你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Microsoft Defender for Cloud 中调查安全建议时,请查看受影响的资源列表。 有时,你会发现列表中不该出现的资源,或发现一个建议出现在不合适的范围内。 例如,Defender for Cloud可能无法跟踪修正过程,或者建议可能不适用于特定订阅。 组织可能会决定接受与特定资源或建议相关的风险。
在这种情况下,请创建一个例外规则来:
豁免某个资源,从而将其从不健康资源列表中移除,并避免对安全评分的影响。 Defender for Cloud 将资源列为 “不适用 ”,并按所选理由将原因显示为 “免除 ”。
对订阅或管理组进行豁免,以防止该建议影响你的安全评分或在该范围内显示。 豁免适用于现有资源和稍后创建的资源。 Defender for Cloud 会使用你为该范围选择的理由对该建议进行标记。
对于每个范围,请创建一个例外规则来:
将特定的建议标记为已缓解或风险已接受,适用于一个或多个订阅或管理组。
将一个或多个资源在特定建议中标记为缓解或风险接受。
每个订阅的资源豁免上限为 5000 个资源。 如果每个订阅添加超过 5,000 个豁免,则可能在豁免页上遇到加载问题。
Prerequisites
Defender for Cloud豁免依赖于Microsoft Cloud安全基准(MCSB)计划。 在创建豁免之前,必须在订阅上分配 MCSB。
重要
未分配 MCSB 时:
- 某些门户功能可能无法按预期工作。
- 资源可能不会显示在符合性视图中。
- 豁免选项有时可能不可用。
可以为属于默认 MCSB 计划或其他内置法规标准的建议创建豁免。 MCSB 中的一些建议不支持豁免。 可以在 豁免常见问题解答中找到这些建议的列表。
权限:
若要创建豁免,需要以下权限:
- 创建豁免的范围的所有者或安全管理员。
- 若要创建规则,你需要在 Azure Policy 中编辑策略的权限。 了解详细信息。
- 你必须在目标范围内的所有项目任务中具备豁免权限。 如果多个计划包含同一个特定建议,你必须拥有跨所有这些计划的权限才能创建豁免。 对于任何一个项目,缺少权限可能会导致豁免失败。
你需要执行以下 RBAC 操作:
| Action | Description |
|---|---|
Microsoft.Authorization/policyExemptions/write |
创建豁免 |
Microsoft.Authorization/policyExemptions/delete |
删除豁免 |
Microsoft.Authorization/policyExemptions/read |
查看豁免 |
Microsoft.Authorization/policyAssignments/exempt/action |
对关联的范围执行免除操作 |
注释
如果缺少上述任何操作,“ 豁免 ”按钮可能会隐藏。 自定义角色为豁免操作提供有限的支持。
若要管理豁免,请使用以下内置角色之一:
- 安全管理员 (建议)
- Owner
- 参与者 (在订阅级别)
- 资源策略参与者
订阅级权限不会向上继承到管理组。 如果策略分配是在管理组级别上,则需要在该级别上分配角色。
若要管理特定资源的豁免,需要在资源或资源组级别执行所需的 RBAC 操作。 订阅范围的角色分配可能无法提供足够的访问权限,以在单个资源上创建或删除豁免。 验证角色分配是否涵盖要免除的资源范围。
在管理组级别创建豁免时,通过在管理组上为其分配 Reader 角色,确保Microsoft Azure安全资源提供程序具有必要的权限。 授予此角色的方式与授予用户权限的方式相同。
限制:
不会为自定义建议创建豁免。
预览版建议可能不支持豁免。 检查建议是否显示 预览 标记。
MCSB 中的一些建议不支持豁免。 可以在 豁免常见问题解答中找到这些建议的列表。
如果你禁用了某项建议,也会同时豁免其所有子建议。
基于 KQL 的建议使用标准分配,并且不使用活动日志中的 Azure Policy 豁免事件。 若要确定建议是基于 KQL 还是基于策略的建议,请在门户中打开建议并检查 评估密钥 字段。 基于 KQL 的建议展示了标准评估密钥格式,并且没有关联的 Azure Policy 定义链接。 基于策略的建议显示与基础策略定义的直接链接。
从Defender for Cloud门户中创建豁免时,Defender for Cloud会识别包含建议的所有倡议,并自动在所有这些倡议中创建豁免。 如果改为通过 Azure Policy API 创建豁免,则必须手动为每个计划创建单独的豁免。 有关详细信息,请参阅 豁免常见问题解答。
分配包含具有现有豁免建议的新计划时,豁免不会延续到新计划。 在新分配的计划下为该建议创建新的豁免。
定义免除
建议在Defender for Cloud门户中创建豁免。 通过 Azure Policy API 创建的豁免可能无法与Defender for Cloud完全集成,并可能导致意外结果,例如无法跨所有相关计划正确传播的豁免。 如果需要使用 API,请参阅 Azure Policy 豁免结构。
若要创建免除规则,请执行以下操作:
登录到 Azure 门户。
转到 Defender for Cloud>建议。
选择一条建议。
选择“豁免”。
选择豁免的范围。
- 如果选择管理组,Defender for Cloud 将对该组中所有订阅免去应用该建议的要求。
- 如果创建此规则来免除建议中的一个或多个资源,请选择 “所选资源 ”并从列表中选择相关资源。
输入名称。
(可选) 设置到期日期。
选择免除的类别:
- 通过第三方服务解决(已缓解) – 如果你使用非 Microsoft 服务( Defender for Cloud 不会进行跟踪)进行修复
注释
当你将资源豁免为缓解时,它将被视为健康。 你不会获得修正积分,但Defender for Cloud 不会因为资源处于不健康状态而扣分,所以免除的资源不会降低你的分数。
- 已接受风险(免除) - 如果决定接受不缓解此建议所面临的风险。
输入说明。
选择 创建。
创建豁免后
豁免最多可能需要 24 小时才能生效,因为Defender for Cloud每 12-24 小时评估一次资源。 豁免生效后:
建议或资源不会影响安全分数。
如果免除特定资源,Defender for Cloud 在建议详细信息页的 “不适用 ”选项卡中列出它们。
如果免除建议,Defender for Cloud 默认在 “建议 ”页上隐藏该建议。 发生此行为是因为默认 的建议状态 筛选器不包括 不适用 的建议。 如果免除安全控制中的所有建议,则会发生相同的行为。
了解豁免类型如何影响建议状态
所选的豁免类型确定豁免如何影响建议和安全分数:
- 已减轻的 豁免:免除的资源被视为正常。 安全功能分数将有所提高。
- 豁免:豁免的资源不包括在安全得分的计算中。 资源不计入安全功能分数,但仍可能显示在建议中。
注释
无论豁免状态如何,预览建议都不会影响安全分数。
验证豁免是否有效
如果建议在 24 小时后仍显示资源不正常,请参阅 “解决不更新建议状态的豁免 ”以获取详细步骤。