تفاصيل النسخة الخامسة المنقحة لمبادرة التوافق التنظيمي المدمج NIST SP 800-53 (Azure Government)
توضح المقالة التالية كيفية قيام تعريف Azure Policy Regulatory Compliance بالتعيين المدمج وفقاً لـ Azure Policy إلى مجالات التوافق وعناصر التحكم في النسخة الخامسة المنقحة NIST SP 800-5353 (Azure Government). لمزيد من المعلومات حول معيار الامتثال هذا، راجع NIST SP 800-53 Rev. 5. لفهم الملكية، راجع نوع النهج والمسؤولية المشتركة في السحابة.
التعيينات التالية هي لعناصر تحكم NIST SP 800-53 Rev. 5 . يتم تنفيذ العديد من عناصر التحكم بتعريف مبادرة Azure Policy. لمراجعة تعريف المبادرة الكامل، افتح نهج في مدخل Microsoft Azure وحدد صفحة التعريفات. ثم، ابحث عن النسخة المنقحة لتعريف مبادرة الامتثال التنظيمي المدمج NIST SP 800-53 Rev. 5 وحدّدها.
هام
يرتبط كل عنصر تحكم أدناه بتعريف أو أكثر من تعريفات نهج Azure. قد تساعدك هذه السياسات على تقييم الامتثال بعنصر التحكم؛ ومع ذلك، غالباً ما لا يكون هناك تطابق أو تناظر كامل بين عنصر التحكم مع نهج واحد أو أكثر. على هذا النحو، تشير كلمة متوافق في Azure Policy فقط إلى تعريفات النهج ذاتها؛ وهذا لا يضمن أنك ممتثل تمامًا لكافة متطلبات عنصر التحكم. بالإضافة إلى ذلك، يتضمن معيار التوافق عناصر تحكم لا يتم تناولها بواسطة أي تعريفات خاصة بـ Azure Policy في هذا الوقت. لذلك، فإن التوافق في Azure Policy هو مجرد مظهر جزئي لحالة التوافق الكلي. قد تتغير الاقترانات بين مجالات الامتثال وعناصر التحكم وتعريفات Azure Policy لمعيار الامتثال المذكور بمرور الوقت. لعرض تاريخ التغييرات، راجع تاريخ امتثال شركة GitHub.
التحكم في الوصول
النهج والإجراءات
المعرف: NIST SP 800-53 Rev. 5 AC-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1000 - متطلبات إجراءات ونهج التحكم في الوصول | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1001 - متطلبات إجراءات ونهج التحكم في الوصول | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
إدارة الحساب
المعرف: NIST SP 800-53 Rev. 5 AC-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure | يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure | يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure | يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| Microsoft Managed Control 1002 - إدارة الحساب | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1003 - إدارة الحساب | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1004 - إدارة الحساب | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1005 - إدارة الحساب | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1006 - إدارة الحساب | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1007 - إدارة الحساب | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1008 - إدارة الحساب | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1009 - إدارة الحساب | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1010 - إدارة الحساب | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1011 - إدارة الحساب | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1012 - إدارة الحساب | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1022 - إدارة الحساب | إنهاء بيانات اعتماد الحسابات المشتركة / المجموعة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
إدارة حساب النظام الآلي
المعرف: NIST SP 800-53 Rev. 5 AC-2 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| التحكم المدار من Microsoft 1013 - إدارة الحساب | إدارة حساب النظام الآلي | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
الإدارة التلقائية للحساب المؤقت والطوارئ
المعرف: NIST SP 800-53 Rev. 5 AC-2 (2) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1014 - إدارة الحساب | إزالة الحسابات الطارئة / المؤقتة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
تعطيل الحسابات
المعرف: NIST SP 800-53 Rev. 5 AC-2 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1015 - إدارة الحساب | تعطيل الحسابات غير النشطة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
إجراءات التدقيق الآلي
المعرف: NIST SP 800-53 Rev. 5 AC-2 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1016 - إدارة الحساب | إجراءات التدقيق الآلي | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
تسجيل الخروج من عدم النشاط
المعرف: NIST SP 800-53 Rev. 5 AC-2 (5) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1017 - إدارة الحساب | تسجيل الخروج من عدم النشاط | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
حسابات المستخدمين المميزين
المعرف: NIST SP 800-53 Rev. 5 AC-2 (7) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| التحكم المدار من Microsoft 1018 - إدارة الحساب | المخططات المستندة إلى الأدوار | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1019 - إدارة الحساب | المخططات المستندة إلى الأدوار | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1020 - إدارة الحساب | المخططات المستندة إلى الأدوار | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
القيود المفروضة على استخدام الحسابات المشتركة والمجموعة
المعرف: NIST SP 800-53 Rev. 5 AC-2 (9) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1021 - إدارة الحساب | القيود المفروضة على استخدام الحسابات المشتركة / المجموعة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
شروط الاستخدام
المعرف: NIST SP 800-53 Rev. 5 AC-2 (11) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1023 - إدارة الحساب | شروط الاستخدام | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
مراقبة الحساب للاستخدام غير النمطي
المعرف: NIST SP 800-53 Rev. 5 AC-2 (12) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 4.0.1-preview |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| التحكم المدار من Microsoft 1024 - إدارة الحساب | مراقبة الحساب / الاستخدام غير النمطي | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1025 - إدارة الحساب | مراقبة الحساب / الاستخدام غير النمطي | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
تعطيل حسابات الأفراد المعرضين لمخاطر عالية
المعرف: NIST SP 800-53 Rev. 5 AC-2 (13) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1026 - إدارة الحساب | تعطيل حسابات الأفراد المعرضين لمخاطر عالية | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
إنفاذ الوصول
المعرف: NIST SP 800-53 Rev. 5 AC-3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق أجهزة Linux التي لديها حسابات بدون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux التي لها حسابات بدون كلمات مرور | AuditIfNotExists، معطل | 1.4.0 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| Microsoft Managed Control 1027 - إنفاذ الوصول | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب ترحيل حسابات التخزين إلى موارد Azure Resource Manager الجديدة | استخدم Azure Resource Manager الجديد لحسابات التخزين لتزويد تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، وتحسين التدقيق، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى مخزن البيانات السرية، والمصادقة المستندة إلى Microsoft Azure Active Directory ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة | استخدم إدارة موارد Azure الجديدة للأجهزة الظاهرية لتوفير تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، والمراجعة الأفضل، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى خزنة المفاتيح للأسرار، والمصادقة المستندة إلى Azure AD، ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
التحكم في الوصول استنادًا إلى الدور
المعرف: NIST SP 800-53 Rev. 5 AC-3 (7) الملكية: العميل
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب استخدام Azure Role-Based Access Control (RBAC) على خدمات Kubernetes | لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم Azure Role-Based Access Control (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة. | المراجعة، معطلة | 1.0.3 |
تطبيق تدفق المعلومات
المعرف: NIST SP 800-53 Rev. 5 AC-4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم خدمات APIM شبكة ظاهرية | يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
| تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes | قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة. | المراجعة، معطلة | 2.0.0 |
| يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة | من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure. | التدقيق، الرفض، التعطيل | 3.2.0 |
| يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص | مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل خدمات Azure Cognitive Search الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض خدمة Azure Cognitive Search على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض خدمة البحث. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية | يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم Azure Data Factory رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا | يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين جدار حماية Azure Key Vault | قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security | التدقيق، الرفض، التعطيل | 1.4.1 |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | المراجعة، معطلة | 3.0.0 |
| يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة | تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | المراجعة، معطلة | 1.0.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| Microsoft Managed Control 1029 - إنفاذ تدفق المعلومات | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية | احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
التحكم الديناميكي في تدفق المعلومات
المعرف: NIST SP 800-53 Rev. 5 AC-4 (3) الملكية: العميل
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
عوامل تصفية نهج الأمان والخصوصية
المعرف: NIST SP 800-53 Rev. 5 AC-4 (8) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1029 - تنفيذ تدفق المعلومات | عوامل تصفية نهج الأمان | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
الفصل المادي أو المنطقي لتدفق المعلومات
المعرف: NIST SP 800-53 Rev. 5 AC-4 (21) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1030- إنفاذ تدفق المعلومات | الفصل المادي / المنطقي لتدفق المعلومات | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
فصل الواجبات
المعرف: NIST SP 800-53 Rev. 5 AC-5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1031 - فصل الواجبات | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1032 - فصل الواجبات | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1033 - فصل الواجبات | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| يجب تعيين أكثر من مالك واحد لاشتراكك | يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول. | AuditIfNotExists، معطل | 3.0.0 |
أدنى الامتيازات
المعرف: NIST SP 800-53 Rev. 5 AC-6 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| Microsoft Managed Control 1034 - الامتيازات الأقل | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
السماح بالوصول إلى وظائف الأمان
المعرف: NIST SP 800-53 Rev. 5 AC-6 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1035 - أقل الامتيازات | السماح بالوصول إلى وظائف الأمان | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
الوصول غير المميز لوظائف غير متعلق بالأمان
المعرف: NIST SP 800-53 Rev. 5 AC-6 (2) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1036 - الامتياز الأقل | السماح بالوصول إلى وظائف الأمان | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
وصول الشبكة إلى الأوامر المميزة
المعرف: NIST SP 800-53 Rev. 5 AC-6 (3) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1037 - أقل الإمتيازات | وصول الشبكة إلى الأوامر المميزة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
الحسابات المتميزة
المعرف: NIST SP 800-53 Rev. 5 AC-6 (5) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1038 - أقل الإمتيازات | الحسابات المتميزة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
مراجعة امتيازات المستخدم
المعرف: NIST SP 800-53 Rev. 5 AC-6 (7) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| التحكم المدار من Microsoft 1039 - أقل الإمتيازات | مراجعة امتيازات المستخدم | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1040 - أقل الإمتيازات | مراجعة امتيازات المستخدم | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
مستويات الامتياز لتنفيذ التعليمات البرمجية
المعرف: NIST SP 800-53 Rev. 5 AC-6 (8) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1041 - أقل الإمتيازات | مستويات الامتياز لتنفيذ التعليمات البرمجية | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
استخدام التسجيل للوظائف المميزة
المعرف: NIST SP 800-53 Rev. 5 AC-6 (9) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1042 - أقل الإمتيازات | تدقيق استخدام الوظائف المميزة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
منع المستخدمين غير المميزين من تنفيذ الوظائف المميزة
المعرف: NIST SP 800-53 Rev. 5 AC-6 (10) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1043 - أقل الإمتيازات | منع المستخدمين غير المميزين من تنفيذ دالات مميزة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
محاولات تسجيل الدخول غير الناجحة
المعرف: NIST SP 800-53 Rev. 5 AC-7 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1044 - محاولات تسجيل الدخول غير الناجحة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1045 - محاولات تسجيل الدخول غير الناجحة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
تطهير أو مسح الجهاز المحمول
المعرف: NIST SP 800-53 Rev. 5 AC-7 (2) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1046 - محاولات تسجيل الدخول غير الناجحة | إزالة / مسح الجهاز المحمول | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
إعلام استخدام النظام
المعرف: NIST SP 800-53 Rev. 5 AC-8 الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1047 - إعلام استخدام النظام | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1048 - إعلام استخدام النظام | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1049 - إعلام استخدام النظام | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
التحكم المتزامن في الجلسة
المعرف: NIST SP 800-53 Rev. 5 AC-10 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1050 - التحكم المتزامن في الجلسة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
قفل الجهاز
المعرف: NIST SP 800-53 Rev. 5 AC-11 الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1051 - قفل الجلسة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1052 - قفل الجلسة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
عرض إخفاء الأنماط
المعرف: NIST SP 800-53 Rev. 5 AC-11 (1) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1053 - قفل الجلسة | عرض إخفاء الأنماط | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
إنهاء الجلسة
المعرف: NIST SP 800-53 Rev. 5 AC-12 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1054 - إنهاء الجلسة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
عمليات تسجيل الخروج التي بدأها المستخدم
المعرف: NIST SP 800-53 Rev. 5 AC-12 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1055 - إنهاء الجلسة | تسجيل الخروج /عرض الرسائل التي بدأها المستخدم | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1056 - إنهاء الجلسة | تسجيل الخروج /عرض الرسائل التي بدأها المستخدم | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
الإجراءات المسموح بها بدون تعريف أو مصادقة
المعرف: NIST SP 800-53 Rev. 5 AC-14 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1057 - الإجراءات المسموح بها بدون تعريف أو مصادقة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1058 - الإجراءات المسموح بها بدون تعريف أو مصادقة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
سمات الأمان والخصوصية
المعرف: NIST SP 800-53 Rev. 5 AC-16 الملكية: العميل
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
الوصول عن بُعد
المعرف: NIST SP 800-53 Rev. 5 AC-17 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| مراجعة أجهزة Linux التي تسمح بالاتصالات عن بُعد من الحسابات من دون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux تسمح بالاتصال عن بعد من الحسابات بدون كلمات مرور | AuditIfNotExists، معطل | 1.4.0 |
| يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص | مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم Azure Data Factory رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا | يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | المراجعة، معطلة | 3.0.0 |
| يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows | تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | المراجعة، معطلة | 1.0.0 |
| Microsoft Managed Control 1059 - الوصول عن بُعد | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1060 - الوصول عن بُعد | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
المراقبة والتحكم
المعرف: NIST SP 800-53 Rev. 5 AC-17 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| مراجعة أجهزة Linux التي تسمح بالاتصالات عن بُعد من الحسابات من دون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux تسمح بالاتصال عن بعد من الحسابات بدون كلمات مرور | AuditIfNotExists، معطل | 1.4.0 |
| يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص | مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم Azure Data Factory رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا | يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | المراجعة، معطلة | 3.0.0 |
| يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows | تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | المراجعة، معطلة | 1.0.0 |
| التحكم المدار من Microsoft 1061 - الوصول عن بعد |التحكم / المراقبة الآلية | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
حماية السرية والنزاهة باستخدام التشفير
المعرف: NIST SP 800-53 Rev. 5 AC-17 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1062 - الوصول عن بُعد | حماية السرية / النزاهة باستخدام التشفير | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
نقاط التحكم في الوصول المدارة
المعرف: NIST SP 800-53 Rev. 5 AC-17 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1063 - الوصول عن بُعد | نقاط التحكم في الوصول المدارة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
الأوامر والوصول المميز
المعرف: NIST SP 800-53 Rev. 5 AC-17 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1064 - الوصول عن بُعد | الأوامر / الوصول المميز | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1065 - الوصول عن بُعد | الأوامر / الوصول المميز | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
قطع الاتصال أو تعطيل الوصول
المعرف: NIST SP 800-53 Rev. 5 AC-17 (9) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1066 - الوصول عن بُعد | قطع الاتصال / تعطيل الوصول | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
الوصول اللاسلكي
المعرف: NIST SP 800-53 Rev. 5 AC-18 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1067 - قيود الوصول اللاسلكي | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1068 - قيود الوصول اللاسلكي | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
المصادقة والتشفير
المعرف: NIST SP 800-53 Rev. 5 AC-18 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1069 - قيود الوصول اللاسلكي | المصادقة والتشفير | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
تعطيل الشبكات اللاسلكية
المعرف: NIST SP 800-53 Rev. 5 AC-18 (3) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1070 - قيود الوصول اللاسلكي | تعطيل الشبكات اللاسلكية | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
تقييد التكوينات حسب المستخدمين
المعرف: NIST SP 800-53 Rev. 5 AC-18 (4) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1071 - قيود الوصول اللاسلكي | تقييد التكوينات حسب المستخدمين | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
مستويات طاقة الهوائيات والإرسال
المعرف: NIST SP 800-53 Rev. 5 AC-18 (5) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1072 - قيود الوصول اللاسلكي | مستويات طاقة الهوائيات / الإرسال | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
التحكم في الوصول للأجهزة المحمولة
المعرف: NIST SP 800-53 Rev. 5 AC-19 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1073 - التحكم في الوصول للأنظمة المنقولة والمحمولة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1074 - التحكم في الوصول للأنظمة المنقولة والمحمولة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
تشفير مستند إلى جهاز كامل أو حاوية
المعرف: NIST SP 800-53 Rev. 5 AC-19 (5) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1075 - التحكم في الوصول للأنظمة المنقولة والمحمولة | تشفير مستند إلى جهاز كامل / حاوية | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
استخدام الأنظمة الخارجية
المعرف: NIST SP 800-53 Rev. 5 AC-20 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1076 - استخدام نظم المعلومات الخارجية | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1077 - استخدام نظم المعلومات الخارجية | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
القيود المفروضة على الاستخدام المصرح به
المعرف: NIST SP 800-53 Rev. 5 AC-20 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1078 - استخدام نظم المعلومات الخارجية | القيود المفروضة على الاستخدام المصرح به | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1079 - استخدام نظم المعلومات الخارجية | القيود المفروضة على الاستخدام المصرح به | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
أجهزة التخزين المحمولة الاستخدام المقيد
المعرف: NIST SP 800-53 Rev. 5 AC-20 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1080 - استخدام نظم المعلومات الخارجية | أجهزة التخزين المحمولة | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
مشاركة المعلومات
المعرف: NIST SP 800-53 Rev. 5 AC-21 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1081 - مشاركة المعلومات | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1082 - مشاركة المعلومات | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
المحتوى الذي يمكن الوصول إليه للجمهور
المعرف: NIST SP 800-53 Rev. 5 AC-22 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1083 - المحتوى الذي يمكن الوصول إليه للجمهور | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1084 - المحتوى الذي يمكن الوصول إليه للجمهور | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1085 - المحتوى الذي يمكن الوصول إليه للجمهور | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1086 - المحتوى الذي يمكن الوصول إليه للجمهور | تطبق Microsoft عنصر التحكم في الوصول هذا | تحقق | 1.0.0 |
التوعية والتدريب
النهج والإجراءات
المعرف: NIST SP 800-53 Rev. 5 AT-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1087 - سياسة وإجراءات التوعية الأمنية والتدريب | تطبق Microsoft عنصر التحكم في التوعية والتدريب هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1088 - سياسة وإجراءات التوعية الأمنية والتدريب | تطبق Microsoft عنصر التحكم في التوعية والتدريب هذا | تحقق | 1.0.0 |
التدريب على تعلم القراءة والكتابة والتوعية بها
المعرف: NIST SP 800-53 Rev. 5 AT-2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1089 - التوعية الأمنية | تطبق Microsoft عنصر التحكم في التوعية والتدريب هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1090 - التوعية الأمنية | تطبق Microsoft عنصر التحكم في التوعية والتدريب هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1091 - التوعية الأمنية | تطبق Microsoft عنصر التحكم في التوعية والتدريب هذا | تحقق | 1.0.0 |
تهديد من الداخل
المعرف: NIST SP 800-53 Rev. 5 AT-2 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1092 - التوعية الأمنية | تهديد من الداخل | تطبق Microsoft عنصر التحكم في التوعية والتدريب هذا | تحقق | 1.0.0 |
التدريب المستند إلى الأدوار
المعرف: NIST SP 800-53 Rev. 5 AT-3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1093 - التدريب الأمني القائم على الأدوار | تطبق Microsoft عنصر التحكم في التوعية والتدريب هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1094 - التدريب الأمني القائم على الأدوار | تطبق Microsoft عنصر التحكم في التوعية والتدريب هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1095 - التدريب الأمني القائم على الأدوار | تطبق Microsoft عنصر التحكم في التوعية والتدريب هذا | تحقق | 1.0.0 |
تمارين عملية
المعرف: NIST SP 800-53 Rev. 5 AC-3 (3)الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1096 - التدريب الأمني القائم على الأدوار | تمارين عملية | تطبق Microsoft عنصر التحكم في التوعية والتدريب هذا | تحقق | 1.0.0 |
سجلات التدريب
المعرف: NIST SP 800-53 Rev. 5 AT-4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1098 - سجلات التدريب الأمني | تطبق Microsoft عنصر التحكم في التوعية والتدريب هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1099 - سجلات التدريب الأمني | تطبق Microsoft عنصر التحكم في التوعية والتدريب هذا | تحقق | 1.0.0 |
التدقيق والمُساءلة
النهج والإجراءات
المعرف: NIST SP 800-53 Rev. 5 AU-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1100 - نهج وإجراءات التدقيق والمساءلة | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1101 - نهج وإجراءات التدقيق والمساءلة | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
تسجيل الأحداث
المعرف: NIST SP 800-53 Rev. 5 AU-2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1102 - أحداث التدقيق | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1103 - أحداث التدقيق | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1104 - أحداث التدقيق | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1105 - أحداث التدقيق | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1106 - أحداث التدقيق | المراجعات والتحديثات | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
محتوى سجلات التدقيق
المعرف: NIST SP 800-53 Rev. 5 AU-3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1107 - محتوى سجلات التدقيق | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
معلومات تدقيق إضافية
المعرف: NIST SP 800-53 Rev. 5 AU-3 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1108 - محتوى سجلات التدقيق | معلومات تدقيق إضافية | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
سعة تخزين سجل التدقيق
المعرف: NIST SP 800-53 Rev. 5 AU-4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1110 - سعة تخزين التدقيق | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
الاستجابة لفشل عملية تسجيل التدقيق
المعرف: NIST SP 800-53 Rev. 5 AU-5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1111 - الاستجابة لفشل معالجة التدقيق | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1112 - الاستجابة لفشل معالجة التدقيق | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
تحذير سعة التخزين
المعرف: NIST SP 800-53 Rev. 5 AU-5 (1) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1113 - الاستجابة لفشل معالجة التدقيق | سعة تخزين التدقيق | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
تنبيهات في الوقت الحقيقي
المعرف: NIST SP 800-53 Rev. 5 AU-5 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1114 - الاستجابة لفشل معالجة التدقيق | تنبيهات في الوقت الحقيقي | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
مراجعة الحسابات وتحليلها والإبلاغ عنها
المعرف: NIST SP 800-53 Rev. 5 AU-6 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 4.0.1-preview |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| Microsoft Managed Control 1115 - مراجعة الحسابات وتحليلها والإبلاغ عنها | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1116 - مراجعة الحسابات وتحليلها والإبلاغ عنها | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1123 - مراجعة الحسابات وتحليلها والإبلاغ عنها | تعديل مستوى التدقيق | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
تكامل العملية التلقائية
المعرف: NIST SP 800-53 Rev. 5 AU-6 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1117 - مراجعة الحسابات وتحليلها والإبلاغ عنها | تكامل العملية | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
ربط مستودعات سجل التدقيق
المعرف: NIST SP 800-53 Rev. 5 AU-6 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1118 - مراجعة الحسابات وتحليلها والإبلاغ عنها | ربط مستودعات التدقيق | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
المراجعة والتحليل المركزي
المعرف: NIST SP 800-53 Rev. 5 AU-6 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 4.0.1-preview |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين سجلات الموارد لتطبيقات App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك | لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت عامل Azure Log Analtics على الجهاز الظاهري لمراقبة Azure Security Center | يقوم هذا النهج بمراجعة أي أجهزة ظاهرية Windows/Linux (VMs) إذا لم يتم تثبيت عامل Log Analytics الذي يستخدمه Security Center لمراقبة الثغرات الأمنية والتهديدات | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center | من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| التحكم المدار من Microsoft 1119 - مراجعة الحسابات وتحليلها والإبلاغ عنها | التحليل والمراجعة المركزية | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين سجلات الموارد في Azure Data Lake Store | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Azure Stream Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في حسابات Batch | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Data Lake Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Event Hub | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Logic Apps | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.1.0 |
| يجب تمكين سجلات الموارد في خدمات البحث | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Service Bus | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
التحليل المتكامل لسجلات التدقيق
المعرف: NIST SP 800-53 Rev. 5 AU-6 (5) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 4.0.1-preview |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين سجلات الموارد لتطبيقات App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك | لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت عامل Azure Log Analtics على الجهاز الظاهري لمراقبة Azure Security Center | يقوم هذا النهج بمراجعة أي أجهزة ظاهرية Windows/Linux (VMs) إذا لم يتم تثبيت عامل Log Analytics الذي يستخدمه Security Center لمراقبة الثغرات الأمنية والتهديدات | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center | من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| التحكم المدار من Microsoft 1120 - مراجعة الحسابات وتحليلها والإبلاغ عنها | قدرات التكامل / المسح والمراقبة | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين سجلات الموارد في Azure Data Lake Store | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Azure Stream Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في حسابات Batch | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Data Lake Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Event Hub | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Logic Apps | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.1.0 |
| يجب تمكين سجلات الموارد في خدمات البحث | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Service Bus | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
الارتباط مع المراقبة الفيزيائية
المعرف: NIST SP 800-53 Rev. 5 AU-6 (6) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1121 - مراجعة الحسابات وتحليلها والإبلاغ عنها | الارتباط مع المراقبة الفيزيائية | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
الإجراءات المسموح بها
المعرف: NIST SP 800-53 Rev. 5 AU-6 (7) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1122 - مراجعة الحسابات وتحليلها والإبلاغ عنها | الإجراءات المسموح بها | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
تخفيض سجل التدقيق وإنشاء التقارير
المعرف: NIST SP 800-53 Rev. 5 AU-7 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1124 - تخفيض التدقيق وإنشاء التقارير | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1125 - تخفيض التدقيق وإنشاء التقارير | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
المعالجة التلقائية
المعرف: NIST SP 800-53 Rev. 5 AU-7 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1126 - تخفيض التدقيق وإنشاء التقارير | المعالجة التلقائية | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
الطوابع الزمنية
المعرف: NIST SP 800-53 Rev. 5 AU-8 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1127 - الطوابع الزمنية | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1128 - الطوابع الزمنية | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
حماية معلومات التدقيق
المعرف: NIST SP 800-53 Rev. 5 AU-9 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1131 - حماية معلومات التدقيق | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
التخزين على أنظمة فعلية منفصلة أو مكونات منفصلة
المعرف: NIST SP 800-53 Rev. 5 AU-9 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1132 - حماية معلومات التدقيق | تدقيق النسخ الاحتياطي على أنظمة / مكونات فعلية منفصلة | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
حماية التشفير
المعرف: NIST SP 800-53 Rev. 5 AU-9 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1133 - حماية معلومات التدقيق | حماية التشفير | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
الوصول حسب المجموعة الفرعية للمستخدمين المميزين
المعرف: NIST SP 800-53 Rev. 5 AU-9 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1134 - حماية الوصول إلى معلومات التدقيق | الوصول حسب المجموعة الفرعية للمستخدمين المميزين | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
عدم القدرة على الإنكار
المعرف: NIST SP 800-53 Rev. 5 AU-10 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1135 - عدم القدرة على الإنكار | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
مراجعة الاحتفاظ بالسجلات
المعرف: NIST SP 800-53 Rev. 5 AU-11 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1136 - الاحتفاظ بسجلات التدقيق | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| ينبغي تكوين خوادم SQL لاستخدام التدقيق لوجهة حساب التخزين مع الاحتفاظ بهذه السجلات لمدة 90 يومًا أو أكثر | لأغراض التحقيق في الحوادث، نوصي بتعيين الاحتفاظ بالبيانات لمراجعة SQL Server إلى وجهة حساب التخزين لمدة 90 يومًا على الأقل. تأكد من الاستيفاء بقواعد الاحتفاظ الضرورية للمناطق التي تعمل فيها. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية. | AuditIfNotExists، معطل | 3.0.0 |
إنشاء سجل التدقيق
المعرف: NIST SP 800-53 Rev. 5 AU-12 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 4.0.1-preview |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين سجلات الموارد لتطبيقات App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك | لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت عامل Azure Log Analtics على الجهاز الظاهري لمراقبة Azure Security Center | يقوم هذا النهج بمراجعة أي أجهزة ظاهرية Windows/Linux (VMs) إذا لم يتم تثبيت عامل Log Analytics الذي يستخدمه Security Center لمراقبة الثغرات الأمنية والتهديدات | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center | من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| Microsoft Managed Control 1137 - إنشاء التدقيق | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1138 - إنشاء التدقيق | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1139 - إنشاء التدقيق | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين سجلات الموارد في Azure Data Lake Store | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Azure Stream Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في حسابات Batch | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Data Lake Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Event Hub | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Logic Apps | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.1.0 |
| يجب تمكين سجلات الموارد في خدمات البحث | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Service Bus | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
مسار التدقيق على مستوى النظام والمرتبط بالوقت
المعرف: NIST SP 800-53 Rev. 5 AU-12 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 4.0.1-preview |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين سجلات الموارد لتطبيقات App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك | لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت عامل Azure Log Analtics على الجهاز الظاهري لمراقبة Azure Security Center | يقوم هذا النهج بمراجعة أي أجهزة ظاهرية Windows/Linux (VMs) إذا لم يتم تثبيت عامل Log Analytics الذي يستخدمه Security Center لمراقبة الثغرات الأمنية والتهديدات | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center | من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| التحكم المدار من Microsoft 1140 - إنشاء التدقيق | مسار التدقيق على مستوى النظام / المرتبط بالوقت | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين سجلات الموارد في Azure Data Lake Store | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Azure Stream Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في حسابات Batch | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Data Lake Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Event Hub | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Logic Apps | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.1.0 |
| يجب تمكين سجلات الموارد في خدمات البحث | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Service Bus | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
التغييرات التي أجراها الأفراد المعتمدون
المعرف: NIST SP 800-53 Rev. 5 AU-12 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1141 - إنشاء التدقيق | التغييرات التي أجراها الأفراد المعتمدون | تطبق Microsoft عنصر التحكم في التدقيق والمساءلة هذا | تحقق | 1.0.0 |
التقييم والتخويل والمراقبة
النهج والإجراءات
المعرف: NIST SP 800-53 Rev. 5 CA-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1142 - تخويل الشهادة ونهج وإجراءات التقييم الأمني والتفويض | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1143 - تخويل الشهادة ونهج وإجراءات التقييم الأمني والتفويض | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
تقييمات التحكم
المعرف: NIST SP 800-53 Rev. 5 CA-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1144 - التقييمات الأمنية | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1145 - التقييمات الأمنية | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1146 - التقييمات الأمنية | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1147 - التقييمات الأمنية | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
مقيمون مستقلون
المعرف: NIST SP 800-53 Rev. 5 CA-2 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1148 - التقييمات الأمنية | مقيمون مستقلون | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
التقييمات المتخصصة
المعرف: NIST SP 800-53 Rev. 5 CA-2 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1149 - التقييمات الأمنية | التقييمات المتخصصة | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
الاستفادة من النتائج من المنظمات الخارجية
المعرف: NIST SP 800-53 Rev. 5 CA-2 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1150 - التقييمات الأمنية | المنظمات الخارجية | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
تبادل المعلومات
المعرف: NIST SP 800-53 Rev. 5 CA-3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1151 - وصلات النظام | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1152 - وصلات النظام | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1153 - وصلات النظام | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
خطة العمل والمعالم الرئيسية
المعرف: NIST SP 800-53 Rev. 5 CA-5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1156 - خطة العمل والمعالم الرئيسية | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1157 - خطة العمل والمعالم الرئيسية | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
التصريح
المعرف: NIST SP 800-53 Rev. 5 CA-6 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1158 - التفويض الأمني | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1159 - التفويض الأمني | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1160 - التفويض الأمني | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
المراقبة المستمرة
المعرف: NIST SP 800-53 Rev. 5 CA-7 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1161 - المراقبة المستمرة | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1162 - المراقبة المستمرة | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1163 - المراقبة المستمرة | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1164 - المراقبة المستمرة | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1165 - المراقبة المستمرة | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1166 - المراقبة المستمرة | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1167 - المراقبة المستمرة | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
التقييم المستقل
المعرف: NIST SP 800-53 Rev. 5 CA-7 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1168 - المراقبة المستمرة | التقييم المستقل | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
تحليلات الاتجاه
المعرف: NIST SP 800-53 Rev. 5 CA-7 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1169 - المراقبة المستمرة | تحليلات الاتجاه | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
اختبار الاختراق
المعرف: NIST SP 800-53 Rev. 5 CA-8 الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1170 - اختبار الاختراق | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
وكيل أو فريق اختراق الاختراق المستقل
المعرف: NIST SP 800-53 Rev. 5 CA-8 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1171 - اختبار الاختراق | وكيل أو فريق اختراق مستقل | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
اتصالات النظام الداخلي
المعرف: NIST SP 800-53 Rev. 5 CA-9 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1172 - اتصالات النظام الداخلي | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1173 - اتصالات النظام الداخلي | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
إدارة التكوين
النهج والإجراءات
المعرف: NIST SP 800-53 Rev. 5 CM-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1174 - نهج وإجراءات إدارة التكوين | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1175 - نهج وإجراءات إدارة التكوين | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
تكوين الأساس
المعرف: NIST SP 800-53 Rev. 5 CM-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1176 - تكوين الأساس | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1177 - التكوين الأساسي | المراجعات والتحديثات | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1178 - التكوين الأساسي | المراجعات والتحديثات | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1179 - التكوين الأساسي | المراجعات والتحديثات | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
دعم التشغيل الآلي للدقة / العملة
المعرف: NIST SP 800-53 Rev. 5 CM-2 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1180 - تكوين الأساس | دعم التشغيل الآلي للدقة / العملة | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
الاحتفاظ بالتكوينات السابقة
المعرف: NIST SP 800-53 Rev. 5 CM-2 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1181 - تكوين الأساس | الاحتفاظ بالتكوينات السابقة | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
تكوين الأنظمة والمكونات للمناطق عالية الخطورة
المعرف: NIST SP 800-53 Rev. 5 CM-2 (7) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1182 - تكوين الأساس | تكوين الأنظمة أو المكونات أو الأجهزة للمناطق عالية الخطورة | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1183 - تكوين الأساس | تكوين الأنظمة أو المكونات أو الأجهزة للمناطق عالية الخطورة | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
التحكم في تغيير التكوين
المعرف: NIST SP 800-53 Rev. 5 CM-3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1184 - التحكم في تغيير التكوين | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1185 - التحكم في تغيير التكوين | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1186 - التحكم في تغيير التكوين | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1187 - التحكم في تغيير التكوين | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1188 - التحكم في تغيير التكوين | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1189 - التحكم في تغيير التكوين | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1190 - التحكم في تغيير التكوين | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
توثيق التغييرات والإعلام بها وحظرها تلقائيًا
المعرف: NIST SP 800-53 Rev. 5 CM-3 (1) الملكية: مشتركة
اختبار التغييرات والتحقق من صحتها وتوثيقها
المعرف: NIST SP 800-53 Rev. 5 CM-3 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1197 - التحكم في تغيير التكوين | اختبار / التحقق من / توثيق التغييرات | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
ممثلو الأمان والخصوصية
المعرف: NIST SP 800-53 Rev. 5 CM-3 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1198 - التحكم في تغيير التكوين | ممثل الأمن | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
إدارة التشفير
المعرف: NIST SP 800-53 Rev. 5 CM-3 (6) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1199 - التحكم في تغيير التكوين | إدارة التشفير | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
تحليل التأثير
المعرف: NIST SP 800-53 Rev. 5 CM-4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1200 - تحليل الأثر الأمني | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
بيئات اختبار منفصلة
المعرف: NIST SP 800-53 Rev. 5 CM-4 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1201 - تحليل الأثر الأمني | بيئات اختبار منفصلة | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
قيود الوصول للتغيير
المعرف: NIST SP 800-53 Rev. 5 CM-5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1202 - قيود الوصول للتغيير | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
سجلات إنفاذ الوصول والتدقيق التلقائية
المعرف: NIST SP 800-53 Rev. 5 CM-5 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1203 - قيود الوصول للتغيير | إنفاذ / تدقيق الوصول التلقائي | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
تقييد الامتياز للإنتاج والتشغيل
المعرف: NIST SP 800-53 Rev. 5 CM-5 (5) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1206 - قيود الوصول للتغيير | الحد من الإنتاج / امتيازات التشغيل | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1207 - قيود الوصول للتغيير | الحد من الإنتاج / امتيازات التشغيل | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
إعدادات التكوين
المعرف: NIST SP 800-53 Rev. 5 CM-6 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [مهمل]: يجب أن يكون لتطبيقات الوظائف "شهادات العميل (شهادات العميل الواردة)" ممكنة | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين يحملون شهادات صالحة فقط من الوصول إلى التطبيق. تم استبدال هذا النهج بنهج جديد بنفس الاسم لأن Http 2.0 لا يدعم شهادات العميل. | المراجعة، معطلة | 3.1.0 مهمل |
| يجب تمكين شهادات العميل (شهادات العميل الواردة) لتطبيقات App Service | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات | تمتد الوظيفة الإضافية لسياسة Azure Policy لخدمة Kubernetes (AKS) إلى Gatekeeper v3، webhook وحدة تحكم القبول لعامل Open Policy Agent(OPA)، لتطبيق إنفاذ على نطاق واسع وضمانات على المجموعات بطريقة مركزية ومتسقة. | المراجعة، معطلة | 1.0.2 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| تطبيقات الوظائف يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية. | AuditIfNotExists، معطل | 2.0.0 |
| يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة | فرض حاوية CPU وحدود موارد الذاكرة لمنع هجمات استنفاد الموارد في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 10.1.0 |
| يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة | قم بحظر حاويات الجراب من مشاركة مساحة اسم معرف عملية المضيف ومساحة اسم IPC المضيف في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.2 وCIS 5.2.3 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.0 |
| يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب أن تستخدم الحاويات ملفات تعريف AppArmor المسموح بها فقط في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.1 |
| يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها | يجب تقييد القدرات لخفض سطح الهجوم من الحاويات في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.8 وCIS 5.2.9 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.0 |
| يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط | استخدم الصور من السجلات الموثوق بها لتقليل خطر تعرض مجموعة Kubernetes للثغرات الأمنية غير المعروفة ومشكلات الأمان والصور الضارة. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 10.1.1 |
| يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط | تشغيل حاويات مع نظام ملفات جذر للقراءة فقط للحماية من التغييرات في وقت التشغيل مع الثنائيات الضارة التي يتم إضافتها إلى PATH في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.0 |
| يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط | تحميل حجم جراب HostPath الحد إلى مسارات المضيف المسموح به في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS) وKubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.1 |
| يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة | التحكم في المستخدم، المجموعة الأساسية، المجموعة التكميلية ومعرفات مجموعة نظام الملفات التي يمكن استخدامها pods وحاويات لتشغيل في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.1 |
| يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط | تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.4 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.0 |
| يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب تقييد الخدمات للاستماع فقط على المنافذ المسموح بها لتأمين الوصول إلى مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.1.0 |
| يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة | لا تسمح بإنشاء حاويات مميزة في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.1 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 10.1.0 |
| يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية | لا تسمح بتشغيل الحاويات مع التصعيد امتياز الجذر في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.5 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاص بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.1.0 |
| يجب أن تلبي أجهزة Linux المتطلبات الأساسية لأمان حساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure. | AuditIfNotExists، معطل | 1.5.0 |
| Microsoft Managed Control 1208 - إعدادات التكوين | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1209 - إعدادات التكوين | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1210 - إعدادات التكوين | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1211 - إعدادات التكوين | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| يجب أن تفي الأجهزة التي تعمل بنظام التشغيل Windows بمتطلبات أساس أمان حساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure. | AuditIfNotExists، معطل | 1.0.0 |
الإدارة التلقائية والتطبيق والتحقق
المعرف: NIST SP 800-53 Rev. 5 CM-6 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1212 - إعدادات التكوين | الإدارة / التطبيق / التحقق المركزي الآلي | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
الاستجابة للتغييرات غير المصرح بها
المعرف: NIST SP 800-53 Rev. 5 CM-6 (2) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1213 - إعدادات التكوين | الاستجابة للتغييرات غير المصرح بها | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
الأداء الوظيفي الأدنى
المعرف: NIST SP 800-53 Rev. 5 CM-7 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك | تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي | راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| Microsoft Managed Control 1214 - الأداء الوظيفي الأدنى | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1215 - الأداء الوظيفي الأدنى | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
المراجعة الدورية
المعرف: NIST SP 800-53 Rev. 5 CM-7 (1) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1216 - الأداء الوظيفي الأدنى | المراجعة الدورية | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1217 - الأداء الوظيفي الأدنى | المراجعة الدورية | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
منع تنفيذ البرنامج
المعرف: NIST SP 800-53 Rev. 5 CM-7 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك | تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي | راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية. | AuditIfNotExists، معطل | 3.0.0 |
| التحكم المدار من Microsoft 1218 - الأداء الوظيفي الأدنى | منع تنفيذ البرنامج | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
البرمجيات المعتمدة ؟؟؟ السماح بالاستثناء
المعرف: NIST SP 800-53 Rev. 5 CM-7 (5) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك | تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي | راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية. | AuditIfNotExists، معطل | 3.0.0 |
| التحكم المدار من Microsoft 1219 - الأداء الوظيفي الأدنى | البرامج / القائمة البيضاء المعتمدة | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1220 - الأداء الوظيفي الأدنى | البرامج / القائمة البيضاء المعتمدة | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1221 - الأداء الوظيفي الأدنى | البرامج / القائمة البيضاء المعتمدة | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
مخزون مكونات النظام
المعرف: NIST SP 800-53 Rev. 5 CM-8 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1222 - مخزون مكونات نظام المعلومات | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1223 - مخزون مكونات نظام المعلومات | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1229 - مخزون مكونات نظام المعلومات | لا يوجد محاسبة مكررة للمكونات | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
التحديثات أثناء التثبيت والإزالة
المعرف: NIST SP 800-53 Rev. 5 CM-8 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1224 - مخزون مكونات نظام المعلومات | التحديثات أثناء عمليات التثبيت / الإزالة | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
الصيانة التلقائية
المعرف: NIST SP 800-53 Rev. 5 CM-8 (2) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1225 - مخزون مكونات نظام المعلومات | الصيانة التلقائية | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
الكشف التلقائي عن المكونات غير المصرح به
المعرف: NIST SP 800-53 Rev. 5 CM-8 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1226 - مخزون مكونات نظام المعلومات | الكشف التلقائي عن المكونات غير المصرح بها | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1227 - مخزون مكونات نظام المعلومات | الكشف التلقائي عن المكونات غير المصرح بها | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1241 - البرمجيات التي يثبتها المستخدم | تنبيهات لعمليات التثبيت غير المصرح بها | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
معلومات المساءلة
المعرف: NIST SP 800-53 Rev. 5 CM-8 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1228 - مخزون مكونات نظام المعلومات | معلومات المساءلة | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
خطة إدارة التكوين
المعرف: NIST SP 800-53 Rev. 5 CM-9 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1230 - خطة إدارة التكوين | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1231 - خطة إدارة التكوين | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1232 - خطة إدارة التكوين | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1233 - خطة إدارة التكوين | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
قيود استخدام البرامج
المعرف: NIST SP 800-53 Rev. 5 CM-10 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك | تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي | راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية. | AuditIfNotExists، معطل | 3.0.0 |
| Microsoft Managed Control 1234 - قيود استخدام البرمجيات | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1235 - قيود استخدام البرمجيات | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1236 - قيود استخدام البرمجيات | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
برامج مفتوحة المصدر
المعرف: NIST SP 800-53 Rev. 5 CM-10 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1237 - قيود استخدام البرامج | برامج مفتوحة المصدر | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
البرمجيات التي يثبتها المستخدم
المعرف: NIST SP 800-53 Rev. 5 CM-11 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك | تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي | راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية. | AuditIfNotExists، معطل | 3.0.0 |
| Microsoft Managed Control 1238 - البرمجيات التي يثبتها المستخدم | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1239 - البرمجيات التي يثبتها المستخدم | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1240 - البرمجيات التي يثبتها المستخدم | تطبق Microsoft عنصر تحكم Configuration Management هذا | تحقق | 1.0.0 |
التخطيط لمواجهة المخاطر
النهج والإجراءات
المعرف: NIST SP 800-53 Rev. 5 CP-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1242 - نهج وإجراءات التخطيط لمواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1243 - نهج وإجراءات التخطيط لمواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
خطة مواجهة المخاطر
المعرف: NIST SP 800-53 Rev. 5 CP-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1244 - خطة مواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1245 - خطة مواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1246 - خطة مواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1247 - خطة مواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1248 - خطة مواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1249 - خطة مواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1250 - خطة مواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
التنسيق مع الخطط ذات الصلة
المعرف: NIST SP 800-53 Rev. 5 CP-2 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1251 - خطة مواجهة المخاطر | التنسيق مع الخطط ذات الصلة | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
تخطيط القدرة الإنتاجية
المعرف: NIST SP 800-53 Rev. 5 CP-2 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1252 - خطة الطوارئ | تخطيط القدرة الإنتاجية | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
استئناف المهام ووظائف الأعمال
المعرف: NIST SP 800-53 Rev. 5 CP-2 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1253 - خطة مواجهة المخاطر | استئناف المهام الأساسية / وظائف الأعمال | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1254 - خطة مواجهة المخاطر | استئناف جميع المهام / وظائف الأعمال | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
استئناف المهام ووظائف الأعمال
المعرف: NIST SP 800-53 Rev. 5 CP-2 (5) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1255 - خطة مواجهة المخاطر | مواصلة المهام الأساسية / وظائف الأعمال | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
تحديد الأصول الحرجة
المعرف: NIST SP 800-53 Rev. 5 CP-2 (8) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1256 - خطة مواجهة المخاطر | تحديد الأصول الحرجة | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
التدريب على مواجهة المخاطر
المعرف: NIST SP 800-53 Rev. 5 CP-3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1257 - التدريب على مواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1258 - التدريب على مواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1259 - التدريب على مواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
أحداث محاكاة
المعرف: NIST SP 800-53 Rev. 5 CP-3 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1260 - التدريب على مواجهة المخاطر | أحداث محاكاة | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
اختبار خطة مواجهة المخاطر
المعرف: NIST SP 800-53 Rev. 5 CP-4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1261 - اختبار خطة مواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1262 - اختبار خطة مواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1263 - اختبار خطة مواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
التنسيق مع الخطط ذات الصلة
المعرف: NIST SP 800-53 Rev. 5 CP-4 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1264 - خطة مواجهة المخاطر | التنسيق مع الخطط ذات الصلة | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
موقع معالجة بديل
المعرف: NIST SP 800-53 Rev. 5 CP-4 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1265 - اختبار خطة مواجهة المخاطر | موقع معالجة بديل | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1266 - اختبار خطة مواجهة المخاطر | موقع معالجة بديل | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
موقع تخزين بديل
المعرف: NIST SP 800-53 Rev. 5 CP-6 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB | تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL | تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين التخزين الجغرافي المتكرر لحسابات التخزين | استخدام التكرار الجغرافي لإنشاء تطبيقات متوفرة بشكل كبير | المراجعة، معطلة | 1.0.0 |
| ينبغي تمكين النسخ الاحتياطي الجغرافي المتكرر لقواعد بيانات Azure SQL | يقوم هذا النهج بمراجعة أية Azure SQL Database مع عدم تمكين النسخ الاحتياطي الجغرافي المتكرر على المدى الطويل. | AuditIfNotExists، معطل | 2.0.0 |
| Microsoft Managed Control 1267 - موقع تخزين بديل | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1268 - موقع تخزين بديل | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
الفصل عن الموقع الأساسي
المعرف: NIST SP 800-53 Rev. 5 CP-6 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB | تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL | تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين التخزين الجغرافي المتكرر لحسابات التخزين | استخدام التكرار الجغرافي لإنشاء تطبيقات متوفرة بشكل كبير | المراجعة، معطلة | 1.0.0 |
| ينبغي تمكين النسخ الاحتياطي الجغرافي المتكرر لقواعد بيانات Azure SQL | يقوم هذا النهج بمراجعة أية Azure SQL Database مع عدم تمكين النسخ الاحتياطي الجغرافي المتكرر على المدى الطويل. | AuditIfNotExists، معطل | 2.0.0 |
| التحكم المدار من Microsoft 1269 - موقع تخزين بديل | الفصل عن الموقع الأساسي | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
أهداف وقت الاسترداد ونقطة الاسترداد
المعرف: NIST SP 800-53 Rev. 5 CP-6 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1270 - موقع تخزين بديل | وقت الاسترداد / أهداف النقطة | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
إمكانية الوصول
المعرف: NIST SP 800-53 Rev. 5 CP-6 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1271 - موقع تخزين بديل| إمكانية الوصول لذوي الاحتياجات الخاصة | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
موقع معالجة بديل
المعرف: NIST SP 800-53 Rev. 5 CP-7 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الأجهزة الظاهرية دون تكوين استرداد بعد عطل فادح | مراجعة الأجهزة الظاهرية التي لم يتم تكوين استردادها بعد عطل فادح. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Microsoft Managed Control 1272 - موقع معالجة بديل | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1273 - موقع معالجة بديل | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1274 - موقع معالجة بديل | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
الفصل عن الموقع الأساسي
المعرف: NIST SP 800-53 Rev. 5 CP-7 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1275 - موقع تخزين بديل | الفصل عن الموقع الأساسي | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
إمكانية الوصول
المعرف: NIST SP 800-53 Rev. 5 CP-7 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1276 - موقع معالجة بديل | إمكانية الوصول لذوي الاحتياجات الخاصة | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
أولوية الخدمة
المعرف: NIST SP 800-53 Rev. 5 CP-7 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1277 - موقع معالجة بديل | أولوية الخدمة | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
التحضير للاستخدام
المعرف: NIST SP 800-53 Rev. 5 CP-7 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1278 - موقع معالجة بديل | التحضير للاستخدام | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
خدمات الاتصالات
المعرف: NIST SP 800-53 Rev. 5 CP-8 الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1279 - خدمات الاتصالات | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
أولوية أحكام الخدمة
المعرف: NIST SP 800-53 Rev. 5 CP-8 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1280 - خدمات الاتصالات | أولوية أحكام الخدمة | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1281 - خدمات الاتصالات | أولوية أحكام الخدمة | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
نقاط العطل المفردة
المعرف: NIST SP 800-53 Rev. 5 AU-8 (2) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1282 - خدمات الاتصالات | نقاط العطل المفردة | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
فصل الموفّرين الأساسيين والمناوبين
المعرف: NIST SP 800-53 Rev. 5 AU-8 (3) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1283 - خدمات الاتصالات | فصل الموفّرين الأساسيين / المناوبين | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
خطة الموفر لمواجهة المخاطر
المعرف: NIST SP 800-53 Rev. 5 CP-8 (4) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1284 - خدمات الاتصالات | خطة الموفر لمواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1285 - خدمات الاتصالات | خطة الموفر لمواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1286 - خدمات الاتصالات | خطة الموفر لمواجهة المخاطر | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
النسخ الاحتياطي للنظام
المعرف: NIST SP 800-53 Rev. 5 CP-9 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية | تأكد من حماية الأجهزة الظاهرية Azure الخاصة بك عن طريق تمكين النسخ الاحتياطي Azure. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB | تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL | تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين حماية الحذف في خزائن المفاتيح | يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب تمكين الحذف المبدئي في Key vaults | يؤدي حذف key vault من دون حذف مبدئي ممكن إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في key vault نهائيًا. يمكن أن يؤدي الحذف العرضي لمخزن البيانات السرية إلى فقدان دائم للبيانات. يتيح لك الحذف الناعم استرداد مخزن مفاتيح تم حذفها عن طريق الخطأ لفترة استبقاء قابلة للتكوين. | التدقيق، الرفض، التعطيل | 3.0.0 |
| Microsoft Managed Control 1287 - النسخ الاحتياطي لنظام المعلومات | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1288 - النسخ الاحتياطي لنظام المعلومات | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1289 - النسخ الاحتياطي لنظام المعلومات | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1290 - النسخ الاحتياطي لنظام المعلومات | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
اختبار الموثوقية والنزاهة
المعرف: NIST SP 800-53 Rev. 5 CP-9 (1) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1291 - النسخ الاحتياطي لنظام المعلومات | اختبار الموثوقية / النزاهة | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
استعادة الاختبار باستخدام أخذ العينات
المعرف: NIST SP 800-53 Rev. 5 CP-9 (2) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1292 - النسخ الاحتياطي لنظام المعلومات | استعادة الاختبار باستخدام أخذ العينات | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
تخزين منفصل للمعلومات الهامة
المعرف: NIST SP 800-53 Rev. 5 CP-9 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1293 - النسخ الاحتياطي لنظام المعلومات | تخزين منفصل للمعلومات الهامة | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
النقل إلى موقع التخزين البديل
المعرف: NIST SP 800-53 Rev. 5 CP-9 (5) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1294 - النسخ الاحتياطي لنظام المعلومات | النقل إلى موقع التخزين البديل | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
استعادة النظام وإعادة تكوينه
المعرف: NIST SP 800-53 Rev. 5 CP-10 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1295 - استعادة نظم المعلومات وإعادة تكوينها | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
استرداد المعاملة
المعرف: NIST SP 800-53 Rev. 5 CP-10 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1296 - استعادة نظم المعلومات وإعادة تكوينها | استرداد المعاملة | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
الاستعادة خلال فترة زمنية
المعرف: NIST SP 800-53 Rev. 5 CP-10 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1297 - استعادة نظم المعلومات وإعادة تكوينها | الاستعادة خلال فترة زمنية | تطبق Microsoft عنصر التحكم في التخطيط لمواجهة المخاطر هذا | تحقق | 1.0.0 |
التعريف والمصادقة
النهج والإجراءات
المعرف: NIST SP 800-53 Rev. 5 IA-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1298 - نهج وإجراءات تحديد الهوية والتوثيق | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1299 - نهج وإجراءات تحديد الهوية والتوثيق | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
التعريف والمصادقة (المستخدمون التنظيميون)
المعرف: NIST SP 800-53 Rev. 5 IA-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| التحكم المدار من Microsoft 1300 - تعريف ومصادقة المستخدم | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
المصادقة متعددة العوامل إلى الحسابات المميزة
المعرف: NIST SP 800-53 Rev. 5 IA-2 (1)الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| التحكم المدار من Microsoft 1301 - التعريف والمصادقة للمستخدم | وصول الشبكة إلى الحسابات المميزة | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1303 - التعريف والمصادقة للمستخدم | الوصول المحلي إلى الحسابات المميزة | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
المصادقة متعددة العوامل إلى الحسابات غير المميزة
المعرف: NIST SP 800-53 Rev. 5 IA-2 (2)الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| التحكم المدار من Microsoft 1302 - التعريف والمصادقة للمستخدم | وصول الشبكة إلى الحسابات غير المميزة | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1304 - التعريف والمصادقة للمستخدم | الوصول المحلي إلى الحسابات غير المميزة | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
مصادقة فردية مع مصادقة المجموعة
المعرف: NIST SP 800-53 Rev. 5 IA-2 (5)الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1305 - التعريف والمصادقة | مصادقة المجموعة | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
الوصول إلى الحسابات مقاومة إعادة التشغيل
المعرف: NIST SP 800-53 Rev. 5 IA-2 (8) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1306 - التعريف والمصادقة للمستخدم | وصول الشبكة إلى الحسابات المميزة - إعادة التشغيل... | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1307 - التعريف والمصادقة للمستخدم | وصول الشبكة إلى الحسابات غير المميزة - إعادة التشغيل... | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
قبول بيانات اعتماد التحقق من الهوية الشخصية
المعرف: NIST SP 800-53 Rev. 5 IA-2 (12) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1309 - التعريف والمصادقة | قبول بيانات اعتماد التحقق من الهوية الشخصية | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
تعريف ومصادقة الجهاز
المعرف: NIST SP 800-53 Rev. 5 IA-3 الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1310 - تعريف ومصادقة الجهاز | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
إدارة المعرفات
المعرف: NIST SP 800-53 Rev. 5 IA-4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| Microsoft Managed Control 1311 - إدارة المعرفات | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1312 - إدارة المعرفات | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1313 - إدارة المعرفات | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1314 - إدارة المعرفات | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1315 - إدارة المعرفات | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
تعريف حالة المستخدم
المعرف: NIST SP 800-53 Rev. 5 IA-4 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1316 - إدارة المعرفات | تعريف حالة المستخدم | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
Authenticator إدارة
المعرف: NIST SP 800-53 Rev. 5 IA-5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| تدقيق أجهزة Linux التي ليس لديها أذونات ملف passwd المعينة على 0644 | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين أجهزة Linux التي لا تحتوي على أذونات ملف passwd على 0644 | AuditIfNotExists، معطل | 1.4.0 |
| تدقيق أجهزة Windows التي لا تخزن كلمات المرور باستخدام تشفير عكسي | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت الأجهزة التي تعمل بنظام Windows لا تخزن كلمات المرور باستخدام تشفير قابل للعكس | AuditIfNotExists، معطل | 1.0.0 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows | تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Microsoft Managed Control 1317 - إدارة المصدّق | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1318 - إدارة المصدّق | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1319 - إدارة المصدّق | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1320 - إدارة المصدّق | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1321 - إدارة المصدّق | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1322 - إدارة المصدّق | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1323 - إدارة المصدّق | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1324 - إدارة المصدّق | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1325 - إدارة المصدّق | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1326 - إدارة المصدّق | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
المصادقة المستندة إلى كلمة المرور
المعرف: NIST SP 800-53 Rev. 5 IA-5 (1)الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 1.3.0 |
| تدقيق أجهزة Linux التي ليس لديها أذونات ملف passwd المعينة على 0644 | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين أجهزة Linux التي لا تحتوي على أذونات ملف passwd على 0644 | AuditIfNotExists، معطل | 1.4.0 |
| تدقيق أجهزة Windows التي تسمح بإعادة استخدام كلمات المرور بعد العدد المحدد من كلمات المرور الفريدة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت أجهزة Windows تسمح بإعادة استخدام كلمات المرور بعد العدد المحدد من كلمات المرور الفريدة. القيمة الافتراضية لكلمات المرور الفريدة هي 24 | AuditIfNotExists، معطل | 1.1.0 |
| تدقيق أجهزة Windows التي لم يتم تعيين الحد الأقصى لعمر كلمة المرور على عدد محدد من الأيام | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كانت أجهزة Windows التي لا تحتوي على الحد الأقصى لعمر كلمة المرور معينة على عدد محدد من الأيام. القيمة الافتراضية للحد الأقصى لعمر كلمة المرور هي 70 يوما | AuditIfNotExists، معطل | 1.1.0 |
| تدقيق أجهزة Windows التي لا تحتوي على الحد الأدنى لعمر كلمة المرور المعين لعدد محدد من الأيام | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين الحد الأدنى لعمر كلمة المرور على عدد محدد من الأيام في أجهزة Windows التي لا تحتوي على الحد الأدنى لعمر كلمة المرور. القيمة الافتراضية للحد الأدنى لعمر كلمة المرور هي يوم واحد | AuditIfNotExists، معطل | 1.1.0 |
| تدقيق Windows الأجهزة التي ليس لديها إعداد تعقيد كلمة المرور ممكن | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة في حالة تمكين الأجهزة التي تعمل بنظام التشغيل Windows التي لا تحتوي على إعداد تعقيد كلمة المرور | AuditIfNotExists، معطل | 1.0.0 |
| تدقيق أجهزة Windows التي لا تقيد الحد الأدنى لطول كلمة المرور بعدد محدد من الأحرف | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كانت أجهزة Windows التي لا تقيد الحد الأدنى لطول كلمة المرور لعدد محدد من الأحرف. القيمة الافتراضية للحد الأدنى لطول كلمة المرور هي 14 حرفا | AuditIfNotExists، معطل | 1.1.0 |
| تدقيق أجهزة Windows التي لا تخزن كلمات المرور باستخدام تشفير عكسي | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت الأجهزة التي تعمل بنظام Windows لا تخزن كلمات المرور باستخدام تشفير قابل للعكس | AuditIfNotExists، معطل | 1.0.0 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows | تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| التحكم المدار من Microsoft 1327 - إدارة المصدّق | المصادقة المستندة إلى كلمة المرور | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1328 - إدارة المصدّق | المصادقة المستندة إلى كلمة المرور | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1329 - إدارة المصدّق | المصادقة المستندة إلى كلمة المرور | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1330 - إدارة المصدّق | المصادقة المستندة إلى كلمة المرور | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1331 - إدارة المصدّق | المصادقة المستندة إلى كلمة المرور | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1332 - إدارة المصدّق | المصادقة المستندة إلى كلمة المرور | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1338 - إدارة المصدّق | الدعم التلقائي لتحديد قوة كلمة المرور | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
المصادقة المستندة إلى المفتاح العام
المعرف: NIST SP 800-53 Rev. 5 IA-5 (2)الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1333 - إدارة المصدّق | المصادقة المستندة إلى Pki | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1334 - إدارة المصدّق | المصادقة المستندة إلى Pki | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1335 - إدارة المصدّق | المصادقة المستندة إلى Pki | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1336 - إدارة المصدّق | المصادقة المستندة إلى Pki | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
حماية المصادقين
المعرف: NIST SP 800-53 Rev. 5 IA-5 (6)الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1339 - إدارة المصدّق | حماية المصادقين | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
عدم وجود مصادقين ثابتين مضمنين غير مشفرين
المعرف: NIST SP 800-53 Rev. 5 IA-5 (7)الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1340 - إدارة المصدّق | عدم وجود مصادقين ثابتين مضمنين غير مشفرين | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
حسابات نظام متعددة
المعرف: NIST SP 800-53 Rev. 5 IA-5 (8) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1341 - إدارة المصدّق | حسابات نظام معلومات متعددة | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
انتهاء صلاحية المصادقة المخزنة مؤقتًا
المعرف: NIST SP 800-53 Rev. 5 IA-5 (13) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1343 - إدارة المصدّق | انتهاء صلاحية المصادقة المخزنة مؤقتًا | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
ملاحظات المصادقة
المعرف: NIST SP 800-53 Rev. 5 IA-6 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1344 - تعليقات المصدّق | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
مصادقة وحدة التشفير
المعرف: NIST SP 800-53 Rev. 5 IA-7 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1345 - مصادقة وحدة التشفير | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
التعريف والمصادقة (المستخدمون غير التنظيميين)
المعرف: NIST SP 800-53 Rev. 5 IA-8 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1346 - التعريف والمصادقة (المستخدمون غير التنظيميين) | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
قبول بيانات اعتماد التحقق من الهوية الشخصية من وكالات أخرى
المعرف: NIST SP 800-53 Rev. 5 IA-8 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1347 - التعريف والمصادقة (المستخدمون غير التنظيميون) | قبول بيانات اعتماد التحقق من الهوية الشخصية... | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
قبول المصدقين الخارجيين
المعرف: NIST SP 800-53 Rev. 5 IA-8 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1348 - التعريف والمصادقة (المستخدمون غير التنظيميون) | قبول بيانات جهة خارجية... | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1349 - التعريف والمصادقة (المستخدمون غير التنظيميون) | استخدام المنتجات المعتمدة من Ficam | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
استخدام ملفات التعريف المعرفة
المعرف: NIST SP 800-53 Rev. 5 IA-8 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1350 - التعريف والمصادقة (المستخدمون التنظيميون) | استخدام ملفات تعريف Ficam الصادرة | تطبق Microsoft عنصر التحكم في التعريف والمصادقة هذا | تحقق | 1.0.0 |
الاستجابة للحوادث
النهج والإجراءات
المعرف: NIST SP 800-53 Rev. 5 IR-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1351 - نهج وإجراءات الاستجابة للحوادث | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| Microsoft Managed Control 1352 - نهج وإجراءات الاستجابة للحوادث | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
التدريب على الاستجابة للحوادث
المعرف: NIST SP 800-53 Rev. 5 IR-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1353 - التدريب على الاستجابة للحوادث | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| Microsoft Managed Control 1354 - التدريب على الاستجابة للحوادث. | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| Microsoft Managed Control 1355 - التدريب على الاستجابة للحوادث. | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
أحداث محاكاة
المعرف: NIST SP 800-53 Rev. 5 IR-2 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1356 - التدريب على الاستجابة للأحداث | أحداث محاكاة | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
بيئات التدريب الآلي
المعرف: NIST SP 800-53 Rev. 5 IR-2 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1357 - أحداث محاكاة| بيئات التدريب الآلي | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
اختبار الاستجابة للحوادث
المعرف: NIST SP 800-53 Rev. 5 IR-3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1358 - اختبار الاستجابة للحوادث | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
التنسيق مع الخطط ذات الصلة
المعرف: NIST SP 800-53 Rev. 5 IR-3 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1359 - اختبار الاستجابة للحوادث | التنسيق مع الخطط ذات الصلة | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
معالجة الحوادث
المعرف: NIST SP 800-53 Rev. 5 IR-4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| Microsoft Managed Control 1360 - معالجة الحوادث | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| Microsoft Managed Control 1361 - معالجة الحوادث | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| Microsoft Managed Control 1362 - معالجة الحوادث | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
عمليات معالجة الحوادث التلقائية
المعرف: NIST SP 800-53 Rev. 5 IR-4 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1363 - معالجة الحوادث | عمليات معالجة الحوادث التلقائية | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
إعادة التكوين الديناميكي
المعرف: NIST SP 800-53 Rev. 5 IR-4 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1364 - معالجة الحوادث | إعادة التكوين الديناميكي | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
استمرارية العمليات
المعرف: NIST SP 800-53 Rev. 5 IR-4 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1365 - معالجة الحوادث | استمرارية العمليات | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
ارتباط المعلومات
المعرف: NIST SP 800-53 Rev. 5 IR-4 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1366 - معالجة الحوادث | ارتباط المعلومات | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
تهديدات من الداخل
المعرف: NIST SP 800-53 Rev. 5 IR-4 (6) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1367 - معالجة الحوادث | التهديدات الداخلية - قدرات محددة | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
الارتباط مع المنظمات الخارجية
المعرف: NIST SP 800-53 Rev. 5 IR-4 (8) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1368 - معالجة الحوادث | الارتباط مع المنظمات الخارجية | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
مراقبة الحوادث
المعرف: NIST SP 800-53 Rev. 5 IR-5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| Microsoft Managed Control 1369 - مراقبة الحوادث | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
التتبع التلقائي وجمع البيانات والتحليل
المعرف: NIST SP 800-53 Rev. 5 IR-5 (1) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1370 - مراقبة الحوادث | التتبع / جمع البيانات / التحليل التلقائي | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
الإبلاغ عن الحوادث
المعرف: NIST SP 800-53 Rev. 5 IR-6 الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1371 - الإبلاغ عن الحوادث | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| Microsoft Managed Control 1372 - الإبلاغ عن الحوادث | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
الإبلاغ الآلي
المعرف: NIST SP 800-53 Rev. 5 IR-6 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1373 - الإبلاغ عن الحوادث | الإبلاغ الآلي | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
مواطن الضعف المتعلقة بالأحداث
المعرف: NIST SP 800-53 Rev. 5 IR-6 (2) الملكية: العميل
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
المساعدة في الاستجابة للحوادث
المعرف: NIST SP 800-53 Rev. 5 IR-7 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1374 - المساعدة في الاستجابة للحوادث | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
دعم التشغيل التلقائي لتوافر المعلومات / الدعم
المعرف: NIST SP 800-53 Rev. 5 IR-7 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1375 - المساعدة في الاستجابة للحوادث | دعم التشغيل التلقائي لتوافر المعلومات / الدعم | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
التنسيق مع مقدمي الخدمات الخارجيين
المعرف: NIST SP 800-53 Rev. 5 IR-7 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1376 - المساعدة في الاستجابة للحوادث | التنسيق مع مقدمي الخدمات الخارجيين | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1377 - المساعدة في الاستجابة للحوادث | التنسيق مع مقدمي الخدمات الخارجيين | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
خطة الاستجابة للحوادث
المعرف: NIST SP 800-53 Rev. 5 IR-8 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1378 - خطة الاستجابة للحوادث | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| Microsoft Managed Control 1379 - خطة الاستجابة للحوادث | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| Microsoft Managed Control 1380 - خطة الاستجابة للحوادث | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| Microsoft Managed Control 1381 - خطة الاستجابة للحوادث | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| Microsoft Managed Control 1382 - خطة الاستجابة للحوادث | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| Microsoft Managed Control 1383 - خطة الاستجابة للحوادث | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
الاستجابة لتسرب المعلومات
المعرف: NIST SP 800-53 Rev. 5 IR-9 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1384 - الاستجابة لتسرب المعلومات | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| Microsoft Managed Control 1385 - الاستجابة لتسرب المعلومات | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| Microsoft Managed Control 1386 - الاستجابة لتسرب المعلومات | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| Microsoft Managed Control 1387 - الاستجابة لتسرب المعلومات | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| Microsoft Managed Control 1388 - الاستجابة لتسرب المعلومات | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| Microsoft Managed Control 1389 - الاستجابة لتسرب المعلومات | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1390 - الاستجابة لتسرب المعلومات | الموظفون المسؤولون | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
التدريب
المعرف: NIST SP 800-53 Rev. 5 IR-9 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1391 - الاستجابة لتسرب المعلومات | التدريب | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
عمليات ما بعد التسرب
المعرف: NIST SP 800-53 Rev. 5 IR-9 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1392 - الاستجابة لتسرب المعلومات | عمليات ما بعد التسرب | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
التعرض للموظفين غير المصرح لهم
المعرف: NIST SP 800-53 Rev. 5 IR-9 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1393 - الاستجابة لتسرب المعلومات | التعرض للموظفين غير المصرح لهم | تطبق Microsoft عنصر التحكم هذا في الاستجابة للحوادث | تحقق | 1.0.0 |
صيانة
النهج والإجراءات
المعرف: NIST SP 800-53 Rev. 5 MA-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1394 - نهج وإجراءات صيانة النظام | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1395 - نهج وإجراءات صيانة النظام | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
الصيانة الخاضعة للرقابة
المعرف: NIST SP 800-53 Rev. 5 MA-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1396 - الصيانة الخاضعة للرقابة | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1397 - الصيانة الخاضعة للرقابة | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1398 - الصيانة الخاضعة للرقابة | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1399 - الصيانة الخاضعة للرقابة | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1400 - الصيانة الخاضعة للرقابة | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1401 - الصيانة الخاضعة للرقابة | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
أنشطة الصيانة الآلية
المعرف: NIST SP 800-53 Rev. 5 MA-2 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1402 - الصيانة الخاضعة للرقابة | أنشطة الصيانة الآلية | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1403 - الصيانة الخاضعة للرقابة | أنشطة الصيانة الآلية | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
أدوات الصيانة
المعرف: NIST SP 800-53 Rev. 5 MA-3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1404 - أدوات الصيانة | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
أدوات الفحص
المعرف: NIST SP 800-53 Rev. 5 MA-3 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1405 - أدوات الصيانة | أدوات الفحص | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
فحص الوسائط
المعرف: NIST SP 800-53 Rev. 5 MA-3 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1406 - أدوات الصيانة | فحص الوسائط | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
منع الإزالة غير المصرح بها
المعرف: NIST SP 800-53 Rev. 5 MA-3 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1407 - أدوات الصيانة | منع الإزالة غير المصرح بها | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1408 - أدوات الصيانة | منع الإزالة غير المصرح بها | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1409 - أدوات الصيانة | منع الإزالة غير المصرح بها | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1410 - أدوات الصيانة | منع الإزالة غير المصرح بها | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
الصيانة غير المحلية
المعرف: NIST SP 800-53 Rev. 5 MA-4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1411 - الصيانة عن بُعد | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1412 - الصيانة عن بُعد | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1413 - الصيانة عن بُعد | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1414 - الصيانة عن بُعد | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1415 - الصيانة عن بُعد | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
عمليات الأمان والتعقيم المماثلة
المعرف: NIST SP 800-53 Rev. 5 MA-4 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1417 - الصيانة عن بعد | عمليات الأمان / التعقيم المماثلة | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1418 - الصيانة غير المحلية | عمليات الأمان / التعقيم المماثلة | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
حماية التشفير
المعرف: NIST SP 800-53 Rev. 5 MA-4 (6) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1419 - الصيانة غير المحلية | حماية التشفير | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
موظفو الصيانة
المعرف: NIST SP 800-53 Rev. 5 MA-5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1420 - موظفو الصيانة | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1421 - موظفو الصيانة | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1422 - موظفو الصيانة | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
الأفراد الذين لا يتمتعون بإمكانية الوصول المناسبة
المعرف: NIST SP 800-53 Rev. 5 MA-5 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1423 - موظفو الصيانة | الأفراد الذين لا يتمتعون بإمكانية الوصول المناسبة | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1424 - موظفو الصيانة | الأفراد الذين لا يتمتعون بإمكانية الوصول المناسبة | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
الصيانة في الوقت المناسب
المعرف: NIST SP 800-53 Rev. 5 MA-6 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1425 - الصيانة في الوقت المناسب | تطبق Microsoft عنصر تحكم الصيانة هذا | تحقق | 1.0.0 |
حماية الوسائط
النهج والإجراءات
المعرف: NIST SP 800-53 Rev. 5 MP-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1426 - نهج وإجراءات حماية الوسائط . | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1427 - نهج وإجراءات حماية الوسائط | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
الوصول إلى الوسائط
المعرف: NIST SP 800-53 Rev. 5 MP-2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1428 - الوصول إلى الوسائط | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
تمييز الوسائط
المعرف: NIST SP 800-53 Rev. 5 MP-3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1429 - تسمية الوسائط | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1430 - تسمية الوسائط | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
تخزين الوسائط
المعرف: NIST SP 800-53 Rev. 5 MP-4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1431 - تمييز الوسائط | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1432 - تمييز الوسائط | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
نقل الوسائط
المعرف: NIST SP 800-53 Rev. 5 MP-5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1433 - نقل الوسائط | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1434 - نقل الوسائط | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1435 - نقل الوسائط | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1436 - نقل الوسائط | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
تعقيم الوسائط
المعرف: NIST SP 800-53 Rev. 5 MP-6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1438 - تعقيم الوسائط والتخلص منها | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1439 - تعقيم الوسائط والتخلص منها | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
المراجعة والموافقة والتعقب والتوثيق والتحقق
المعرف: NIST SP 800-53 Rev. 5 MP-6 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1440 - تعقيم الوسائط | مراجعة / موافقة / تعقب / توثيق / تحقق | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
اختبار المعدات
المعرف: NIST SP 800-53 Rev. 5 MP-6 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1441 - تعقيم الوسائط | اختبار المعدات | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
التقنيات غير الإتلافية
المعرف: NIST SP 800-53 Rev. 5 MP-6 (3) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1442 - تعقيم الوسائط والتخلص منها | التقنيات غير الإتلافية | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
استخدام الوسائط
المعرف: NIST SP 800-53 Rev. 5 MP-7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1443 - استخدام الوسائط | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1444 - استخدام الوسائط | حظر الاستخدام بدون مالك | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
الحماية المادية والبيئية
النهج والإجراءات
المعرف: NIST SP 800-53 Rev. 5 PE-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1445 - نهج وإجراءات الحماية المادية والبيئية | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1446 - نهج وإجراءات الحماية المادية والبيئية | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
أذونات الوصول الفعلي
المعرف: NIST SP 800-53 Rev. 5 PE-2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1447 - أذونات الوصول الفعلي | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1448 - أذونات الوصول الفعلي | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1449 - أذونات الوصول الفعلي | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1450 - أذونات الوصول الفعلي | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
التحكم في الوصول الفعلي
المعرف: NIST SP 800-53 Rev. 5 PE-3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1451 - التحكم في الوصول الفعلي | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1452 - التحكم في الوصول الفعلي | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1453 - التحكم في الوصول الفعلي | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1454 - التحكم في الوصول الفعلي | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1455 - التحكم في الوصول الفعلي | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1456 - التحكم في الوصول الفعلي | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1457 - التحكم في الوصول الفعلي | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
الوصول إلى النظام
المعرف: NIST SP 800-53 Rev. 5 PE-3 (1) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1458 - التحكم في الوصول الفعلي | الوصول إلى نظام المعلومات | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
التحكم في الوصول إلى الإرسال
المعرف: NIST SP 800-53 Rev. 5 PE-4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1459 - التحكم في الوصول إلى وسيط الإرسال | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
التحكم في الوصول لأجهزة الإخراج
المعرف: NIST SP 800-53 Rev. 5 PE-5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1460 - التحكم في الوصول لأجهزة الإخراج | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
مراقبة الوصول الفعلي
المعرف: NIST SP 800-53 Rev. 5 PE-6 الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1461 - مراقبة الوصول الفعلي | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1462 - مراقبة الوصول الفعلي | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1463 - مراقبة الوصول الفعلي | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
أجهزة إنذار التطفل ومعدات المراقبة
المعرف: NIST SP 800-53 Rev. 5 PE-6 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1464 - مراقبة الوصول الفعلي | أجهزة إنذار التطفل / معدات المراقبة | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
مراقبة الوصول الفعلي للأنظمة
المعرف: NIST SP 800-53 Rev. 5 PE-6 (4) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1465 - مراقبة الوصول الفعلي | مراقبة الوصول الفعلي إلى نظم المعلومات | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
سجلات وصول الزوار
المعرف: NIST SP 800-53 Rev. 5 PE-8 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1466 - سجلات وصول الزوار | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1467 - سجلات وصول الزوار | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
صيانة ومراجعة السجلات الآلية
المعرف: NIST SP 800-53 Rev. 5 PE-8 (1) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1468 - سجلات وصول الزوار | صيانة / مراجعة السجلات الآلية | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
معدات الطاقة والكابلات
المعرف: NIST SP 800-53 Rev. 5 PE-9 الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1469 - معدات الطاقة والكابلات | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
إيقاف تشغيل الطوارئ
المعرف: NIST SP 800-53 Rev. 5 PE-10 الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1470 - إيقاف تشغيل الطوارئ | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1471 - إيقاف تشغيل الطوارئ | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1472 - إيقاف تشغيل الطوارئ | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
قوة الطوارئ
المعرف: NIST SP 800-53 Rev. 5 PE-11 الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1473 - قوة الطوارئ | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
موفر الطاقة البديل الحد الأدنى من القدرة التشغيلية
المعرف: NIST SP 800-53 Rev. 5 PE-11 (1) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1474 - قوة الطوارئ | مصدر طاقة بديل طويل الأجل - قدرة تشغيلية دنيا | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
إضاءة الطوارئ
المعرف: NIST SP 800-53 Rev. 5 PE-12 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1475 - إضاءة الطوارئ | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
الحماية من الحريق
المعرف: NIST SP 800-53 Rev. 5 PE-13 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1476 - الحماية من الحريق | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
أنظمة الكشف التنشيط والإعلام التلقائي
المعرف: NIST SP 800-53 Rev. 5 PE-13 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1477 - الحماية من الحريق | أجهزة / أنظمة الكشف | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
أنظمة المنع التنشيط والإعلام التلقائي
المعرف: NIST SP 800-53 Rev. 5 PE-13 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1478 - الحماية من الحريق | أجهزة / أنظمة المنع | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1479 - الحماية من الحريق | أنظمة إخماد الحرائق الآلية | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
الضوابط البيئية
المعرف: NIST SP 800-53 Rev. 5 PE-14 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1480 - التحكم في درجة الحرارة والرطوبة | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1481 - التحكم في درجة الحرارة والرطوبة | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
المراقبة باستخدام أجهزة الإنذار والإشعارات
المعرف: NIST SP 800-53 Rev. 5 PE-14 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1482 - التحكم في درجة الحرارة والرطوبة | المراقبة باستخدام أجهزة الإنذار / الإشعارات | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
الحماية من أضرار المياه
المعرف: NIST SP 800-53 Rev. 5 PE-15 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1483 - الحماية من أضرار المياه | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
الدعم الآلي
المعرف: NIST SP 800-53 Rev. 5 PE-15 (1)الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1484 - الحماية من أضرار المياه | دعم التشغيل التلقائي | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
التسليم والإزالة
المعرف: NIST SP 800-53 Rev. 5 PE-16 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1485 - التسليم والإزالة | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
موقع عمل بديل
المعرف: NIST SP 800-53 Rev. 5 PE-17 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1486 - موقع عمل بديل | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1487 - موقع عمل بديل | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
| Microsoft Managed Control 1488 - موقع عمل بديل | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
موقع مكونات النظام
المعرف: NIST SP 800-53 Rev. 5 PE-18 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1489 - موقع مكونات نظام المعلومات | تطبق Microsoft هذا التحكم في الحماية المادية والبيئية | تحقق | 1.0.0 |
التخطيط
النهج والإجراءات
المعرف: NIST SP 800-53 Rev. 5 PL-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1490 - نهج وإجراءات التخطيط الأمني | تطبق Microsoft عنصر تحكم التخطيط هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1491 - نهج وإجراءات التخطيط لمواجهة المخاطر | تطبق Microsoft عنصر تحكم التخطيط هذا | تحقق | 1.0.0 |
خطط أمان النظام والخصوصية
المعرف: NIST SP 800-53 Rev. 5 PL-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1492 - خطة أمان النظام | تطبق Microsoft عنصر تحكم التخطيط هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1493 - خطة أمان النظام | تطبق Microsoft عنصر تحكم التخطيط هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1494 - خطة أمان النظام | تطبق Microsoft عنصر تحكم التخطيط هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1495 - خطة أمان النظام | تطبق Microsoft عنصر تحكم التخطيط هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1496 - خطة أمان النظام | تطبق Microsoft عنصر تحكم التخطيط هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1497 - خطة أمان النظام | خطة / تنسيق مع الكيانات التنظيمية الأخرى | تطبق Microsoft عنصر تحكم التخطيط هذا | تحقق | 1.0.0 |
قواعد السلوك
المعرف: NIST SP 800-53 Rev. 5 PL-4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1498 - قواعد السلوك | تطبق Microsoft عنصر تحكم التخطيط هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1499 - قواعد السلوك | تطبق Microsoft عنصر تحكم التخطيط هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1500 - قواعد السلوك | تطبق Microsoft عنصر تحكم التخطيط هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1501 - قواعد السلوك | تطبق Microsoft عنصر تحكم التخطيط هذا | تحقق | 1.0.0 |
قيود استخدام الوسائط الاجتماعية والموقع /التطبيق الخارجي
المعرف: NIST SP 800-53 Rev. 5 PL-4 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1502 - قواعد السلوك | قيود وسائل التواصل الاجتماعي والشبكات | تطبق Microsoft عنصر تحكم التخطيط هذا | تحقق | 1.0.0 |
بنيات الأمان والخصوصية
المعرف: NIST SP 800-53 Rev. 5 PL-8 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1503 - هندسة أمن المعلومات | تطبق Microsoft عنصر تحكم التخطيط هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1504 - هندسة أمن المعلومات | تطبق Microsoft عنصر تحكم التخطيط هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1505 - هندسة أمن المعلومات | تطبق Microsoft عنصر تحكم التخطيط هذا | تحقق | 1.0.0 |
أمن الموظفين
النهج والإجراءات
المعرف: NIST SP 800-53 Rev. 5 PS-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1506 - نهج وإجراءات أمن الموظفين | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1507 - نهج وإجراءات أمن الموظفين | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
تحديد مخاطر الموقف
المعرف: NIST SP 800-53 Rev. 5 PS-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1508 - تصنيف الموضع | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1509 - تصنيف الموضع | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1510 - تصنيف الموضع | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
فحص الموظفين
المعرف: NIST SP 800-53 Rev. 5 PS-3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1511 - فحص الموظفين | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1512 - فحص الموظفين | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
المعلومات التي تتطلب تدابير حماية خاصة
المعرف: NIST SP 800-53 Rev. 5 PS-3 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1513 - فحص الموظفين | المعلومات باستخدام تدابير الحماية الخاصة | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1514 - فحص الموظفين | المعلومات باستخدام تدابير الحماية الخاصة | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
إنهاء خدمة الموظفين
المعرف: NIST SP 800-53 Rev. 5 PS-4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1515 - إنهاء خدمة الموظفين | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1516 - إنهاء خدمة الموظفين | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1517 - إنهاء خدمة الموظفين | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1518 - إنهاء خدمة الموظفين | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1519 - إنهاء خدمة الموظفين | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1520 - إنهاء خدمة الموظفين | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
الإجراءات التلقائية
المعرف: NIST SP 800-53 Rev. 5 PS-4 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1521 - إقالة العاملين | الإعلام التلقائي | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
نقل الموظفين
المعرف: NIST SP 800-53 Rev. 5 PS-5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1522 - نقل الموظفين | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1523 - نقل الموظفين | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1524 - نقل الموظفين | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1525 - نقل الموظفين | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
اتفاقيات الوصول
المعرف: NIST SP 800-53 Rev. 5 PS-6 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1526 - اتفاقيات الوصول | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1527 - اتفاقيات الوصول | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1528 - اتفاقيات الوصول | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
أمن الموظفين الخارجيين
المعرف: NIST SP 800-53 Rev. 5 PS-7 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1529 - أمن الموظفين التابع لجهة خارجية | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1530 - أمن الموظفين التابع لجهة خارجية | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1531 - أمن الموظفين التابع لجهة خارجية | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1532 - أمن الموظفين التابع لجهة خارجية | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1533 - أمن الموظفين التابع لجهة خارجية | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
الجزاءات المفروضة على الموظفين
المعرف: NIST SP 800-53 Rev. 5 PS-8 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1534 - الجزاءات المفروضة على الموظفين | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1535 - الجزاءات المفروضة على الموظفين | تطبق Microsoft عنصر تحكم أمن الموظفين هذا | تحقق | 1.0.0 |
تقييم المخاطر
النهج والإجراءات
المعرف: NIST SP 800-53 Rev. 5 RA-1 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1536 - نهج وإجراءات تقييم المخاطر | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1537 - نهج وإجراءات تقييم المخاطر | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
تصنيف الأمان
المعرف: NIST SP 800-53 Rev. 5 RA-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1538 - تصنيف الأمان | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1539 - تصنيف الأمان | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1540 - تصنيف الأمان | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
تقييم المخاطر
المعرف: NIST SP 800-53 Rev. 5 RA-3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1541 - تقييم المخاطر | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1542 - تقييم المخاطر | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1543 - تقييم المخاطر | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1544 - تقييم المخاطر | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1545 - تقييم المخاطر | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
مراقبة الثغرات الأمنية وفحصها
المعرف: NIST SP 800-53 Rev. 5 RA-5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| Microsoft Managed Control 1546 - فحص الثغرات الأمنية | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1547 - فحص الثغرات الأمنية | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1548 - فحص الثغرات الأمنية | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1549 - فحص الثغرات الأمنية | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1550 - فحص الثغرات الأمنية | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1551 - فحص الثغرات الأمنية | تحديث إمكانية الأداة | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
| ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية | رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات. | AuditIfNotExists، معطل | 4.1.0 |
| يجب أن يتم حل نتائج الثغرات الأمنية في خوادم SQL على الأجهزة | يقوم تقييم الثغرات الأمنية في SQL بفحص قاعدة البيانات بحثًا عن أي ثغرات أمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات الزائدة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عُثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب معالجة الثغرات في تكوينات أمان الحاوية | تدقيق الثغرات الأمنية في تكوين الأمان على الأجهزة مع تثبيت Docker وعرضها كتوصيات في مركز أمان Azure. | AuditIfNotExists، معطل | 3.0.0 |
| يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
| يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري | قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار | مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.1 |
| ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك | تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين تقييم الثغرات الأمنية على مساحات عمل Synapse | اكتشف الثغرات الأمنية المحتملة وتعقبها وصلحها عن طريق تكوين عمليات فحص تقييم الضعف المتكررة SQL على مساحات عمل Synapse. | AuditIfNotExists، معطل | 1.0.0 |
تحديث الثغرات الأمنية المراد مسحها ضوئيا
المعرف: NIST SP 800-53 Rev. 5 RA-5 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1552 - فحص الثغرات الأمنية | التحديث حسب التردد / قبل المسح الجديد / عند التعرف | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
اتساع وعمق التغطية
المعرف: NIST SP 800-53 Rev. 5 RA-5 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1553 - فحص الثغرات الأمنية | اتساع / عمق التغطية | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
معلومات قابلة للاكتشاف
المعرف: NIST SP 800-53 Rev. 5 RA-5 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1554 - فحص الثغرات الأمنية | معلومات قابلة للاكتشاف | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
الوصول المتميز
المعرف: NIST SP 800-53 Rev. 5 RA-5 (5) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1555 - فحص الثغرات الأمنية | الوصول المتميز | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
تحليلات الاتجاه الآلي
المعرف: NIST SP 800-53 Rev. 5 RA-5 (6) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1556 - فحص الثغرات الأمنية | التحليلات الآلية للاتجاه | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
مراجعة سجلات التدقيق التاريخية
المعرف: NIST SP 800-53 Rev. 5 RA-5 (8) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1557 - فحص الثغرات الأمنية | مراجعة سجلات التدقيق التاريخية | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
ربط معلومات المسح
المعرف: NIST SP 800-53 Rev. 5 RA-5 (10) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1558 - فحص الثغرات الأمنية | ربط معلومات المسح | تطبق Microsoft عنصر تحكم تقييم المخاطر هذا | تحقق | 1.0.0 |
اكتساب النظام والخدمات
النهج والإجراءات
المعرف: NIST SP 800-53 Rev. 5 SA-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1559 - نهج وإجراءات اكتساب النظام والخدمات | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1560 - نهج وإجراءات اكتساب النظام والخدمات | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
تخصيص الموارد
المعرف: NIST SP 800-53 Rev. 5 SA-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1561 - تخصيص الموارد | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1562 - تخصيص الموارد | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1563 - تخصيص الموارد | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
دورة حياة تطوير النظام
المعرف: NIST SP 800-53 Rev. 5 SA-3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1564 - دورة حياة تطوير النظام | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1565 - دورة حياة تطوير النظام | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1566 - دورة حياة تطوير النظام | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1567 - دورة حياة تطوير النظام | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
عملية الاكتساب
المعرف: NIST SP 800-53 Rev. 5 SA-4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1568 - عملية الاكتساب | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1569 - عملية الاكتساب | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1570 - عملية الاكتساب | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1571 - عملية الاكتساب | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1572 - عملية الاكتساب | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1573 - عملية الاكتساب | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1574 - عملية الاكتساب | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
الخصائص الوظيفية لعناصر التحكم
المعرف: NIST SP 800-53 Rev. 5 SA-4 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1575 - عملية الاكتساب | الخصائص الوظيفية لعناصر التحكم بالأمان | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
معلومات التصميم والتنفيذ لعناصر التحكم
المعرف: NIST SP 800-53 Rev. 5 SA-4 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1576 - عملية الاكتساب | معلومات التصميم / التنفيذ لعناصر التحكم بالأمان | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
خطة المراقبة المستمرة لعناصر التحكم
المعرف: NIST SP 800-53 Rev. 5 SA-4 (8) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1577 - عملية الاكتساب | خطة المراقبة المستمرة | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
الوظائف والمنافذ والبروتوكولات والخدمات قيد الاستخدام
المعرف: NIST SP 800-53 Rev. 5 SA-4 (9) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1578 - عملية الاكتساب | الوظائف / المنافذ / البروتوكولات / الخدمات قيد الاستخدام | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
استخدام منتجات PIV المعتمدة
المعرف: NIST SP 800-53 Rev. 5 SA-4 (10) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1579 - عملية الاكتساب | استخدام منتجات PIV المعتمدة | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
وثائق النظام
المعرف: NIST SP 800-53 Rev. 5 SA-5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1580 - وثائق نظام المعلومات | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1581 - وثائق نظام المعلومات | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1582 - وثائق نظام المعلومات | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1583 - وثائق نظام المعلومات | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1584 - وثائق نظام المعلومات | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
مبادئ بنية الأمان والخصوصية
المعرف: NIST SP 800-53 Rev. 5 SA-8 الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1585 - مبادئ هندسة الأمن | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
خدمات النظام الخارجي
المعرف: NIST SP 800-53 Rev. 5 SA-9 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1586 - خدمات نظام المعلومات الخارجية | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1587 - خدمات نظام المعلومات الخارجية | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1588 - خدمات نظام المعلومات الخارجية | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
تقييم المخاطر والموافقات التنظيمية
المعرف: NIST SP 800-53 Rev. 5 SA-9 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1589 - خدمات نظام المعلومات الخارجية | تقييم المخاطر / الموافقات التنظيمية | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1590 - خدمات نظام المعلومات الخارجية | تقييم المخاطر / الموافقات التنظيمية | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
تحديد الوظائف والمنافذ والبروتوكولات والخدمات
المعرف: NIST SP 800-53 Rev. 5 SA-9 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1591 - خدمات نظام المعلومات الخارجية | تحديد الوظائف / المنافذ / البروتوكولات / الخدمات | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
الاهتمامات الثابتة للمستهلكين والموردين
المعرف: NIST SP 800-53 Rev. 5 SA-9 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1592 - خدمات نظام المعلومات الخارجية | الاهتمامات الثابتة للمستهلكين والموردين | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
المعالجة والتخزين وموقع الخدمة
المعرف: NIST SP 800-53 Rev. 5 SA-9 (5) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1593 - خدمات نظام المعلومات الخارجية | المعالجة والتخزين وموقع الخدمة | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
إدارة تكوين المطور
المعرف: NIST SP 800-53 Rev. 5 SA-10 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1594 - إدارة تكوين المطور | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1595 - إدارة تكوين المطور | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1596 - إدارة تكوين المطور | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1597 - إدارة تكوين المطور | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1598 - إدارة تكوين المطور | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
التحقق من سلامة البرامج والبرامج الثابتة
المعرف: NIST SP 800-53 Rev. 5 SA-10 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1599 - إدارة تكوين المطور | التحقق من سلامة البرامج / البرامج الثابتة | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
اختبار وتقييم المطور
المعرف: NIST SP 800-53 Rev. 5 SA-11 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1600 - اختبار وتقييم أمان المطور | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1601 - اختبار وتقييم أمان المطور | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1602 - اختبار وتقييم أمان المطور | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1603 - اختبار وتقييم أمان المطور | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1604 - اختبار وتقييم أمان المطور | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
تحليل التعليمات البرمجية الثابتة
المعرف: NIST SP 800-53 Rev. 5 SA-11 (1) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1605 - اختبار وتقييم أمان المطور | تحليل التعليمات البرمجية الثابتة | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
تحليل نمذجة المخاطر والثغرات الأمنية
المعرف: NIST SP 800-53 Rev. 5 SA-11 (2) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1606 - اختبار وتقييم أمان المطور | تحليل المخاطر والثغرات الأمنية | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
تحليل التعليمات البرمجية الديناميكية
المعرف: NIST SP 800-53 Rev. 5 SA-11 (8) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1607 - اختبار وتقييم أمان المطور | تحليل التعليمات البرمجية الديناميكية | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
عملية التطوير والمعايير والأدوات
المعرف: NIST SP 800-53 Rev. 5 SA-15 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1609 - عملية التطوير والمعايير والأدوات | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1610 - عملية التطوير والمعايير والأدوات | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
التدريب المقدم من المطور
المعرف: NIST SP 800-53 Rev. 5 SA-16 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1611 - التدريب المقدم من المطور | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
بنية وتصميم أمن المطور وخصوصيته
المعرف: NIST SP 800-53 Rev. 5 SA-17 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1612 - هندسة وتصميم أمن المطور | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1613 - هندسة وتصميم أمن المطور | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
| Microsoft Managed Control 1614 - هندسة وتصميم أمن المطور | تطبق Microsoft عنصر التحكم هذا في الحصول على النظام والخدمات | تحقق | 1.0.0 |
حماية الاتصالات والنظام
النهج والإجراءات
المعرف: NIST SP 800-53 Rev. 5 SC-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1615 - نهج وإجراءات حماية النظام والاتصالات | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1616 - نهج وإجراءات حماية النظام والاتصالات | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
فصل وظائف النظام والمستخدم
المعرف: NIST SP 800-53 Rev. 5 SC-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1617 - تقسيم التطبيق | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
عزل وظيفة الأمان
المعرف: NIST SP 800-53 Rev. 5 SC-3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري | قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية. | AuditIfNotExists، معطل | 3.0.0 |
| Microsoft Managed Control 1618 - عزل وظيفة الأمان | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| مراقبة حماية نقطة النهاية المفقودة في Azure Security Center | ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات | AuditIfNotExists، معطل | 3.1.0 |
| يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 1.1.1 |
المعلومات الواردة في موارد النظام المشتركة
المعرف: NIST SP 800-53 Rev. 5 SC-4 الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1619 - المعلومات الواردة في الموارد المشتركة | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
رفض حماية الخدمة
المعرف: NIST SP 800-53 Rev. 5 SC-5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure DDoS Protection | يجب تمكين حماية DDoS لجميع الشبكات الظاهرية مع شبكة فرعية تعد جزءا من بوابة تطبيق مع IP عام. | AuditIfNotExists، معطل | 3.0.1 |
| يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| Microsoft Managed Control 1620 - رفض حماية الخدمة | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
توفر الموارد
المعرف: NIST SP 800-53 Rev. 5 SC-6 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1621 - توفر الموارد | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
حماية الحدود
المعرف: NIST SP 800-53 Rev. 5 SC-7 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم خدمات APIM شبكة ظاهرية | يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes | قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة. | المراجعة، معطلة | 2.0.0 |
| يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة | من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure. | التدقيق، الرفض، التعطيل | 3.2.0 |
| يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص | مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل خدمات Azure Cognitive Search الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض خدمة Azure Cognitive Search على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض خدمة البحث. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية | يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم Azure Data Factory رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا | يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين جدار حماية Azure Key Vault | قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security | التدقيق، الرفض، التعطيل | 1.4.1 |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | المراجعة، معطلة | 3.0.0 |
| يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة | تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | المراجعة، معطلة | 1.0.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| Microsoft Managed Control 1622 - حماية الحدود | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1623 - حماية الحدود | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1624 - حماية الحدود | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية | احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
نقاط الوصول
المعرف: NIST SP 800-53 Rev. 5 SC-7 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم خدمات APIM شبكة ظاهرية | يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes | قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة. | المراجعة، معطلة | 2.0.0 |
| يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة | من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure. | التدقيق، الرفض، التعطيل | 3.2.0 |
| يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص | مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل خدمات Azure Cognitive Search الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض خدمة Azure Cognitive Search على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض خدمة البحث. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية | يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم Azure Data Factory رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا | يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين جدار حماية Azure Key Vault | قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security | التدقيق، الرفض، التعطيل | 1.4.1 |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | المراجعة، معطلة | 3.0.0 |
| يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة | تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | المراجعة، معطلة | 1.0.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| التحكم المدار من Microsoft 1625 - حماية الحدود | نقاط الوصول | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية | احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
خدمات الاتصالات الخارجية
المعرف: NIST SP 800-53 Rev. 5 SC-7 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1626 - حماية الحدود | خدمات الاتصالات الخارجية | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1627 - حماية الحدود | خدمات الاتصالات الخارجية | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1628 - حماية الحدود | خدمات الاتصالات الخارجية | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1629 - حماية الحدود | خدمات الاتصالات الخارجية | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1630 - حماية الحدود | خدمات الاتصالات الخارجية | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
الرفض بشكل افتراضي السماح بالاستثناء
المعرف: NIST SP 800-53 Rev. 5 SC-7 (5) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1155 - اتصالات النظام التداخلية | القيود المفروضة على اتصالات النظام الخارجية | تطبق Microsoft عنصر التحكم في تقييم الأمان والتخويل هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1631 - حماية الحدود | رفض افتراضيًّا / السماح بالاستثناء | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
الانقسام النفقي للأجهزة البعيدة
المعرف: NIST SP 800-53 Rev. 5 SC-7 (7) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1632 - حماية الحدود | منع الانقسام النفقي للأجهزة البعيدة | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
توجيه حركة المرور إلى الخوادم الوكيلة المصدق عليها
المعرف: NIST SP 800-53 Rev. 5 SC-7 (8) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1633 - حماية الحدود توجيه حركة المرور إلى الخوادم الوكيلة المصدق عليها | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
منع النقل غير المصرّح
المعرف: NIST SP 800-53 Rev. 5 SC-7 (10) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1634 - حماية الحدود | منع التسرب غير المصرح به | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
الحماية المستندة إلى المضيف
المعرف: NIST SP 800-53 Rev. 5 SC-7 (12) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1635 - حماية الحدود | الحماية المستندة إلى المضيف | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
عزل أدوات الأمن والآليات ومكونات الدعم
المعرف: NIST SP 800-53 Rev. 5 SC-7 (13) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1636 - حماية الحدود | عزل أدوات / آليات الأمن / مكونات الدعم | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
تأمين ضد الفشل
المعرف: NIST SP 800-53 Rev. 5 SC-7 (18) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1637 - حماية الحدود | التأمين ضد الأعطال | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
العزل والفصل الديناميكي
المعرف: NIST SP 800-53 Rev. 5 SC-7 (20) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1638 - حماية الحدود | العزل / الفصل الديناميكي | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
عزل مكونات النظام
المعرف: NIST SP 800-53 Rev. 5 SC-7 (21) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1639 - حماية الحدود | عزل مكونات نظام المعلومات | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
سرية الإرسال وتكامله
المعرف: NIST SP 800-53 Rev. 5 SC-8 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
| يجب أن تتطلب تطبيقات App Service FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS" | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. | AuditIfNotExists، معطل | 2.0.1 |
| يجب أن تستخدم مجموعات Azure HDInsight التشفير أثناء النقل لتشفير الاتصال بين عقد نظام المجموعة Azure HDInsight | يمكن العبث بالبيانات أثناء الإرسال بين عقد نظام المجموعة Azure HDInsight. يؤدي تمكين التشفير أثناء النقل إلى معالجة مشكلات إساءة الاستخدام والعبث أثناء عملية الإرسال هذه. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL | قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 5.0.0 |
| يجب أن تتطلب تطبيقات الوظائف FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 2.0.1 |
| يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS | يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. هذه الإمكانية متاحة حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة ل Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.1.0 |
| Microsoft Managed Control 1640 - سرية ونزاهة النقل | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis | تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة | لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة. | AuditIfNotExists، معطل | 3.0.1 |
حماية التشفير
المعرف: NIST SP 800-53 Rev. 5 SC-8 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
| يجب أن تتطلب تطبيقات App Service FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS" | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. | AuditIfNotExists، معطل | 2.0.1 |
| يجب أن تستخدم مجموعات Azure HDInsight التشفير أثناء النقل لتشفير الاتصال بين عقد نظام المجموعة Azure HDInsight | يمكن العبث بالبيانات أثناء الإرسال بين عقد نظام المجموعة Azure HDInsight. يؤدي تمكين التشفير أثناء النقل إلى معالجة مشكلات إساءة الاستخدام والعبث أثناء عملية الإرسال هذه. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL | قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 5.0.0 |
| يجب أن تتطلب تطبيقات الوظائف FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 2.0.1 |
| يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS | يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. هذه الإمكانية متاحة حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة ل Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.1.0 |
| التحكم المدار من Microsoft 1641 - سرية ونزاهة النقل | التشفير أو الحماية المادية البديلة | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis | تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة | لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة. | AuditIfNotExists، معطل | 3.0.1 |
قطع اتصال الشبكة
المعرف: NIST SP 800-53 Rev. 5 SC-10 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1642 - قطع اتصال الشبكة | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
إنشاء مفتاح التشفير وإدارته
المعرف: NIST SP 800-53 Rev. 5 SC-12 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب أن تستخدم مخازن خدمات استرداد Azure المفاتيح المُدارة من قبل العملاء لتشفير بيانات النسخ الاحتياطي | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون لبيانات النسخ الاحتياطي. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/AB-CmkEncryption. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب تشفير بيانات خدمة توفير جهاز IoT Hub باستخدام مفاتيح يديرها العميل (CMK) | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خدمة تزويد جهاز IoT Hub. يتم تشفير البيانات تلقائيًا في حالة ثبات البيانات مع مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء (CMK) مطلوبة عادة لتلبية معايير التوافق التنظيمية. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. تعرف على المزيد حول تشفير CMK على https://aka.ms/dps/CMK. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| يجب أن تستخدم حسابات Azure Automation المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون لحسابات Azure Automation. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/automation-cmk. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يستخدم حساب Azure Batch المفاتيح المدارة من قبل العميل لتشفير البيانات | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون لحساب Batch. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/Batch-CMK. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم مجموعة حاويات مثيل Azure Container المفتاح المدار من قبل العميل للتشفير | قم بتأمين حاوياتك بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | تدقيق، تعطيل، رفض | 1.0.0 |
| يجب أن تستخدم حسابات Azure Cosmos DB المفاتيح التي يديرها العملاء لتشفير البيانات في وضع السكون | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة Azure Cosmos DB. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/cosmosdb-cmk. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب أن تستخدم Azure Data Box مفتاحًا مدارًا من قِبل العميل لتشفير كلمة مرور إلغاء قفل الجهاز | استخدم مفتاحا يديره العميل للتحكم في تشفير كلمة مرور إلغاء تأمين الجهاز لـ Azure Data Box. تساعد المفاتيح المدارة من قبل العملاء أيضًا في إدارة الوصول إلى كلمة مرور إلغاء قفل الجهاز بواسطة خدمة Data Box من أجل إعداد الجهاز ونسخ البيانات بطريقة تلقائية. البيانات الموجودة على الجهاز نفسه مشفرة بالفعل في حالة البيانات الثابتة مع مقاييس التشفير المتقدمة 256 بت، ويتم تشفير كلمة مرور إلغاء قفل الجهاز بشكل افتراضي باستخدام مفتاح مدار من Microsoft. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يستخدم تشفير Azure Data Explorer في وضع السكون مفتاحًا مدارًا من قبل العميل | يتيح تمكين التشفير في وضع ثبات البيانات باستخدام مفتاح مدار من قبل العميل على مجموعة نظام مستكشف البيانات Azure التحكم الإضافي على المفتاح المستخدم بواسطة التشفير في وضع البيانات الثابتة. هذه الميزة غالبًا تكون قابلة للتطبيق على العملاء الذين لديهم متطلبات توافق خاصة وتتطلب حالتهم Key Vault لإدارة المفاتيح. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون لـ Azure Data Factory. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/adf-cmk. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم مجموعات Azure HDInsight المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون بمجموعات Azure HDInsight. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/hdi.cmk. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم مجموعات Azure HDInsight التشفير عند المضيف لتشفير البيانات الثابتة | يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير في المضيف، يتم تشفير البيانات المخزنة على مضيف VM عند لثبات البيانات ويتم تدفقها مشفرة إلى خدمة التخزين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير مساحات العمل الخاصة بـ Azure Machine Learning باستخدام مفتاح مُدار من قِبل العميل | إدارة تشفير البيانات الثابتة بيانات مساحة عمل Azure التعلم الآلي باستخدام مفاتيح مدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/azureml-workspaces-cmk. | التدقيق، الرفض، التعطيل | 1.0.3 |
| يجب تشفير مجموعات مراقبة سجلات Azure بمفتاح مدار من قبل العملاء | قم بإنشاء مجموعة سجلات مراقبة Azure بتشفير المفاتيح المدارة من قبل العملاء. بشكل افتراضي، يتم تشفير بيانات السجل باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية التوافق التنظيمي. يمنحك المفتاح المدار من قبل العميل في Azure Monitor مزيدًا من التحكم في الوصول إلى البيانات، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب أن تستخدم مهام Azure Stream Analytics المفاتيح التي يديرها العملاء لتشفير البيانات | استخدم المفاتيح التي يديرها العملاء عندما تريد تخزين أي بيانات تعريف وأصول بيانات خاصة لوظائف Stream Analytics بأمان في حساب التخزين الخاص بك. وهذا يمنحك التحكم الكامل في كيفية تشفير بيانات Stream Analytics. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح المدارة من قبل العميل للتحكم في تشفير البيانات الثابتة المخزنة في مساحات عمل Azure Synapse. توفر المفاتيح المدارة من قبل العميل تشفيرا مزدوجا عن طريق إضافة طبقة ثانية من التشفير فوق التشفير الافتراضي باستخدام مفاتيح مدارة بواسطة الخدمة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير Bot Service بمفتاح مُدار من قبل العميل | تقوم خدمة Azure Bot Service تلقائيًا بتشفير المورد لحماية بياناتك والوفاء بالتزامات الأمان والامتثال التنظيمي. افتراضيا، يتم استخدام مفاتيح التشفير المدارة من Microsoft. لمزيد من المرونة في إدارة المفاتيح أو التحكم في الوصول إلى الاشتراك، حدد المفاتيح التي يديرها العميل، والمعروفة أيضًا باسم إحضار المفتاح (BYOK). تعرف على المزيد حول تشفير خدمة Azure Bot: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل | تشفير نظام التشغيل وأقراص البيانات باستخدام مفاتيح يديرها العملاء يوفر المزيد من التحكم والمرونة في إدارة المفاتيح. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تقوم حسابات الخدمات المعرفية بتمكين تشفير البيانات باستخدام مفتاح يديره العميل | عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية معايير الامتثال التنظيمية. تمكن المفاتيح المدارة من العملاء من تشفير البيانات المخزنة في الخدمات المعرفية باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول المفاتيح المُدارة من قِبل العملاء على https://go.microsoft.com/fwlink/?linkid=2121321. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون بمحتويات السجلات. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/acr/CMK. | التدقيق، الرفض، التعطيل | 1.1.2 |
| يجب أن تستخدم مساحات أسماء Event Hub مفتاحًا مدارًا من قِبل العميل للتشفير | تدعم مراكز الأحداث خيار تشفير البيانات في وضع البيانات الثابتة إما باستخدام مفاتيح مدارة من Microsoft (افتراضية) أو مفاتيح يديرها العملاء. يتيح لك اختيار تشفير البيانات باستخدام المفاتيح المدارة من قبل العميل تعيين المفاتيح التي سيستخدمها Event Hub لتشفير البيانات في مساحة الاسم وتدويرها وتعطيلها وإبطالها. لاحظ أن مركز الأحداث يعتمد التشفير فقط مع مفاتيح مدارة من قبل العملاء لمساحات الأسماء في مجموعات مخصصة. | المراجعة، معطلة | 1.0.0 |
| يجب تشفير بيئة خدمة تكامل تطبيقات المنطق باستخدام المفاتيح المدارة بواسطة العملاء | نشر في بيئة خدمة التكامل لإدارة تشفير البيانات الثابتة بيانات تطبيقات المنطق باستخدام مفاتيح يديرها العملاء. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير الأقراص المدارة مرتين باستخدام كل من المفاتيح المدارة من النظام الأساسي والمفاتيح التي يديرها العملاء | يمكن للعملاء ذوي الحساسية الأمنية العالية الذين يشعرون بالقلق من المخاطر المرتبطة بأي خوارزمية تشفير معينة أو تنفيذ أو مفتاح يتم اختراقه اختيار طبقة إضافية من التشفير باستخدام خوارزمية /وضع تشفير مختلف في طبقة البنية التحتية باستخدام مفاتيح التشفير المدارة من النظام الأساسي. مجموعات تشفير القرص مطلوبة لاستخدام التشفير المزدوج. تعرّف على المزيد من خلال https://aka.ms/disks-doubleEncryption. | التدقيق، الرفض، التعطيل | 1.0.0 |
| Microsoft Managed Control 1643 - إنشاء مفتاح التشفير وإدارته | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| يجب تشفير نظام التشغيل وأقراص البيانات باستخدام مفتاح يُديره العميل | استخدم المفاتيح المدارة من قبل العميل لإدارة تشفير البيانات الثابتة محتويات الأقراص المدارة. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح المدارة من خلال النظام الأساسي، ولكن عادة ما تكون المفاتيح التي يديرها العملاء مطلوبة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/disks-cmk. | التدقيق، الرفض، التعطيل | 3.0.0 |
| يجب حفظ الاستعلامات المحفوظة في Azure Monitor في حساب تخزين العميل لتشفير السجلات | ربط حساب التخزين بمساحة عمل Log Analytics لحماية الاستعلامات المحفوظة باستخدام تشفير حساب التخزين. عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية الامتثال التنظيمي ولمزيد من التحكم في الوصول إلى الاستعلامات المحفوظة في Azure Monitor. لمزيد من التفاصيل حول ما سبق، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب أن تستخدم مساحات أسماء Service Bus Premium مفتاحاً مداراً من قِبل العميل للتشفير | يدعم Azure Service Bus خيار تشفير البيانات الثابتة باستخدام مفاتيح مدارة من Microsoft (افتراضي) أو مفاتيح مدارة من قبل العميل. يتيح لك اختيار تشفير البيانات باستخدام المفاتيح التي يديرها العميل تعيين المفاتيح التي ستستخدمها ناقل خدمة Microsoft Azure لتشفير البيانات في مساحة الاسم وتدويرها وتعطيلها وإبطالها. لاحظ أن ناقل خدمة Microsoft Azure يعتمد التشفير فقط مع مفاتيح مدارة من قبل العملاء لمساحات الأسماء المميزة. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.1 |
| يجب أن تستخدم نطاقات تشفير حساب التخزين المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة نطاقات تشفير حساب التخزين. تتيح المفاتيح المدارة من قبل العميل تشفير البيانات باستخدام مفتاح Azure لمخزن البيانات السرية الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول نطاقات تشفير حساب التخزين في https://aka.ms/encryption-scopes-overview. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم حسابات التخزين مفتاحاً مداراً من قبل العميل للتشفير | أمّن الكائن الثنائي كبير الحجم وحساب تخزين الملفات بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | المراجعة، معطلة | 1.0.3 |
التوافر
المعرف: NIST SP 800-53 Rev. 5 SC-12 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1644 - إنشاء مفتاح التشفير وإدارته | التوفر | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
مفاتيح متماثلة
المعرف: NIST SP 800-53 Rev. 5 SC-12 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1645 - إنشاء مفتاح التشفير وإدارته | مفاتيح متماثلة | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
مفاتيح غير متماثلة
المعرف: NIST SP 800-53 Rev. 5 SC-12 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1646 - إنشاء مفتاح التشفير وإدارته | مفاتيح غير متماثلة | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
حماية التشفير
المعرف: NIST SP 800-53 Rev. 5 SC-13 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1647 - استخدام التشفير | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
أجهزة وتطبيقات الحوسبة التعاونية
المعرف: NIST SP 800-53 Rev. 5 SC-15 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1648 - أجهزة الحوسبة التعاونية | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1649 - أجهزة الحوسبة التعاونية | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
شهادات البنية التحتية للمفاتيح العامة
المعرف: NIST SP 800-53 Rev. 5 SC-17 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1650 - شهادات البنية التحتية للمفاتيح العامة | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
التعليمة البرمجية المتنقلة
المعرف: NIST SP 800-53 Rev. 5 SC-18 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1651 - التعليمة البرمجية المتنقلة | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1652 - التعليمة البرمجية المتنقلة | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1653 - التعليمة البرمجية المتنقلة | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
خدمة تحليل الاسم/العنوان الآمن (مصدر موثوق)
المعرف: NIST SP 800-53 Rev. 5 SC-20 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1656 - خدمة تحليل الاسم / العنوان الآمن (مصدر موثوق) | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1657 - خدمة تحليل الاسم / العنوان الآمن (مصدر موثوق) | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
خدمة دقة الاسم / العنوان الآمن (محلل التخزين المؤقت أو التكراري)
المعرف: NIST SP 800-53 Rev. 5 SC-21 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1658 - خدمة تحليل الاسم / العنوان الآمن (محلل متكرر أو التخزين المؤقت) | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
بنية وتوفير خدمة دقة الاسم / العنوان الآمن
المعرف: NIST SP 800-53 Rev. 5 SC-22 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1659 - هندسة وتوفير خدمة تحليل الاسم / العنوان الآمن | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
أصالة الجلسة
المعرف: NIST SP 800-53 Rev. 5 SC-23 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1660 - أصالة الجلسة | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
إبطال معرّفات الجلسة عند تسجيل الخروج
المعرف: NIST SP 800-53 Rev. 5 SC-23 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1661 - أصالة الجلسة | إبطال معرّفات الجلسة عند تسجيل الخروج | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
فشل في الحالة المعروفة
المعرف: NIST SP 800-53 Rev. 5 SC-24 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1662 - فشل في الحالة المعروفة | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
حماية المعلومات الثابتة
المعرف: NIST SP 800-53 Rev. 5 SC-28 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تمكن App Service Environment التشفير الداخلي | يؤدي تعيين InternalEncryption إلى حقيقي إلى تشفير ملف ترحيل الصفحات وأقراص العاملين وحركة مرور الشبكة الداخلية بين الأطراف الأمامية والعمال في بيئة خدمة التطبيقات. لمعرفة المزيد، انتقل إلى https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | المراجعة، معطلة | 1.0.1 |
| يجب تشفير متغيرات حساب التنفيذ التلقائي | من المهم تمكين تشفير أصول متغير حساب التنفيذ التلقائي عند تخزين البيانات الحساسة | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تمكّن مهام Azure Data Box التشفير المزدوج للبيانات الثابتة على الجهاز | تمكين طبقة ثانية من التشفير المستند إلى البرامج للبيانات الثابتة الموجودة على الجهاز. الجهاز محمي بالفعل عبر مقاييس التشفير المتقدمة 256 بت للبيانات الثابتة. يضيف هذا الخيار طبقة ثانية من تشفير البيانات. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب إنشاء مجموعات سجلات مراقبة Azure مع تمكين البنية الأساسية التشفير (التشفير المزدوج) | لضمان تمكين تشفير البيانات الآمن على مستوى الخدمة ومستوى البنية الأساسية باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين، استخدم نظام مجموعة Azure Monitor المخصص. يتم تمكين هذا الخيار بشكل افتراضي عند دعمه في المنطقة، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب استخدام التشفير المزدوج على أجهزة Azure Stack Edge | لتأمين البيانات الثابتة على الجهاز، وضمان أنها مزدوجة التشفير، يتم التحكم في الوصول إلى البيانات، وبمجرد إلغاء تنشيط الجهاز، يتم مسح البيانات بأمان من أقراص البيانات. التشفير المزدوج هو استخدام طبقتين من التشفير: تشفير BitLocker XTS-AES 256 بت على وحدات تخزين البيانات والتشفير المضمن لمحركات الأقراص الثابتة. تعرف على المزيد في وثائق نظرة عامة على الأمان لجهاز Stack Edge المحدد. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب تمكين تشفير القرص على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تمكين التشفير المزدوج على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وضمان سلامتها بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير المزدوج، يتم تشفير البيانات في حساب التخزين مرتين، مرة على مستوى الخدمة ومرة على مستوى البنية الأساسية، باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين. | التدقيق، الرفض، التعطيل | 2.0.0 |
| Microsoft Managed Control 1663 - حماية المعلومات في وضع السكون | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign | يوفر Service Fabric ثلاثة مستويات من الحماية (None، وSign، وEncryptAndSign) للاتصال عقدة إلى عقدة باستخدام شهادة نظام مجموعة أساسية. تعيين مستوى الحماية لضمان تشفير كافة رسائل العقدة إلى العقدة وتوقيعها رقميا | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن يكون لدى حسابات التخزين تشفير البنية الأساسية | تمكين تشفير البنية الأساسية للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات في حساب تخزين مرتين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف | لتحسين أمان البيانات، يجب تشفير البيانات المخزنة على مضيف الجهاز الظاهري (VM) لعقد خدمة Azure Kubernetes VMs في حالة السكون. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
| ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين التشفير على المضيف في الأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري | استخدم التشفير في المضيف للحصول على تشفير من طرف إلى طرف لجهازك الظاهري وبيانات مجموعة مقياس الجهاز الظاهري. التشفير في المضيف يتيح تشفير البيانات الثابتة للقرص المؤقت الخاص بك وذاكرة التخزين المؤقت لـ OS/قرص البيانات. يتم تشفير أقراص OS المؤقتة والزائلة باستخدام مفاتيح تتم إدارتها من خلال النظام الأساسي عند تمكين التشفير في المضيف. يتم تشفير ذاكرة التخزين المؤقت لأقراص OS/data في حالة راحة باستخدام مفتاح مدار من قبل العميل أو مفتاح مدار بواسطة النظام الأساسي، وذلك حسب نوع التشفير المحدد على القرص. تعرّف على المزيد من خلال https://aka.ms/vm-hbe. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين | بشكل افتراضي، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة عدم استخدام مفاتيح تُدار بواسطة النظام الأساسي. لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين الحوسبة والتخزين. تجاهل هذه التوصية إذا: 1. باستخدام التشفير في المضيف، أو 2. التشفير من جانب الخادم على الأقراص المُدارة يفي بمتطلبات الأمان. تعرف على المزيد في: تشفير Azure Disk Storage من جانب الخادم: https://aka.ms/disksse، العروض المختلفة لتشفير القرص: https://aka.ms/diskencryptioncomparison | AuditIfNotExists، معطل | 2.0.3 |
حماية التشفير
المعرف: NIST SP 800-53 Rev. 5 SC-28 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تمكن App Service Environment التشفير الداخلي | يؤدي تعيين InternalEncryption إلى حقيقي إلى تشفير ملف ترحيل الصفحات وأقراص العاملين وحركة مرور الشبكة الداخلية بين الأطراف الأمامية والعمال في بيئة خدمة التطبيقات. لمعرفة المزيد، انتقل إلى https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | المراجعة، معطلة | 1.0.1 |
| يجب تشفير متغيرات حساب التنفيذ التلقائي | من المهم تمكين تشفير أصول متغير حساب التنفيذ التلقائي عند تخزين البيانات الحساسة | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تمكّن مهام Azure Data Box التشفير المزدوج للبيانات الثابتة على الجهاز | تمكين طبقة ثانية من التشفير المستند إلى البرامج للبيانات الثابتة الموجودة على الجهاز. الجهاز محمي بالفعل عبر مقاييس التشفير المتقدمة 256 بت للبيانات الثابتة. يضيف هذا الخيار طبقة ثانية من تشفير البيانات. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب إنشاء مجموعات سجلات مراقبة Azure مع تمكين البنية الأساسية التشفير (التشفير المزدوج) | لضمان تمكين تشفير البيانات الآمن على مستوى الخدمة ومستوى البنية الأساسية باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين، استخدم نظام مجموعة Azure Monitor المخصص. يتم تمكين هذا الخيار بشكل افتراضي عند دعمه في المنطقة، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب استخدام التشفير المزدوج على أجهزة Azure Stack Edge | لتأمين البيانات الثابتة على الجهاز، وضمان أنها مزدوجة التشفير، يتم التحكم في الوصول إلى البيانات، وبمجرد إلغاء تنشيط الجهاز، يتم مسح البيانات بأمان من أقراص البيانات. التشفير المزدوج هو استخدام طبقتين من التشفير: تشفير BitLocker XTS-AES 256 بت على وحدات تخزين البيانات والتشفير المضمن لمحركات الأقراص الثابتة. تعرف على المزيد في وثائق نظرة عامة على الأمان لجهاز Stack Edge المحدد. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب تمكين تشفير القرص على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تمكين التشفير المزدوج على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وضمان سلامتها بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير المزدوج، يتم تشفير البيانات في حساب التخزين مرتين، مرة على مستوى الخدمة ومرة على مستوى البنية الأساسية، باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين. | التدقيق، الرفض، التعطيل | 2.0.0 |
| التحكم المدار من Microsoft 1437 - نقل الوسائط | حماية التشفير | تطبق Microsoft عنصر التحكم "حماية الوسائط" هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1664 - حماية المعلومات في وضع السكون | حماية التشفير | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
| يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign | يوفر Service Fabric ثلاثة مستويات من الحماية (None، وSign، وEncryptAndSign) للاتصال عقدة إلى عقدة باستخدام شهادة نظام مجموعة أساسية. تعيين مستوى الحماية لضمان تشفير كافة رسائل العقدة إلى العقدة وتوقيعها رقميا | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن يكون لدى حسابات التخزين تشفير البنية الأساسية | تمكين تشفير البنية الأساسية للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات في حساب تخزين مرتين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف | لتحسين أمان البيانات، يجب تشفير البيانات المخزنة على مضيف الجهاز الظاهري (VM) لعقد خدمة Azure Kubernetes VMs في حالة السكون. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
| ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين التشفير على المضيف في الأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري | استخدم التشفير في المضيف للحصول على تشفير من طرف إلى طرف لجهازك الظاهري وبيانات مجموعة مقياس الجهاز الظاهري. التشفير في المضيف يتيح تشفير البيانات الثابتة للقرص المؤقت الخاص بك وذاكرة التخزين المؤقت لـ OS/قرص البيانات. يتم تشفير أقراص OS المؤقتة والزائلة باستخدام مفاتيح تتم إدارتها من خلال النظام الأساسي عند تمكين التشفير في المضيف. يتم تشفير ذاكرة التخزين المؤقت لأقراص OS/data في حالة راحة باستخدام مفتاح مدار من قبل العميل أو مفتاح مدار بواسطة النظام الأساسي، وذلك حسب نوع التشفير المحدد على القرص. تعرّف على المزيد من خلال https://aka.ms/vm-hbe. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين | بشكل افتراضي، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة عدم استخدام مفاتيح تُدار بواسطة النظام الأساسي. لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين الحوسبة والتخزين. تجاهل هذه التوصية إذا: 1. باستخدام التشفير في المضيف، أو 2. التشفير من جانب الخادم على الأقراص المُدارة يفي بمتطلبات الأمان. تعرف على المزيد في: تشفير Azure Disk Storage من جانب الخادم: https://aka.ms/disksse، العروض المختلفة لتشفير القرص: https://aka.ms/diskencryptioncomparison | AuditIfNotExists، معطل | 2.0.3 |
عزل العمليات
المعرف: NIST SP 800-53 Rev. 5 SC-39 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1665 - عزل العمليات | تطبق Microsoft عنصر تحكم حماية النظام والاتصالات هذا | تحقق | 1.0.0 |
سلامة النظام والمعلومات
النهج والإجراءات
المعرف: NIST SP 800-53 Rev. 5 SI-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1666 - نهج وإجراءات سلامة النظام والمعلومات | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1667 - نهج وإجراءات سلامة النظام والمعلومات | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
إصلاح الخلل
المعرف: NIST SP 800-53 Rev. 5 SI-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم تطبيقات App Service أحدث "إصدار من HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب أن تستخدم تطبيقات الوظائف أحدث "إصدار HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية | قم بترقية مجموعة خدمات Kubernetes إلى إصدار أحدث من Kubernetes للحماية من الثغرات الأمنية المعروفة في إصدار Kubernetes الحالي. تم تصحيح الثغرة الأمنية CVE-2019-9946 في إصدارات Kubernetes 1.11.9+ و1.12.7+ و1.13.5+ و1.14.0+ | المراجعة، معطلة | 1.0.2 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| Microsoft Managed Control 1668 - إصلاح الخلل | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1669 - إصلاح الخلل | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1670 - إصلاح الخلل | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1671 - إصلاح الخلل | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية | رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات. | AuditIfNotExists، معطل | 4.1.0 |
| يجب تثبيت تحديثات النظام على مجموعات مقياس الجهاز الظاهري | مراجعة ما إذا كانت هناك أي تحديثات أمان للنظام مفقودة والتحديثات المهمة التي يجب تثبيتها لضمان أن مجموعات نطاقات الجهاز الظاهري Windows وLinux آمنة. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي تثبيت تحديثات النظام على أجهزتك | سيراقب Azure Security Center تحديثات نظام الأمان المفقودة على خوادمك من قبيل التوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
| يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري | قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات. | AuditIfNotExists، معطل | 3.0.0 |
حالة معالجة العيوب التلقائية
المعرف: NIST SP 800-53 Rev. 5 SI-2 (2)الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1673 - إصلاح الخلل | حالة معالجة العيوب التلقائية | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
حان الوقت لإصلاح العيوب ومعايير الإجراءات التصحيحية
المعرف: NIST SP 800-53 Rev. 5 SI-2 (3)الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1674 - إصلاح الخلل | حان الوقت لإصلاح العيوب / معايير الإجراءات التصحيحية | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1675 - إصلاح الخلل | حان الوقت لإصلاح العيوب / معايير الإجراءات التصحيحية | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
إزالة الإصدارات السابقة من البرامج والبرامج الثابتة
المعرف: NIST SP 800-53 Rev. 5 SI-2 (6) الملكية: العميل
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم تطبيقات App Service أحدث "إصدار من HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث "إصدار HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية | قم بترقية مجموعة خدمات Kubernetes إلى إصدار أحدث من Kubernetes للحماية من الثغرات الأمنية المعروفة في إصدار Kubernetes الحالي. تم تصحيح الثغرة الأمنية CVE-2019-9946 في إصدارات Kubernetes 1.11.9+ و1.12.7+ و1.13.5+ و1.14.0+ | المراجعة، معطلة | 1.0.2 |
حماية التعليمات البرمجية الضارة
المعرف: NIST SP 800-53 Rev. 5 SI-3الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري | قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية. | AuditIfNotExists، معطل | 3.0.0 |
| Microsoft Managed Control 1676 - حماية التعليمات البرمجية الضارة | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1677 - حماية التعليمات البرمجية الضارة | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1678 - حماية التعليمات البرمجية الضارة | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1679 - حماية التعليمات البرمجية الضارة | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1681 - حماية التعليمات البرمجية الضارة | التحديثات التلقائية | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1682 - حماية التعليمات البرمجية الضارة | الاكتشاف القائم على عدم التوقيع | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| مراقبة حماية نقطة النهاية المفقودة في Azure Security Center | ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات | AuditIfNotExists، معطل | 3.1.0 |
| يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 1.1.1 |
مراقبة النظام
المعرف: NIST SP 800-53 Rev. 5 SI-4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 4.0.1-preview |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك | لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت عامل Azure Log Analtics على الجهاز الظاهري لمراقبة Azure Security Center | يقوم هذا النهج بمراجعة أي أجهزة ظاهرية Windows/Linux (VMs) إذا لم يتم تثبيت عامل Log Analytics الذي يستخدمه Security Center لمراقبة الثغرات الأمنية والتهديدات | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center | من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender for Storage (كلاسيكي) | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | AuditIfNotExists، معطل | 1.0.4 |
| Microsoft Managed Control 1683 - مراقبة نظام المعلومات | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1684 - مراقبة نظام المعلومات | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1685 - مراقبة نظام المعلومات | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1686 - مراقبة نظام المعلومات | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1687 - مراقبة نظام المعلومات | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1688 - مراقبة نظام المعلومات | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1689 - مراقبة نظام المعلومات | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
نظام كشف التطفل على نطاق المنظومة
المعرف: NIST SP 800-53 Rev. 5 SI-4 (1) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1690 - مراقبة نظام المعلومات | نظام كشف التطفل على نطاق المنظومة | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
الأدوات التلقائية والآليات للتحليل في الوقت الفعلي
المعرف: NIST SP 800-53 Rev. 5 SI-4 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1691 - مراقبة نظام المعلومات | الأدوات الآلية للتحليل في الوقت الفعلي | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
حركة الاتصالات الواردة والصادرة
المعرف: NIST SP 800-53 Rev. 5 SI-4 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1692 - مراقبة نظام المعلومات | حركة الاتصالات الواردة والصادرة | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
التنبيهات التي ينشئها النظام
المعرف: NIST SP 800-53 Rev. 5 SI-4 (5) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1693 - مراقبة نظام المعلومات | التنبيهات التي ينشئها النظام | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
تحليل انحرافات حركة الاتصالات
المعرف: NIST SP 800-53 Rev. 5 SI-4 (11) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1694 - مراقبة نظام المعلومات | تحليل انحرافات حركة الاتصالات | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
التنبيهات المؤتمتة التي تنشئها المؤسسة
المعرف: NIST SP 800-53 Rev. 5 SI-4 (12) الملكية: العميل
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
الكشف عن التطفل اللاسلكي
المعرف: NIST SP 800-53 Rev. 5 SI-4 (14) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1695 - مراقبة نظام المعلومات | الكشف عن التطفل اللاسلكي | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
ربط معلومات المراقبة
المعرف: NIST SP 800-53 Rev. 5 SI-4 (16) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1696 - مراقبة نظام المعلومات | ربط معلومات المراقبة | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
تحليل حركة البيانات والتسرب السري
المعرف: NIST SP 800-53 Rev. 5 SI-4 (18) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1697 - مراقبة نظام المعلومات | تحليل حركة البيانات / التسرب السري | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
المخاطر التي يتعرض لها الأفراد
المعرف: NIST SP 800-53 Rev. 5 SI-4 (19) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1698 - مراقبة نظام المعلومات | الأفراد الذين يشكلون مخاطر كبيرة | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
المستخدمون المتميزون
المعرف: NIST SP 800-53 Rev. 5 SI-4 (20) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1699 - مراقبة نظام المعلومات | المستخدمون المتميزون | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
خدمات الشبكة غير المصرح بها
المعرف: NIST SP 800-53 Rev. 5 SI-4 (22) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1700 - Information مراقبة نظام المعلومات | خدمات الشبكة غير المصرح بها | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
الأجهزة المستندة إلى المضيف
المعرف: NIST SP 800-53 Rev. 5 SI-4 (23) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1701 - مراقبة نظام المعلومات | الأجهزة المستندة إلى المضيف | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
مؤشرات التسوية
المعرف: NIST SP 800-53 Rev. 5 SI-4 (24) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1702 - مراقبة نظام المعلومات | مؤشرات التسوية | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
تنبيهات الأمان والتحذيرات والتوجيهات
المعرف: NIST SP 800-53 Rev. 5 SI-5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1703 - تنبيهات الأمان والنصائح | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1704 - تنبيهات الأمان والنصائح | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1705 - تنبيهات الأمان والنصائح | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1706 - تنبيهات الأمان والنصائح | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
التنبيهات والنصائح التلقائية
المعرف: NIST SP 800-53 Rev. 5 SI-5 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1707 - تنبيهات الأمان والنصائح | التنبيهات والنصائح التلقائية | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
التحقق من وظيفة الأمان والخصوصية
المعرف: NIST SP 800-53 Rev. 5 SI-6 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1708 - التحقق من وظيفة الأمان | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1709 - التحقق من وظيفة الأمان | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1710 - التحقق من وظيفة الأمان | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| التحكم المدار من Microsoft 1711 - التحقق من وظيفة الأمان | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
البرامج والبرامج الثابتة وسلامة المعلومات
المعرف: NIST SP 800-53 Rev. 5 SI-7 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1712 - تكامل البرامج والمعلومات | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
التحقق من النزاهة
المعرف: NIST SP 800-53 Rev. 5 SI-7 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1713 - تكامل البرامج والمعلومات | عمليات التحقق من التكامل | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
الإخطارات الآلية لانتهاكات النزاهة
المعرف: NIST SP 800-53 Rev. 5 SI-7 (2) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1714 - تكامل البرامج والمعلومات | الإخطارات التلقائية لانتهاكات النزاهة | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
الاستجابة التلقائية لانتهاكات النزاهة
المعرف: NIST SP 800-53 Rev. 5 SI-7 (5) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1715 - تكامل البرامج والمعلومات | الاستجابة التلقائية لانتهاكات النزاهة | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
تكامل عمليات الكشف والاستجابة
المعرف: NIST SP 800-53 Rev. 5 SI-7 (7) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1716 - تكامل البرامج والمعلومات | تكامل الكشف والاستجابة | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
حماية البريد العشوائي
المعرف: NIST SP 800-53 Rev. 5 SI-8 الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1719 - حماية البريد العشوائي | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1720 - حماية البريد العشوائي | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
التحديثات التلقائية
المعرف: NIST SP 800-53 Rev. 5 SI-8 (2) الملكية: Microsoft
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1722 - حماية البريد العشوائي | التحديثات التلقائية | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
التحقق من صحة إدخال المعلومات
المعرف: NIST SP 800-53 Rev. 5 SI-10 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1723 - التحقق من صحة إدخال المعلومات | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
Error Handling
المعرف: NIST SP 800-53 Rev. 5 SI-11 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1724 - معالجة الأخطاء | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| Microsoft Managed Control 1725 - معالجة الأخطاء | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
إدارة المعلومات والاحتفاظ بها
المعرف: NIST SP 800-53 Rev. 5 SI-12 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم المدار من Microsoft 1726 - معالجة إخراج المعلومات والاحتفاظ بها | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
حماية الذاكرة
المعرف: NIST SP 800-53 Rev. 5 SI-16 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| Microsoft Managed Control 1727 - حماية الذاكرة | تطبق Microsoft عنصر تحكم تكامل النظام والمعلومات هذا | تحقق | 1.0.0 |
| يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 1.1.1 |
الخطوات التالية
مقالات إضافية حول Azure Policy:
- نظرة عامة على التوافق التنظيمي.
- راجع بنية تعريف المبادرة.
- مراجعة أمثلة أخرى في نماذج Azure Policy.
- راجع فهم تأثيرات النهج.
- تعرف على كيفية إصلاح الموارد غير المتوافقة.