권장 사항에서 리소스 제외

클라우드용 Microsoft Defender에서 보안 권장 사항을 조사할 때 영향을 받는 리소스 목록을 검토합니다. 경우에 따라 목록에 없어야 하는 리소스를 찾거나 해당 리소스가 속하지 않는 범위에 표시되는 권장 사항을 찾습니다. 예를 들어 클라우드용 Defender 수정 프로세스를 추적하지 않거나 권장 사항이 특정 구독에 적용되지 않을 수 있습니다. 조직에서 특정 리소스 또는 권장 사항과 관련된 위험을 수락하기로 결정할 수 있습니다.

이러한 경우 예외 규칙을 만들어 다음을 수행합니다.

• 리소스를 제외하여 비정상 리소스 목록 및 보안 점수 영향에서 해당 리소스를 제거합니다. 클라우드용 Defender는 리소스를 적용할 수 없음 으로 나열하고 선택한 근거와 함께 제외된 이유를 표시합니다.

• 권장 사항이 보안 점수에 영향을 주거나 해당 범위에 대해 표시되지 않도록 하려면 구독 또는 관리 그룹을 제외합니다. 예외는 기존 리소스 및 나중에 만든 리소스에 적용됩니다. 클라우드용 Defender는 해당 범위에 대해 선택한 근거로 권장 사항을 표시합니다.

각 범위에 대해 예외 규칙을 만들어 다음을 수행합니다.

• 특정 권장 사항을 하나 이상의 구독 또는 관리 그룹에 허용되는 완화 또는 위험 으로 표시합니다.

• 하나 이상의 리소스를 특정 권장 사항에 대해 완화됨 또는 위험 수용됨으로 표시합니다.

리소스 예외는 구독당 5,000개의 리소스로 제한됩니다. 구독당 5,000개 이상의 예외를 추가하는 경우 예외 페이지에서 부하 문제가 발생할 수 있습니다.

Prerequisites

클라우드용 Defender 예외는 Microsoft Cloud MCSB(Security Benchmark) 이니셔티브에 의존합니다. 예외를 만들기 전에 구독에 MCSB를 할당해야 합니다.

기본 MCSB 이니셔티브 또는 기타 기본 제공 규제 표준에 속하는 권장 사항에 대한 예외를 만들 수 있습니다. MCSB의 일부 권장 사항은 예외를 지원하지 않습니다. 예외 FAQ에서 이러한 권장 사항 목록을 찾을 수 있습니다.

권한:

예외를 만들려면 다음 권한이 필요합니다.

• 해당 범위에서 예외를 만드는 소유자 또는 보안 관리자.
• 규칙을 만들려면 Azure Policy에서 정책을 편집할 수 있는 권한이 필요합니다. 자세히알아보세요.
• 대상 범위의 모든 이니셔티브 할당에 대한 예외 권한이 있어야 합니다. 여러 이니셔티브에 권장 사항이 포함된 경우 모든 이니셔티브에 대한 사용 권한이 있는 예외를 만들어야 합니다. 하나의 이니셔티브에 대한 사용 권한이 없으면 예외가 실패할 수 있습니다.

필요한 RBAC 작업은 다음과 같습니다.

• 구독 수준 권한은 관리 그룹에 상향 상속되지 않습니다. 정책 할당이 관리 그룹 수준에 있는 경우 해당 수준에서 할당된 역할이 필요합니다.

• 특정 리소스에 대한 예외를 관리하려면 리소스 또는 리소스 그룹 수준에서 필요한 RBAC 작업이 필요합니다. 구독 범위 역할 할당은 개별 리소스에 대한 예외를 만들거나 삭제하기에 충분한 액세스를 제공하지 못할 수 있습니다. 역할 할당이 제외하려는 리소스의 범위를 포함하는지 확인합니다.

• 관리 그룹 수준에서 예외를 만들 때 Microsoft Azure 보안 리소스 공급자에 해당 관리 그룹에 Reader 역할을 할당하여 필요한 권한이 있는지 확인합니다. 사용자에게 권한을 부여하는 것과 동일한 방식으로 이 역할을 부여합니다.

제한 사항:

• 사용자 지정 권장 사항에 대한 예외는 만들지 않습니다.

• 미리 보기 권장 사항은 예외를 지원하지 않을 수 있습니다. 권장 사항에 미리 보기 태그가 표시되는지 확인합니다.

• MCSB의 일부 권장 사항은 예외를 지원하지 않습니다. 예외 FAQ에서 이러한 권장 사항 목록을 찾을 수 있습니다.

• 권장 사항을 비활성화하면 모든 하위 권장 사항도 제외됩니다.

• KQL 기반 권장 사항은 표준 할당을 사용하며 활동 로그에서 Azure Policy 예외 이벤트를 사용하지 않습니다. 권장 사항이 KQL 기반인지 정책 기반인지 확인하려면 포털에서 권장 사항을 열고 평가 키 필드를 확인합니다. KQL 기반 권장 사항은 표준 평가 키 형식을 표시하며 연결된 Azure Policy 정의 링크가 없습니다. 정책 기반 권장 사항은 기본 정책 정의에 대한 직접 링크를 표시합니다.

• 클라우드용 Defender 포털에서 예외를 만들 때 클라우드용 Defender 권장 사항이 포함된 모든 이니셔티브를 식별하고 모든 이니셔티브에 대해 자동으로 예외를 만듭니다. 대신 Azure Policy API를 통해 예외를 만드는 경우 각 이니셔티브에 대해 별도의 예외를 수동으로 만들어야 합니다. 자세한 내용은 예외 FAQ를 참조하세요.

• 기존 면제를 포함하는 권장 사항이 포함된 새 이니셔티브를 할당하는 경우 면제는 새 이니셔티브로 이월되지 않습니다. 새로 할당된 이니셔티브에 따라 권장 사항에 대한 새 예외를 만듭니다.

제외 정의하기

클라우드용 Defender 포털에서 예외를 만드는 것이 좋습니다. Azure Policy API를 통해 생성된 예외는 클라우드용 Defender 완전히 통합되지 않을 수 있으며 모든 관련 이니셔티브에 올바르게 전파되지 않는 예외와 같은 예기치 않은 결과를 초래할 수 있습니다. API를 사용해야 하는 경우 Azure Policy 예외 구조 참조하세요.

제외 규칙을 생성하려면 다음을 수행하세요.

1. Azure Portal에 로그인합니다.

2. 클라우드용 Defender>권장 사항으로 이동합니다.

3. 권장 사항을 선택합니다.

4. 예외를 선택합니다.

   

5. 제외 범위를 선택하세요.

   • 관리 그룹을 선택하면 클라우드용 Defender는 해당 그룹의 모든 구독에서 권장 사항을 제외합니다.
   • 권장 사항에서 하나 이상의 리소스를 제외하는 이 규칙을 만드는 경우 선택한 리소스를 선택하고 목록에서 관련 리소스를 선택합니다.

6. 이름을 입력합니다.

7. (선택 사항) 만료 날짜를 설정합니다.

8. 제외 범주를 선택하세요.

   • 3자 서비스(완화)를 통해 해결 - 클라우드용 Defender 추적하지 않는 수정에 Microsoft 이외의 서비스를 사용하는 경우.

   비고

   리소스를 완화된 것으로 간주할 경우, 이는 건강한 상태로 계산됩니다. 수정에 대한 포인트를 얻지는 못하지만 클라우드용 Defender 비정상 상태로 두는 것에 대한 포인트를 공제하지 않으므로 제외된 리소스는 점수를 낮추지 않습니다.

   • 위험 허용(면제) – 이 권장 사항을 완화하지 않을 위험을 수락하기로 결정한 경우.

   1. 설명을 입력하세요.

   2. 선택하고생성합니다.

   

예외를 만든 후

클라우드용 Defender 12~24시간마다 리소스를 평가하기 때문에 예외가 적용되는 데 최대 24시간이 걸릴 수 있습니다. 예외가 적용된 후:

• 권장 사항 또는 리소스는 보안 점수에 영향을 주지 않습니다.

• 특정 리소스를 제외하는 경우 클라우드용 Defender는 권장 사항 세부 정보 페이지의 해당 없음 탭에 해당 리소스를 나열합니다.

• 권장 사항을 제외하면 클라우드용 Defender는 기본적으로 권장 사항 페이지에서 숨깁니다. 이 동작은 기본 권장 사항 상태 필터가 해당되지 않는 권장 사항을 제외하기 때문에 발생합니다. 보안 컨트롤의 모든 권장 사항을 제외하면 동일한 동작이 발생합니다.

예외 유형이 권장 사항 상태에 미치는 영향 이해

선택한 예외 유형은 예외가 권장 사항 및 보안 점수에 미치는 영향을 결정합니다.

• 완화된 예외: 제외 리소스는 정상으로 간주됩니다. 보안 점수가 증가합니다.
• 면제 항목: 면제된 리소스는 보안 점수 계산에서 제외됩니다. 리소스는 보안 점수에 포함되지 않지만 권장 사항에 계속 표시될 수 있습니다.

예외가 작동하는지 확인

권장 사항이 24시간 후에도 여전히 리소스를 비정상으로 표시하는 경우 자세한 단계는 권장 사항 상태를 업데이트하지 않는 예외 해결 을 참조하세요.

다음 단계