzPolicyExemption -PolicyAssignmentIdFilter "<policy-assignment-id>"

# Review and remove duplicates (keep the first, remove the rest)
$exemptions | Select-Object -Skip 1 | ForEach-Object {
    Remove-AzPolicyExemption -Id $_.Id -Force
}

사용자가 예외를 만들 때 알림 받기

사용자가 권장 사항에서 리소스를 제외하는 방법을 추적하기 위해 ARM 템플릿(Azure Resource Manager 템플릿)을 만들었습니다. 이 템플릿은 예외가 생성될 때 사용자에게 알리기 위해 논리 앱 플레이북 및 필요한 모든 API 연결을 배포합니다.

• 클라우드용 Microsoft Defender에서 리소스 예외를 추적하는 방법 블로그 게시물을 읽어 플레이북에 대해 자세히 알아보세요.
• 클라우드용 Microsoft Defender GitHub 리포지토리에서 ARM 템플릿을 찾습니다.
• 이 자동화된 프로세스를 사용하여 모든 구성 요소를 배포합니다.

다음 단계