Azure Security Center には、Windows 仮想マシン (VM) の構成に関する推奨事項があります。
Azure セキュリティ センター → セキュリティ スコア → 推奨事項 → セキュリティ構成の修復 › マシンのセキュリティ構成の脆弱性を修復する必要があります → セキュリティ構成の修復
これらの推奨事項は理にかなっているため、私はそのほとんどに従うつもりです。ただし、一部は別の会社のポリシーと矛盾しています。それらのルールについては、抑制/免除、つまり「(理由) により修正されません」とマークしたいと思います。
Azure ポリシーから得られる Security Center の推奨事項には、明確な [免除] ボタンがあります。ただし、ここにはありません。これらのセキュリティ構成の場合、[状態: オープン] 列は、他の状態も持つ可能性があることを示しています。これに [免除済み] などが含まれることを望みますか? どうしても、これらのルールの一部 (またはすべて) をオフにする方法が見つかりません。
これは可能ですか? もし可能であれば、どのようにすればいいですか?
答え1
MS サポートに問い合わせたところ、これらの推奨事項は「ASC デフォルト」と呼ばれるポリシー割り当ての一部であることが示されました。
このイニシアチブ割り当てのパラメータ内に、VM セキュリティ構成の推奨事項を無効にするオプションがあります。これにより、サブスクリプション内のすべての VM のスキャン全体が無効になります。つまり、コントロールはセキュア スコア ページにまったく表示されなくなります。
ここで免除を追加するオプションもあります。これは、sub / rg / VM レベルで実行できます。VM セキュリティ構成のみを免除し、ASC デフォルトの残りの部分はそのままにしておくことができます。
特定のルールのみを免除または無効にするオプションはありません。
