次の方法で共有

リソースを推奨事項から除外する

Microsoft Defender for Cloud でセキュリティに関する推奨事項を調査するときは、通常、影響を受けるリソースの一覧を確認します。 この一覧には、含まれるべきではないと思われるリソースが含まれていることがあります。 または、推奨事項が属していないと思われるスコープに表示されます。 たとえば、リソースが Defender for Cloud によって追跡されないプロセスによって修復された場合や、特定のサブスクリプションに対して推奨事項が不適切な場合があります。 または、ご自分の組織が、特定のリソースまたは推奨事項に関連するリスクを受け入れることにしたのかもしれません。

このような場合は、次の例外を作成できます。

  • リソースを除外して、将来、問題のあるリソースと共に一覧に表示されないようにします。セキュア スコアには影響しません。 リソースは適用外として表示され、その理由は "除外" として、選択した特定の正当な理由と共に示されます。

  • サブスクリプションまたは管理グループを除外して、推奨事項がセキュア スコアに影響を与えないようにします。サブスクリプションまたは管理グループには今後表示されません。 これは、既存のリソースと、今後作成するすべてのリソースに関係してきます。 推奨事項は、選択したスコープに対して選択した特定の正当な理由でマークされます。

必要なスコープについて、除外規則を作成して次のことができます。

  • 1 つ以上のサブスクリプション、または管理グループ全体に対して、特定の推奨事項を "軽減済み" または "リスクの許容" としてマークします。
  • 特定の推奨事項について、1 つまたは複数のリソースを "軽減済み" または "リスク承認済み" としてマークします。

開始する前に

この機能はプレビュー段階にあります。 Azure プレビュー補足条項には、ベータ版、プレビュー版、または一般公開されていない Azure 機能に適用される追加の法的条件が含まれています。 これは、Microsoft Defender for Cloud の強化されたセキュリティ機能が有効になっているお客様が追加コストなしで利用できる Azure Policy の Premium 機能です。 他のユーザーについては、将来、料金が適用されることがあります。

Defender for Cloud の除外は、Microsoft Cloud Security Benchmark (MCSB) イニシアチブに依存しており、Defender for Cloud ポータルでリソースのコンプライアンスの状態を評価および取得します。 MCSB が見つからない場合、ポータルは部分的に機能し、一部のリソースが表示されないことがあります。

  • Microsoft クラウド セキュリティ ベンチマークに含まれる一部の推奨事項は除外をサポートしていません。これらの推奨事項の一覧 については、こちらをご覧ください

  • 複数のポリシー イニシアティブに含まれる推奨事項はすべて除外する必要があります。

  • カスタム推奨事項は除外できません。

  • ある推奨事項を無効にすると、そのサブ推奨事項はすべて除外されます。

  • ポータルで作業するだけでなく、Azure Policy API を使用して除外を作成することもできます。 Azure Policy の除外構造の詳細はこちらです。

  • 管理グループ レベルで除外する場合は、管理グループの閲覧者ロールを割り当てることで、Microsoft Azure セキュリティ リソース プロバイダーに必要なアクセス許可があることを確認します。 これは、ユーザーのアクセス許可を付与するのと同じ方法で行われます。

除外対象の定義

除外規則を作成するには、次の手順を実行します。

  1. Defender for Cloud ポータルで、[推奨事項] ページを開き、除外する推奨事項を選択します。

  2. [アクションの実行] で、[除外] を選択します。

    サブスクリプションまたは管理グループから除外する推奨事項の除外規則を作成します。

  3. [除外] ウィンドウで次のようにします。

    1. 除外のスコープを選択します。

      • ある管理グループを選ぶと、そのグループ内のすべてのサブスクリプションから推奨事項が除外されます
      • この規則を作成して推奨設定から 1 つまたは複数のリソースを除外する場合は、[Selected resources] (選択したリソース) を選択し、一覧から関連するリソースを選択します。

    2. この除外規則の名前を入力します。

    3. 必要に応じて、有効期限を設定します。

    4. 除外対象のカテゴリを選択します。

      • サードパーティによって解決済み (軽減済み) – Security Center が特定していないサードパーティのサービスを使用している場合。

        推奨事項を軽減済みとして除外すると、セキュリティ スコアに対するポイントは付与されません。 ただし、問題のあるリソースのポイントは削除されないため、スコアは増えることになります。

      • リスク承認済み (免除) - この推奨事項を軽減しないというリスクに同意する場合

    5. 説明を入力します。

    6. を選択してを作成します。 サブスクリプションまたは管理グループから推奨事項を除外するための除外規則を作成する手順。

除外を作成した後

除外を作成した後、有効になるまでに最大 24 時間かかる場合があります。 有効になった後は、次のようになります。

  • 推奨事項またはリソースは、セキュリティ スコアには影響しません。
  • 特定のリソースを除外した場合は、推奨事項の詳細ページの [ 該当なし ] タブに一覧表示されます。
  • 推奨事項を除外した場合、既定では Defender for Cloud の推奨事項ページに表示されません。 これは、そのページの推奨事項のステータス フィルターの既定のオプションが、 [適用外] 推奨事項を除外するためのオプションではないからです。 セキュリティ コントロールのすべての推奨事項を除外する場合も同様です。

次のステップ

Defender for Cloud で除外されたリソースを確認します