當您在適用於雲端的 Microsoft Defender 中調查安全性建議時,通常會檢閱受影響的資源清單。 有時候,系統會列出您認為不應該包括的資源。 或者,建議顯示在您認為不屬於的範圍內。 例如,資源可能已由適用於雲端的 Defender 未追蹤的程序補救,或者建議可能不適合特定訂用帳戶。 或許,您的組織已決定接受與特定資源或建議相關的風險。
在這類情況下,您可以建立免除以達成以下目的:
豁免資源,以確保該資源將來不會與狀況不良的資源一起列出,並且不會影響您的安全分數。 資源將會列為不適用,而且原因將會顯示為「豁免」您所選取特定理由。
豁免訂用帳戶或管理群組,以確保建議不會影響您的安全分數,且未來不會針對訂用帳戶或管理群組顯示。 這與現有資源以及您未來建立的任何資源有關。 建議會以您為所選範圍選取的特定理由標示。
針對您需要的範圍,您可以建立豁免規則以達成以下目的:
- 為一或多個訂用帳戶或整個管理群組,將特定「建議」標示為「已緩解」或「已接受風險」。
- 針對特定建議,將「一或多個資源」標示為「已緩解」或「已接受風險」。
開始之前
此功能為預覽版。 Azure 預覽補充條款包含適用於 Beta 版、預覽版或尚未發行至正式運作的 Azure 功能的其他法律條款。 這是 Azure 原則的一項進階功能,免費提供給已啟用適用於雲端的 Microsoft Defender 增強式安全性功能的客戶。 針對其他使用者,未來可能會套用費用。
您需要下列權限才能進行豁免:
-
擁有者或安全性管理員以建立豁免。
- 若要建立規則,您需有在 Azure 原則中編輯原則的權限。 深入瞭解。
-
擁有者或安全性管理員以建立豁免。
您可以為適用於雲端的 Defender 的預設 Microsoft 雲端安全性基準標準或任何提供的法規標準中包含的建議建立豁免。
備註
適用於雲端的 Defender 豁免依賴 Microsoft Cloud Security Benchmark (MCSB) 計畫,以在適用於雲端的 Defender 入口網站上評估並擷取資源合規性狀態。 如果缺少 MCSB,入口網站將會局部運作,而且某些資源可能不會出現。
Microsoft雲端安全性基準中包含的一些建議不支援豁免,您可以在這裡找到這些建議的清單
多個原則計畫中包含的建議必須全部豁免
無法豁免自訂建議。
如果停用建議,則會豁免其所有子建議。
除了在入口網站中進行之外,您還可以使用 Azure 原則 API 建立豁免。 深入了解 Azure 原則豁免結構 (部分機器翻譯)。
在管理群組層級豁免時,確保 Windows Azure 安全資源提供者 擁有必要的權限,請在管理群組中指派其為 讀者 角色。 這與授與授與用戶許可權的方式相同。
定義豁免
若要建立豁免規則:
在 [適用於雲端的 Defender] 入口網站中,開啟 [建議] 頁面,然後選取您要豁免的建議。
在 [採取動作] 中,選取 [豁免]。
在 [豁免] 窗格中:
選取豁免的範圍。
- 如果您選取管理群組,則會豁免該群組內所有訂用帳戶的建議
- 如果您要建立此規則來將一或多個資源從建議中豁免,請選擇 [選取的資源],然後從清單中選取相關資源
輸入豁免規則的名稱。
選擇性地設定到期日。
選取豁免的類別:
透過協力廠商解決 (緩和) – 如果您使用適用於雲端的 Defender 無法識別的協力廠商服務。
備註
當您將建議豁免為緩和時,就不會獲得安全分數的點數。 但因為未針對狀況不良的資源「移除」點,所以結果是您的分數將會增加。
已接受風險 (拋棄) – 如果您已決定接受不緩解此建議的風險
輸入描述。
選取 ,創建。
建立豁免之後
在建立豁免之後,最多可能需要 24 小時才會生效。 生效之後:
- 建議或資源不會影響安全分數。
- 如果您豁免特定資源,則會列在 [建議詳細數據] 頁面的 [不適用 ] 索引卷標中。
- 如果您免除建議,預設會在適用於雲端的Defender建議頁面上隱藏建議。 這是因為該頁面上 [建議狀態] 篩選的預設選項是排除 [不適用] 建議。 如果在安全性控制項豁免所有建議也是一樣。
後續步驟
在適用於雲端的 Defender 中檢閱豁免的資源 (部分機器翻譯)。