Définitions de stratégie intégrées d’Azure Policy pour Microsoft Defender pour le cloud
Cette page est un index des définitions de stratégie intégrées d’Azure Policy relatives à Microsoft Defender pour le cloud. Les regroupements suivants de définitions de stratégie sont disponibles :
- Le groupe Initiatives liste les définitions d’initiative d’Azure Policy dans la catégorie « Defender pour le cloud ».
- Le groupe Initiative par défaut répertorie toutes les définitions d’Azure Policy qui font partie de l’initiative par défaut de Defender pour le cloud,Point de référence de sécurité Microsoft Cloud. Ce benchmark largement respecté créé par Microsoft s’appuie sur les contrôles du Center for Internet Security (CIS) et du National Institute of Standards and Technology (NIST), et se focalise sur la sécurité du cloud.
- Le groupe Catégorie liste toutes les définitions d’Azure Policy dans la catégorie « Defender pour le cloud ».
Pour plus d’informations sur les stratégies de sécurité, consultez Utilisation des stratégies de sécurité. Pour obtenir des éléments intégrés d’Azure Policy destinés à d’autres services, consultez Définitions intégrées d’Azure Policy.
Le nom de chaque définition de stratégie intégrée est un lien vers la définition de la stratégie dans le portail Azure. Utilisez le lien de la colonne Version pour voir la source dans le dépôt GitHub Azure Policy.
Initiatives Microsoft Defender pour le cloud
Pour plus d’informations sur les initiatives intégrées supervisées par Defender pour le cloud, consultez le tableau suivant :
| Name | Description | Stratégies | Version |
|---|---|---|---|
| [Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison | Déployez Microsoft Defender pour l’agent point de terminaison sur les images applicables. | 4 | 1.0.0-preview |
| Configurer la protection avancée contre les menaces pour qu’elle soit activée sur les bases de données relationnelles open source | Activez la protection avancée contre les menaces sur vos bases de données relationnelles open source de niveau non basique afin de détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’attaque ou d’accès aux bases de données. Consultez https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Configurer Azure Defender pour qu’il soit activé sur les serveurs SQL Server et les instances SQL Managed Instance | Activez Azure Defender sur vos serveurs SQL Server ainsi que sur les instances SQL Managed Instance. Cela vous permettra de détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès aux bases de données ou d’utilisation de code malveillant exploitant une faille de sécurité. | 3 | 3.0.0 |
| Configurer des plans Microsoft Defender pour le cloud | Microsoft Defender pour le cloud fournit des protections complètes natives Cloud du développement jusqu’au runtime dans des environnements multiclouds. Utilisez l’initiative de stratégie pour configurer les plans et extensions Defender pour le cloud à activer sur les étendues sélectionnées. | 11 | 1.0.0 |
| Configurer Microsoft Defender pour les bases de données à activer | Configurez Microsoft Defender pour bases de données pour protéger vos bases de données Azure SQL, vos instances managées, vos bases de données relationnelles open source et vos Cosmos DB. | 4 | 1.0.0 |
| Configurer plusieurs paramètres d’intégration de Microsoft Defender for Endpoint avec Microsoft Defender pour le cloud | Configurez les différents paramètres d’intégration de Microsoft Defender for Endpoint avec Microsoft Defender pour le cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION etc.). Consultez https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint pour plus d’informations. | 3 | 1.0.0 |
| Configurer des machines virtuelles SQL et des serveurs SQL avec Arc pour installer Microsoft Defender pour SQL et AMA avec un espace de travail Log Analytics | Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de renforcement de la sécurité (recommandations). Créez un groupe de ressources, une règle de collecte de données et un espace de travail Log Analytics dans la même région que la machine. | 9 | 1.2.1 |
| Configurer des machines virtuelles SQL et des serveurs SQL avec Arc pour installer Microsoft Defender pour SQL et AMA avec un espace de travail Log Analytics défini par l’utilisateur | Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de renforcement de la sécurité (recommandations). Crée un groupe de ressources et une règle de collecte de données dans la même région que l’espace de travail Log Analytics défini par l’utilisateur. | 8 | 1.1.1 |
| Point de référence de sécurité Microsoft Cloud | L’initiative de point de référence de sécurité du cloud Microsoft représente les stratégies et les contrôles qui implémentent les recommandations de sécurité définies dans le point de référence en matière de sécurité du cloud Microsoft (voir https://aka.ms/azsecbm). Cela sert également d’initiative de stratégie par défaut pour Microsoft Defender pour le cloud. Vous pouvez affecter directement cette initiative ou gérer ses stratégies et les résultats de conformité dans Microsoft Defender pour le cloud. | 241 | 57.37.0 |
Initiative par défaut de Defender pour le cloud (point de référence de sécurité Microsoft Cloud)
Pour plus d’informations sur les stratégies intégrées supervisées par Defender pour le cloud, consultez le tableau suivant :
| Nom de stratégie (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé | Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge | AuditIfNotExists, Désactivé | 3.0.0-preview |
| [Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 6.0.0-preview |
| [Préversion] : Les serveurs Azure Stack HCI devraient avoir des politiques de contrôle des applications appliquées de manière cohérente | Au minimum, appliquez la stratégie de base Microsoft WDAC en mode appliqué sur tous les serveurs Azure Stack HCI. Les stratégies appliquées par Windows Defender Application Control (WDAC) doivent être cohérentes entre les serveurs d'un même cluster. | Audit, Désactivé, AuditIfNotExists | 1.0.0-preview |
| [Préversion] : Les serveurs Azure Stack HCI doivent répondre aux exigences de base sécurisée | Assurez-vous que tous les serveurs Azure Stack HCI répondent aux exigences de base sécurisée. Pour activer la configuration requise pour le serveur principal sécurisé : 1. Sur la page des clusters Azure Stack HCI, accédez à Windows Admin Center, puis sélectionnez Se connecter. 2. Accédez à l’extension de sécurité et sélectionnez Secured-core. 3. Sélectionnez un paramètre qui n’est pas activé, puis cliquez sur Activer. | Audit, Désactivé, AuditIfNotExists | 1.0.0-preview |
| [Préversion] : Les systèmes Azure Stack HCI doivent disposer de volumes chiffrés | Utilisez BitLocker pour chiffrer le système d'exploitation et les volumes de données sur les systèmes Azure Stack HCI. | Audit, Désactivé, AuditIfNotExists | 1.0.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge | Installez l’extension Attestation d’invité sur les machines virtuelles Linux prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux machines virtuelles Linux confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 6.0.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Linux prises en charge | Installez l’extension Attestation d’invité sur les groupes de machines virtuelles identiques Linux prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux groupes de machines virtuelles identiques Linux confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 5.1.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Windows prises en charge | Installez l’extension Attestation d’invité sur les machines virtuelles prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux machines virtuelles Windows confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 4.0.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Windows prises en charge | Installez l’extension Attestation d’invité sur les groupes de machines virtuelles identiques prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux groupes de machines virtuelles identiques Windows confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 3.1.0-preview |
| [Préversion] : Le réseau des hôtes et des machines virtuelles doit être protégé sur les systèmes Azure Stack HCI | Protégez les données sur le réseau de l'hôte Azure Stack HCI et sur les connexions réseau des machines virtuelles. | Audit, Désactivé, AuditIfNotExists | 1.0.0-preview |
| [Préversion] : les machines virtuelles Linux doivent utiliser uniquement des composants de démarrage signés et approuvés | Tous les composants de démarrage du système d’exploitation (chargeur de démarrage, noyau, pilotes de noyau) doivent être signés par des éditeurs approuvés. Defender pour le cloud a identifié des composants de démarrage du système d’exploitation non approuvés sur une ou plusieurs de vos machines Linux. Pour protéger vos machines contre les composants potentiellement malveillants, ajoutez-les à votre liste d’autorisation ou supprimez les composants identifiés. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : l’extension Log Analytics doit être installée sur vos machines Linux Azure Arc | Cette stratégie audite les machines Linux Azure Arc si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1-preview |
| [Préversion] : l’extension Log Analytics doit être installée sur vos machines Windows Azure Arc | Cette stratégie audite les machines Windows Azure Arc si l’extension Log Analytics n’est pas installée. | AuditIfNotExists, Désactivé | 1.0.1-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [Préversion] : Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge | Activez le démarrage sécurisé sur les machines virtuelles Windows prises en charge pour réduire les changements malveillants et non autorisés de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. Cette évaluation s’applique aux machines virtuelles Windows confidentielles et avec lancement fiable. | Audit, Désactivé | 4.0.0-preview |
| [Préversion] : L’accès public au compte de stockage doit être interdit | L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. | audit, Audit, refus, Refus, désactivé, Désactivé | 3.1.0-preview |
| [Préversion] : Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour) | Des mises à jour système, critiques et de sécurité sont manquantes sur vos machines. Les mises à jour de logiciel incluent souvent des correctifs critiques pour les failles de sécurité. Ces failles sont souvent exploitées lors d’attaques de programmes malveillants. Il est donc essentiel de maintenir vos logiciels à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez la procédure de correction. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : vTPM doit être activé sur les machines virtuelles prises en charge | Activez l’appareil module de plateforme sécurisée (TPM) virtuel sur les machines virtuelles prises en charge pour faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. Cette évaluation s’applique uniquement aux machines virtuelles pour lesquelles le lancement fiable est activé. | Audit, Désactivé | 2.0.0-preview |
| 3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Un administrateur Microsoft Entra doit être approvisionné pour les serveurs MySQL | Auditer l’approvisionnement d’un administrateur Microsoft Entra pour votre serveur MySQL afin d’activer l’authentification Microsoft Entra. L’authentification Microsoft Entra permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.1.1 |
| Un administrateur Microsoft Entra doit être approvisionné pour les serveurs PostgreSQL | Auditer l’approvisionnement d’un administrateur Microsoft Entra pour votre serveur PostgreSQL afin d’activer l’authentification Microsoft Entra. L’authentification Microsoft Entra permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.1 |
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines | Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet | Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle | AuditIfNotExists, Désactivé | 3.0.0 |
| Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour | Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs. | AuditIfNotExists, Désactivé | 3.0.0 |
| Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
| Les points de terminaison d’API dans Gestion des API Azure doivent être authentifiés | Les points de terminaison d’API publiés dans Gestion des API Azure doivent appliquer l’authentification pour faciliter la réduction des risques de sécurité. Les mécanismes d’authentification sont parfois implémentés de manière incorrecte ou sont manquants. Cela permet aux attaquants d’exploiter les failles d’implémentation et d’accéder aux données. Apprenez-en plus ici sur la menace de l’API OWASP pour l’authentification utilisateur interrompue : https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Désactivé | 1.0.1 |
| Les points de terminaison d’API inutilisés doivent être désactivés et supprimés du service Gestion des API Azure | Comme bonne pratique de sécurité, les points de terminaison d’API qui n’ont pas reçu de trafic depuis 30 jours sont considérés comme inutilisés et doivent être supprimés du service Gestion des API Azure. La conservation de points de terminaison d’API inutilisés peut présenter un risque de sécurité pour votre organisation. Il pourrait s’agir d’API qui auraient dû être dépréciées du service Gestion des API Azure, mais qui auraient été laissées actives par erreur. Ces API ne bénéficient généralement pas de la couverture de sécurité la plus récente. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les API Gestion des API doivent utiliser uniquement des protocoles chiffrés | Pour garantir la sécurité des données en transit, les API doivent être disponibles uniquement via des protocoles chiffrés, tels que HTTPS ou WSS. Évitez d’utiliser des protocoles non sécurisés, tels que HTTP ou WS. | Audit, Désactivé, Refus | 2.0.2 |
| Les appels de Gestion des API aux back-ends d’API doivent être authentifiés | Les appels de Gestion des API vers des back-ends doivent utiliser une forme d’authentification, par le biais de certificats ou d’informations d’identification. Ne s’applique pas aux back-ends Service Fabric. | Audit, Désactivé, Refus | 1.0.1 |
| Les appels de Gestion des API aux back-ends d’API ne doivent pas contourner l’empreinte numérique du certificat ou la validation du nom | Pour améliorer la sécurité de l’API, Gestion des API doit valider le certificat de serveur backend pour tous les appels d’API. Activez l’empreinte numérique du certificat SSL et la validation du nom. | Audit, Désactivé, Refus | 1.0.2 |
| Le point de terminaison direct de Gestion des API ne doit pas être activé | L’API REST de gestion directe dans Gestion des API Azure contourne les mécanismes de contrôle d’accès en fonction du rôle, d’autorisation et de limitation d’Azure Resource Manager, ce qui augmente la vulnérabilité de votre service. | Audit, Désactivé, Refus | 1.0.2 |
| La version minimale de Gestion des API doit être définie le 01/12/2019 ou une version ultérieure. | Pour empêcher le partage des secrets de service avec des utilisateurs en lecture seule, la version d’API minimale doit être définie sur 01/12/2019 ou une version ultérieure. | Audit, Refuser, Désactivé | 1.0.1 |
| Les valeurs nommées des secrets de Gestion des API doivent être stockées dans Azure Key Vault | Les valeurs nommées représentent une collection de paires nom et valeur dans chaque service Gestion des API. Les valeurs de secret peuvent être stockées en tant que texte chiffré dans Gestion des API (secrets personnalisés) ou en référençant les secrets dans Azure Key Vault. Pour renforcer la sécurité de Gestion des API et des secrets, référencez les valeurs nommées des secrets à partir de Azure Key Vault. Azure Key Vault prend en charge la gestion précise des accès et les stratégies de rotation des secrets. | Audit, Désactivé, Refus | 1.0.2 |
| Les services Gestion des API doivent utiliser un réseau virtuel | Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. | Audit, Refuser, Désactivé | 1.0.2 |
| Gestion des API doit désactiver l’accès réseau public aux points de terminaison de configuration de service | Pour améliorer la sécurité des services Gestion des API, limitez la connectivité aux points de terminaison de configuration des services, tels que l’API de gestion de l’accès direct, le point de terminaison de gestion de la configuration Git ou le point de terminaison de configuration des passerelles auto-hébergées. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les abonnements à Gestion des API ne doivent pas être étendus à toutes les API | Les abonnements à Gestion des API doivent être étendus à un produit ou à une API individuelle au lieu de toutes les API, ce qui peut entraîner une exposition excessive des données. | Audit, Désactivé, Refus | 1.1.0 |
| App Configuration doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Désactivé | 1.0.2 |
| L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications App Service doivent avoir activé les journaux des ressources | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
| Les applications App Service doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
| Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
| L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
| L’authentification auprès des machines Linux doit exiger des clés SSH | Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Désactivé | 3.2.0 |
| Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes | Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. | Audit, Désactivé | 2.0.1 |
| Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement | Pour superviser les menaces et les vulnérabilités de sécurité, Azure Security Center collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, auparavant appelé Microsoft Monitoring Agent (MMA). Cet agent lit divers journaux d’événements et configurations liés à la sécurité de la machine, puis copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles Azure prises en charge et sur toutes celles qui sont créées. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les variables de compte Automation doivent être chiffrées | Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles | Audit, Refuser, Désactivé | 1.1.0 |
| Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
| Les ressources Azure AI Services doivent limiter l’accès réseau | En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. | Audit, Refuser, Désactivé | 3.2.0 |
| La version de la plateforme Gestion des API Azure doit être stv2 | La version de la plateforme de calcul stv1 Gestion des API Azure sera mise hors service le 31 août 2024, et ces instances doivent être migrées vers la plateforme de calcul stv2 pour une prise en charge continue. Pour en savoir plus, voir https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Refuser, Désactivé | 1.0.0 |
| L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc | L'extension Azure Policy pour Azure Arc fournit des mesures d'application et de protection à grande échelle sur vos clusters Kubernetes compatibles avec Arc, de manière centralisée et cohérente. Pour en savoir plus, rendez-vous sur https://aka.ms/akspolicydoc. | AuditIfNotExists, Désactivé | 1.1.0 |
| La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
| Azure Cache pour Redis doit utiliser une liaison privée | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu | Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. | Audit, Refuser, Désactivé | 2.0.0 |
| Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre compte Azure Cosmos DB. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/cosmosdb-cmk. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Azure Cosmos DB doit désactiver l’accès au réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que votre compte CosmosDB ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre compte CosmosDB. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Refuser, Désactivé | 1.0.0 |
| Les clusters Azure Databricks doivent désactiver l’adresse IP publique | La désactivation de l’adresse IP publique des clusters dans les espaces de travail Azure Databricks renforce la sécurité en veillant à ce que les clusters ne soient pas exposés sur l’Internet public. Pour en savoir plus, rendez-vous à l’adresse suivante : https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Audit, Refuser, Désactivé | 1.0.1 |
| Les espaces de travail Azure Databricks doivent se trouver dans un réseau virtuel | Les réseaux virtuels Azure offrent une sécurité et une isolation améliorées pour vos espaces de travail Azure Databricks, ainsi que des sous-réseaux, des stratégies de contrôle d’accès et d’autres fonctionnalités pour restreindre davantage l’accès. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Audit, Refuser, Désactivé | 1.0.2 |
| Les espaces de travail Azure Databricks doivent désactiver l’accès au réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez contrôler l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Audit, Refuser, Désactivé | 1.0.1 |
| Les espaces de travail Azure Databricks doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Databricks, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/adbpe. | Audit, Désactivé | 1.0.2 |
| Azure DDoS Protection doit être activé | La protection DDoS doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’une passerelle applicative avec une adresse IP publique. | AuditIfNotExists, Désactivé | 3.0.1 |
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les bases de données relationnelles open source doit être activé | Azure Defender pour les bases de données relationnelles détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des bases de données. En savoir plus sur les fonctionnalités d’Azure Defender pour les bases de données relationnelles open source sur https://aka.ms/AzDforOpenSourceDBsDocu. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. Découvrir les prix dans la page de tarification de Security Center : https://aka.ms/pricing-security-center | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Azure Defender pour SQL doit être activé pour les serveurs flexibles PostgreSQL non protégés | Auditer des serveurs flexibles PostgreSQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 1.0.0 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les domaines Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
| Les rubriques Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
| Azure Key Vault doit avoir le pare-feu activé | Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Refuser, Désactivé | 3.2.1 |
| Les coffres de clés Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Le profil Defender doit être activé sur les clusters Azure Kubernetes Service | Microsoft Defender pour Containers offre plusieurs fonctionnalités de sécurité Kubernetes cloud natives, dont le renforcement de l’environnement, la protection de la charge de travail et la protection à l’exécution. Quand vous activez SecurityProfile.AzureDefender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter les données d’événement de sécurité. Apprenez-en davantage sur Microsoft Defender pour Containers dans https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Désactivé | 2.0.1 |
| Les instances de calcul Azure Machine Learning doivent être recréées pour obtenir les dernières mises à jour de logiciel | Vérifiez que les instances de calcul Azure Machine Learning s’exécutent sur le dernier système d’exploitation disponible. La sécurité est renforcée et les vulnérabilités sont réduites si l’exécution se fait avec les derniers correctifs de sécurité. Pour plus d’informations, consultez https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Les capacités de calcul Azure Machine Learning doivent se trouver dans un réseau virtuel | Le réseau virtuel Azure fournit une sécurité et une isolation améliorées pour vos clusters et instances de calcul Azure Machine Learning, ainsi que des sous-réseaux, des stratégies de contrôle d’accès et d’autres fonctionnalités permettant de restreindre davantage l’accès. Quand une capacité de calcul Azure Machine Learning est configurée avec un réseau virtuel, elle n’est pas adressable publiquement et est accessible uniquement à partir de machines virtuelles et d’applications figurant dans le réseau virtuel. | Audit, Désactivé | 1.0.1 |
| Les méthodes d’authentification locale doivent être désactivées pour les capacités de calcul Azure Machine Learning | La désactivation des méthodes d’authentification locale renforce la sécurité en veillant à ce que les capacités de calcul Machine Learning requièrent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-ml-aad-policy. | Audit, Refuser, Désactivé | 2.1.0 |
| Les espaces de travail Azure Machine Learning doivent être chiffrés au moyen d’une clé gérée par le client | Gérez le chiffrement au repos des données de votre espace de travail Azure Machine Learning à l’aide de clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/azureml-workspaces-cmk. | Audit, Refuser, Désactivé | 1.0.3 |
| Les espaces de travail Azure Machine Learning doivent désactiver l’accès au réseau public | La désactivation de l’accès au réseau public renforce la sécurité en veillant à ce que les espaces de travail Machine Learning ne soient pas exposés sur l’Internet public. Vous pouvez contrôler l’exposition de vos espaces de travail en créant des points de terminaison privés à la place. Pour plus d’informations, consultez : https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | Audit, Refuser, Désactivé | 2.0.1 |
| Les espaces de travail Azure Machine Learning doivent utiliser un lien privé | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Désactivé | 1.0.0 |
| Le serveur flexible Azure MySQL doit avoir l’authentification Microsoft Entra uniquement activée | La désactivation des méthodes d’authentification locales et l’autorisation de l’authentification Microsoft Entra uniquement améliore la sécurité en garantissant que le serveur flexible Azure MySQL est accessible exclusivement par les identités Microsoft Entra. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters | L’extension Azure Policy pour Azure Kubernetes Service (AKS) étend Gatekeeper v3, webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mesures et des protections à grande échelle sur vos clusters de manière centralisée et cohérente. | Audit, Désactivé | 1.0.2 |
| Les vulnérabilités doivent être résolues sur les images conteneur de registre Azure (technologie Gestion des vulnérabilités Microsoft Defender) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | AuditIfNotExists, Désactivé | 1.0.1 |
| Le contrôle d’accès en fonction du rôle Azure (RBAC) doit être utilisé sur Kubernetes Service | Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle Azure (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. | Audit, Désactivé | 1.0.3 |
| Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution (technologie Gestion des vulnérabilités Microsoft Defender) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | AuditIfNotExists, Désactivé | 1.0.1 |
| Azure SignalR Service doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. | Audit, Désactivé | 1.0.0 |
| Azure Spring Cloud doit utiliser l’injection de réseau | Les instances Azure Spring Cloud doivent utiliser l’injection de réseau virtuel pour les motifs suivants : 1. Isoler Azure Spring Cloud d’Internet. 2. Permettre à Azure Spring Cloud d’interagir avec des systèmes de centres de données locaux ou des services Azure d’autres réseaux virtuels. 3. Permettre aux clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Cloud. | Audit, Désactivé, Refus | 1.2.0 |
| Azure SQL Database doit exécuter TLS version 1.2 ou ultérieure | La définition de la version de TLS sur 1.2 ou une version ultérieure améliore la sécurité en garantissant que votre instance Azure SQL Database n’est accessible qu’à partir de clients utilisant TLS 1.2 ou version ultérieure. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. | Audit, Désactivé, Refus | 2.0.0 |
| L’authentification Microsoft Entra uniquement doit être activée pour Azure SQL Database | Exiger que les serveurs logiques Azure SQL utilisent l’authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas la création de serveurs dont l’authentification locale est activée. Elle empêche l’authentification locale d’être activée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adonlycreate. | Audit, Refuser, Désactivé | 1.0.0 |
| L’authentification Microsoft Entra uniquement doit être activée pour Azure SQL Database lors de la création | Exiger que les serveurs logiques Azure SQL soient créés avec l’authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas l’authentification locale d’être réactivée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adonlycreate. | Audit, Refuser, Désactivé | 1.2.0 |
| L’authentification Microsoft Entra uniquement doit être activée pour Azure SQL Managed Instance | Exiger qu’Azure SQL Managed Instance utilise l'authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas la création d’instances Azure SQL Managed dont l’authentification locale est activée. Elle empêche l’authentification locale d’être activée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adonlycreate. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure SQL Managed Instances doit désactiver l’accès au réseau public | La désactivation de l’accès au réseau public (point de terminaison public) sur les instances managées Azure SQL améliore la sécurité en garantissant qu’elles ne peuvent être accessibles qu’à partir de leurs réseaux virtuels ou via des points de terminaison privés. Pour en savoir plus sur l’accès au réseau public, consultez https://aka.ms/mi-public-endpoint. | Audit, Refuser, Désactivé | 1.0.0 |
| L’authentification Microsoft Entra uniquement doit être activée pour Azure SQL Managed Instances lors de la création | Exiger que Azure SQL Managed Instance soit créé avec l'authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas l’authentification locale d’être réactivée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adonlycreate. | Audit, Refuser, Désactivé | 1.2.0 |
| Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 1.0.2 |
| Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| La période de validité maximale doit être spécifiée pour les certificats | Gérez les exigences en matière de conformité de votre organisation en spécifiant la durée maximale pendant laquelle un certificat peut être valide dans votre coffre de clés. | audit, Audit, refus, Refus, désactivé, Désactivé | 2.2.1 |
| Les comptes Cognitive Services doivent activer le chiffrement des données avec une clé gérée par le client | Des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données stockées dans Cognitive Services avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur les clés gérées par le client sur https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Refuser, Désactivé | 2.1.0 |
| Les services Cognitive Services doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Désactivé | 3.0.0 |
| Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/acr/CMK. | Audit, Refuser, Désactivé | 1.1.2 |
| Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint | Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. | Audit, Refuser, Désactivé | 2.0.0 |
| Les registres de conteneurs doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. | Audit, Désactivé | 1.0.1 |
| Les méthodes d’authentification locales doivent être désactivées pour les comptes Cosmos DB | La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les comptes de base de données Cosmos DB nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Refuser, Désactivé | 1.1.0 |
| Les comptes CosmosDB doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Désactivé | 1.0.0 |
| La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.1.0 |
| La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.1.0 |
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Désactivé | 1.0.0 |
| Endpoint Protection doit être installé sur vos machines | Pour protéger vos machines contre les menaces et les vulnérabilités, installez une solution de protection des points de terminaison prise en charge. | AuditIfNotExists, Désactivé | 1.0.0 |
| La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques | Vérifiez l’existence et l’intégrité d’une solution Endpoint Protection dans vos groupes de machines virtuelles identiques, pour les protéger des menaces et des vulnérabilités. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL | La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL | Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
| Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
| Les applications de fonction doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB | Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.3 |
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les clés Key Vault doivent avoir une date d’expiration | Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement. | Audit, Refuser, Désactivé | 1.0.2 |
| Les secrets Key Vault doivent avoir une date d’expiration | Les secrets doivent avoir une date d’expiration définie et ne pas être permanents. Les secrets valides indéfiniment offrent à un attaquant potentiel plus de temps pour les compromettre. Il est recommandé de définir les dates d’expiration des secrets. | Audit, Refuser, Désactivé | 1.0.2 |
| La protection contre la suppression doit être activée pour les coffres de clés | La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. | Audit, Refuser, Désactivé | 2.1.0 |
| La suppression réversible doit être activée sur les coffres de clés | La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable. | Audit, Refuser, Désactivé | 3.0.0 |
| Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées | Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.2.0 |
| Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte | Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés | Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.1 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.2.0 |
| Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule | Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.2.0 |
| Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés | Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.1 |
| Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés | Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.1 |
| Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés | Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.0 |
| Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés | Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.0 |
| Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés | Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.1.0 |
| Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS | L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.0 |
| Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API | Désactivez le montage automatique des informations d’identification d’API pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes d’API sur des clusters Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 4.1.0 |
| Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur | N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.0 |
| Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN | Pour réduire la surface d’attaque de vos conteneurs, limitez les fonctionnalités Linux CAP_SYS_ADMIN. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
| Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut | Empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes pour éviter tout accès non autorisé aux types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 4.1.0 |
| L’agent Log Analytics doit être installé sur les machines Linux sur Azure Arc | Les machines ne sont pas conformes si l’agent Log Analytics n’est pas installé sur le serveur Linux avec Azure Arc. | AuditIfNotExists, Désactivé | 1.1.0 |
| Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. | AuditIfNotExists, Désactivé | 2.2.0 |
| Les machines virtuelles Linux doivent activer Azure Disk Encryption ou EncryptionAtHost. | Bien que le système d’exploitation et les disques de données d’une machine virtuelle soient chiffrés au repos par défaut à l’aide de clés gérées par la plateforme ; les disques de ressources (disques temporaires), les caches de données et les données qui circulent entre les ressources de calcul et de Stockage ne sont pas chiffrées. Utilisez Azure Disk Encryption ou EncryptionAtHost pour corriger. Consultez https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.2.1 |
| L’agent Log Analytics doit être installé sur votre machine virtuelle pour la supervision Azure Security Center | Cette stratégie audite les machines virtuelles Windows/Linux si l’agent Log Analytics, que Security Center utilise pour superviser les vulnérabilités et les menaces liées à la sécurité, n’est pas installé | AuditIfNotExists, Désactivé | 1.0.0 |
| L’agent Log Analytics doit être installé sur vos groupes de machines virtuelles identiques pour la supervision Azure Security Center | Azure Security Center collecte des données à partir de vos machines virtuelles Azure pour surveiller les menaces et vulnérabilités de sécurité. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les machines doivent être configurées pour rechercher régulièrement les mises à jour système manquantes | Pour garantir que les évaluations périodiques des mises à jour système manquantes sont déclenchées automatiquement toutes les 24 heures, la propriété AssessmentMode doit être définie sur « AutomaticByPlatform ». Découvrez-en plus sur la propriété AssessmentMode pour Windows : https://aka.ms/computevm-windowspatchassessmentmode, pour Linux : https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Refuser, Désactivé | 3.7.0 |
| Les machines doivent avoir des résultats du secret résolus | Audite les machines virtuelles pour détecter si elles contiennent des résultats de secrets provenant des solutions d’analyse des secrets sur vos machines virtuelles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| Microsoft Defender CSPM doit être activé | La gestion de la posture de sécurité cloud Defender (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de posture de sécurité de base gratuites activées par défaut dans Defender pour le cloud. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour API doit être activé | Microsoft Defender pour API fournit une nouvelle couverture de découverte, de protection, de détection et de réponse pour surveiller les attaques basées sur les API courantes et les configurations de sécurité incorrectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour SQL doit être activé pour les espaces de travail Synapse non protégés | Activez Defender pour SQL pour protéger vos espaces de travail Synapse. Defender pour SQL surveille Synapse SQL pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des bases de données. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour l’état SQL doit être protégé pour les serveurs SQL compatibles avec Arc | Microsoft Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, découvrir et classer les données sensibles. Une fois activé, l’état de protection indique que la ressource est activement surveillée. Même lorsque Defender est activé, plusieurs paramètres de configuration doivent être validés sur l’agent, l’ordinateur, l’espace de travail et SQL Server pour garantir une protection active. | Audit, Désactivé | 1.0.1 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
| Superviser les agents Endpoint Protection manquants dans Azure Security Center | Les serveurs sans agent Endpoint Protection installé seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Les serveurs MySQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs MySQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | AuditIfNotExists, Désactivé | 1.0.4 |
| Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées | Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit, Refuser, Désactivé | 1.0.0 |
| Les serveurs PostgreSQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs PostgreSQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | AuditIfNotExists, Désactivé | 1.0.4 |
| Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. | Audit, Désactivé | 1.1.0 |
| Le point de terminaison privé doit être activé pour les serveurs MariaDB | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le point de terminaison privé doit être activé pour les serveurs MySQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le point de terminaison privé doit être activé pour les serveurs PostgreSQL | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
| L’accès au réseau public sur Azure SQL Database doit être désactivé | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 1.1.0 |
| L’accès au réseau public doit être désactivé pour les serveurs MariaDB | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database for MariaDB n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.0 |
| L’accès au réseau public doit être désactivé pour les serveurs MySQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour MySQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.0 |
| L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour PostgreSQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.1 |
| Les journaux de ressources dans Azure Data Lake Store doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans les espaces de travail Azure Databricks doivent être activés | Les journaux de ressources permettent de recréer des pistes d’activité à utiliser à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les journaux de ressources dans Azure Kubernetes Service doivent être activés | Les journaux de ressources d’Azure Kubernetes Service permettent de recréer des traçages d’activité durant l’investigation d’incidents de sécurité. Activez-les pour avoir la garantie de pouvoir en disposer quand cela est nécessaire | AuditIfNotExists, Désactivé | 1.0.0 |
| Les journaux de ressource dans les espaces de travail Azure Machine Learning doivent être activés | Les journaux de ressources permettent de recréer des pistes d’activité à utiliser à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les journaux de ressources dans Azure Stream Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans les comptes Batch doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Data Lake Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Event Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans IoT Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 3.1.0 |
| Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Logic Apps doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.1.0 |
| Les journaux de ressources dans les services Search doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Service Bus doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
| La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric | Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement | Audit, Refuser, Désactivé | 1.1.0 |
| Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client | Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
| Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
| Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.0 |
| L’approvisionnement automatique ciblé sur le serveur SQL doit être activé pour les serveurs SQL sur le plan des machines | Pour vous assurer que vos machines virtuelles SQL et vos serveurs SQL avec Arc sont protégés, vérifiez que Azure Monitoring Agent ciblé par SQL est configuré pour le déploiement automatique. Cela est également nécessaire si vous avez précédemment configuré l’approvisionnement automatique de Microsoft Monitoring Agent, car ce composant est déprécié. En savoir plus : https://aka.ms/SQLAMAMigration | AuditIfNotExists, Désactivé | 1.0.0 |
| Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.1 |
| Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | À des fins d’investigation d’incident, nous vous recommandons de définir la conservation des données pour la fonctionnalité d’audit de votre serveur SQL Server sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les comptes de stockage doivent être migrés vers de nouvelles ressources Azure Resource Manager | Profitez des nouveautés d’Azure Resource Manager pour renforcer la sécurité de vos comptes de stockage : contrôle d’accès plus puissant, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité, etc. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent empêcher l’accès à la clé partagée | Exigence d’audit d’Azure AD (Azure Active Directory) pour autoriser les requêtes pour votre compte de stockage. Par défaut, les requêtes peuvent être autorisées soit avec des informations d’identification Azure Active Directory, soit à l’aide de la clé d’accès au compte pour l’autorisation avec clé partagée. Entre ces deux types d’autorisation, Azure AD offre une sécurité et une facilité d’utilisation supérieures par rapport à une clé partagée, et est recommandé par Microsoft. | Audit, Refuser, Désactivé | 2.0.0 |
| Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
| Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau | Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. | Audit, Refuser, Désactivé | 1.0.1 |
| Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement | Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Désactivé | 1.0.3 |
| Les comptes de stockage doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Désactivé | 2.0.0 |
| les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’authentification Microsoft Entra uniquement doit être activée pour les espaces de travail Synapse | Exiger que les espaces de travail Synapse utilise l'authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas la création d’espaces de travail dont l’authentification locale est activée. Elle empêche l’authentification locale d’être activée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/Synapse. | Audit, Refuser, Désactivé | 1.0.0 |
| Les espaces de travail Synapse doivent utiliser uniquement les identités Microsoft Entra pour l’authentification lors de la création de l’espace de travail | Exiger que les espaces de travail Synapse soient créés avec l'authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas l’authentification locale d’être réactivée sur les ressources après leur création. Envisagez plutôt d’utiliser l’initiative « Authentification Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/Synapse. | Audit, Refuser, Désactivé | 1.2.0 |
| Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | Vérifiez si des mises à jour de sécurité système et des mises à jour critiques sont manquantes et doivent être installées pour assurer la sécurité de vos groupes de machines virtuelles identiques Windows et Linux. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les mises à jour système doivent être installées sur vos machines | Les mises à jour système de sécurité manquantes sur vos serveurs seront supervisées par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 4.0.0 |
| Plusieurs propriétaires doivent être attribués à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé | Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. | Audit, Refuser, Désactivé | 1.0.0 |
| Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. | Audit, Refuser, Désactivé | 1.0.0 |
| Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage | Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Désactivé | 2.0.3 |
| L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
| Les modèles VM Image Builder doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Désactivé, Refus | 1.1.0 |
| Les passerelles VPN doivent utiliser uniquement l’authentification Azure AD (Azure Active Directory) pour les utilisateurs point à site | La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les passerelles VPN utilisent uniquement les identités Azure Active Directory pour l’authentification. En savoir plus sur l’authentification Azure AD sur https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Refuser, Désactivé | 1.0.0 |
| Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées | Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Azure Security Center. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
| Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées | Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 2.0.0 |
| Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 4.1.1 |
| L’agent Log Analytics doit être installé sur les machines Windows sur Azure Arc | Les machines ne sont pas conformes si l’agent Log Analytics n’est pas installé sur un serveur Windows avec Azure Arc. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines virtuelles Windows doivent activer Azure Disk Encryption ou EncryptionAtHost. | Bien que le système d’exploitation et les disques de données d’une machine virtuelle soient chiffrés au repos par défaut à l’aide de clés gérées par la plateforme ; les disques de ressources (disques temporaires), les caches de données et les données qui circulent entre les ressources de calcul et de Stockage ne sont pas chiffrées. Utilisez Azure Disk Encryption ou EncryptionAtHost pour corriger. Consultez https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.1.1 |
Catégorie Microsoft Defender pour le cloud
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : L’agent Azure Security doit être installé sur vos machines Linux Arc | Installez l’agent Azure Security sur vos machines Linux Arc afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : L’agent Azure Security doit être installé sur vos groupes de machines virtuelles identiques Linux | Installez l’agent Azure Security sur vos groupes de machines virtuelles identiques Linux afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : L’agent Azure Security doit être installé sur vos machines virtuelles Linux | Installez l’agent Azure Security sur vos machines virtuelles Linux afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : L’agent Azure Security doit être installé sur vos machines Windows Arc | Installez l’agent Azure Security sur vos machines Windows Arc afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : L’agent Azure Security doit être installé sur vos groupes de machines virtuelles identiques Windows | Installez l’agent Azure Security sur vos groupes de machines virtuelles identiques Windows afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. | AuditIfNotExists, Désactivé | 2.1.0-preview |
| [Préversion] : L’agent Azure Security doit être installé sur vos machines virtuelles Windows | Installez l’agent Azure Security sur vos machines virtuelles Windows afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. | AuditIfNotExists, Désactivé | 2.1.0-preview |
| [Préversion] : l’extension ChangeTracking doit être installée sur votre machine Linux Arc | Installez l’extension ChangeTracking sur les machines Linux Arc pour activer l’analyse de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : L’extension ChangeTracking doit être installée sur votre machine virtuelle Linux | Installez l’extension ChangeTracking sur les machines virtuelles Linux pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : L’extension ChangeTracking doit être installée sur vos groupes de machines virtuelles identiques Linux | Installez l’extension ChangeTracking sur des groupes de machines virtuelles identiques Linux pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : l’extension ChangeTracking doit être installée sur votre machine Windows Arc | Installez l’extension ChangeTracking sur les machines Windows Arc pour activer l’analyse de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : L’extension ChangeTracking doit être installée sur votre machine virtuelle Windows | Installez l’extension ChangeTracking sur des machines virtuelles Windows pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : L’extension ChangeTracking doit être installée sur vos groupes de machines virtuelles identiques Windows | Installez l’extension ChangeTracking sur des groupes de machines virtuelles identiques Windows pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer l’agent Azure Defender pour SQL sur une machine virtuelle | Configurez des machines Windows pour installer automatiquement l’agent Azure Defender pour SQL où l’agent Azure Monitor est installé. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Crée un groupe de ressources et un espace de travail Log Analytics dans la même région que la machine. Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : configurer l’extension ChangeTracking pour les machines Linux Arc | Configurez des machines Linux Arc pour installer automatiquement l’extension ChangeTracking et activer l’analyse de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer l’extension ChangeTracking pour les groupes de machines virtuelles identiques Linux | Configurez des groupes de machines virtuelles identiques Linux pour installer automatiquement l’extension ChangeTracking pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer l’extension ChangeTracking pour les machines virtuelles Linux | Configurez des machines virtuelles identiques Linux pour installer automatiquement l’extension ChangeTracking pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : configurer l’extension ChangeTracking pour les machines Windows Arc | Configurez des machines Windows Arc pour installer automatiquement l’extension ChangeTracking et activer l’analyse de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer l’extension ChangeTracking pour les groupes de machines virtuelles identiques Windows | Configurez des groupes de machines virtuelles identiques Windows pour installer automatiquement l’extension ChangeTracking pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer l’extension ChangeTracking pour les machines virtuelles Windows | Configurez des machines virtuelles Windows pour installer automatiquement l’extension ChangeTracking pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer les machines Linux Arc prises en charge pour installer automatiquement l’agent Azure Security | Configurez les machines Linux Arc prises en charge pour installer automatiquement l’agent de sécurité Azure. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines Linux Arc cibles doivent se trouver dans un emplacement pris en charge. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer les groupes de machines virtuelles identiques Linux pris en charge pour installer automatiquement l’agent Azure Security | Configurez les machines virtuelles Linux prises en charge pour installer automatiquement l’agent Azure Security. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer les groupes de machines virtuelles identiques Linux pris en charge pour installer automatiquement l’extension Attestation d’invité | Configurez les groupes de machines virtuelles identiques Linux prises en charge pour installer automatiquement l’extension Attestation d’invité afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 6.1.0-preview |
| [Préversion] : Configurer les machines virtuelles Linux prises en charge pour activer automatiquement le démarrage sécurisé | Configurez les machines virtuelles Linux prises en charge pour activer automatiquement le démarrage sécurisé afin d’atténuer les modifications malveillantes et non autorisées de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. | DeployIfNotExists, Désactivé | 5.0.0-preview |
| [Préversion] : Configurer les machines virtuelles Linux prises en charge pour installer automatiquement l’agent Azure Security | Configurez les machines virtuelles Linux prises en charge pour installer automatiquement l’agent de sécurité Azure. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. | DeployIfNotExists, Désactivé | 7.0.0-preview |
| [Préversion] : Configurer les machines virtuelles Linux prises en charge pour installer automatiquement l’extension Attestation d’invité | Configurez les machines virtuelles Linux prises en charge pour installer automatiquement l’extension Attestation d’invité afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 7.1.0-preview |
| [Préversion] : Configurer les machines virtuelles prises en charge pour activer automatiquement vTPM | Configurez les machines virtuelles prises en charge pour activer automatiquement vTPM afin de faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer les machines Windows Arc prises en charge pour installer automatiquement l’agent Azure Security | Configurez les machines virtuelles Windows Arc prises en charge pour installer automatiquement l’agent de sécurité Azure. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines Windows Arc cibles doivent se trouver dans un emplacement pris en charge. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer les machines virtuelles Windows prises en charge pour installer automatiquement l’agent Azure Security | Configurer les machines virtuelles Windows prises en charge pour installer automatiquement l’agent de sécurité Azure. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. | DeployIfNotExists, Désactivé | 5.1.0-preview |
| [Préversion] : Configurer les groupes de machines virtuelles identiques Windows pris en charge pour installer automatiquement l’agent Azure Security | Configurez les groupes de machines virtuelles identiques Windows pris en charge pour installer automatiquement l’agent Azure Security. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les groupes de machines virtuelles identiques Windows cibles doivent se trouver dans un emplacement pris en charge. | DeployIfNotExists, Désactivé | 2.1.0-preview |
| [Préversion] : Configurer les groupes de machines virtuelles identiques Windows pris en charge pour installer automatiquement l’extension Attestation d’invité | Configurez les groupes de machines virtuelles identiques Windows prises en charge pour installer automatiquement l’extension Attestation d’invité afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 4.1.0-preview |
| [Préversion] : Configurer les machines virtuelles Windows prises en charge pour activer automatiquement le démarrage sécurisé | Configurez les machines virtuelles Windows prises en charge pour activer automatiquement le démarrage sécurisé afin d’atténuer les modifications malveillantes et non autorisées de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. | DeployIfNotExists, Désactivé | 3.0.0-preview |
| [Préversion] : Configurer les machines virtuelles Windows prises en charge pour installer automatiquement l’extension Attestation d’invité | Configurez les machines virtuelles Windows prises en charge pour installer automatiquement l’extension Attestation d’invité afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 5.1.0-preview |
| [Préversion] : Configurer les machines virtuelles créées avec des images Shared Image Gallery pour installer l’extension Guest Attestation | Configurez les machines virtuelles créées avec Shared Image Gallery images pour installer automatiquement l’extension Guest Attestation afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [Préversion] : Configurer le groupe de machines virtuelles identiques créé avec Shared Image Gallery images pour installer l’extension Guest Attestation | Configurez les machines virtuelles créées avec Shared Image Gallery images pour installer automatiquement l’extension Guest Attestation afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 2.1.0-preview |
| [Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison sur des machines hybrides Linux | Déploie l’agent Microsoft Defender pour point de terminaison sur des machines hybrides Linux | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison sur des machines virtuelles Linux | Déploie Microsoft Defender pour l’agent point de terminaison sur les images de machine virtuelle Linux applicables. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-preview |
| [Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison sur des machines Windows Azure Arc | Déploie Microsoft Defender pour point de terminaison sur des machines Windows Azure Arc. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison sur des machines virtuelles Windows | Déploie Microsoft Defender pour point de terminaison sur les images de machine virtuelle Windows applicables. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge | Installez l’extension Attestation d’invité sur les machines virtuelles Linux prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux machines virtuelles Linux confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 6.0.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Linux prises en charge | Installez l’extension Attestation d’invité sur les groupes de machines virtuelles identiques Linux prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux groupes de machines virtuelles identiques Linux confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 5.1.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Windows prises en charge | Installez l’extension Attestation d’invité sur les machines virtuelles prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux machines virtuelles Windows confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 4.0.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Windows prises en charge | Installez l’extension Attestation d’invité sur les groupes de machines virtuelles identiques prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux groupes de machines virtuelles identiques Windows confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 3.1.0-preview |
| [Préversion] : les machines virtuelles Linux doivent utiliser uniquement des composants de démarrage signés et approuvés | Tous les composants de démarrage du système d’exploitation (chargeur de démarrage, noyau, pilotes de noyau) doivent être signés par des éditeurs approuvés. Defender pour le cloud a identifié des composants de démarrage du système d’exploitation non approuvés sur une ou plusieurs de vos machines Linux. Pour protéger vos machines contre les composants potentiellement malveillants, ajoutez-les à votre liste d’autorisation ou supprimez les composants identifiés. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Les machines virtuelles Linux doivent utiliser le démarrage sécurisé | Pour protéger contre l’installation de rootkits et de kits de démarrage basés sur des programmes malveillants, activez le démarrage sécurisé sur les machines virtuelles Linux prises en charge. Le démarrage sécurisé garantit que seuls les systèmes d’exploitation et pilotes signés sont autorisés à s’exécuter. Cette évaluation s’applique uniquement aux machines virtuelles Linux sur lesquelles l’agent Azure Monitor est installé. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Les ordinateurs doivent avoir des ports fermés susceptibles d’exposer des vecteurs d’attaque | Les conditions d’utilisation d’Azure interdisent l’utilisation des services Azure d’une manière qui pourrait endommager, désactiver, surcharger ou perturber un serveur Microsoft ou le réseau. Les ports exposés identifiés par cette recommandation doivent être fermés pour le maintien de votre sécurité. Pour chaque port identifié, la recommandation fournit également une explication de la menace potentielle. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge | Activez le démarrage sécurisé sur les machines virtuelles Windows prises en charge pour réduire les changements malveillants et non autorisés de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. Cette évaluation s’applique aux machines virtuelles Windows confidentielles et avec lancement fiable. | Audit, Désactivé | 4.0.0-preview |
| [Préversion] : Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour) | Des mises à jour système, critiques et de sécurité sont manquantes sur vos machines. Les mises à jour de logiciel incluent souvent des correctifs critiques pour les failles de sécurité. Ces failles sont souvent exploitées lors d’attaques de programmes malveillants. Il est donc essentiel de maintenir vos logiciels à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez la procédure de correction. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : L’état de l’attestation d’invité des machines virtuelles doit être sain | L’attestation d’invité est exécutée par l’envoi d’un journal approuvé (TCGLog) à un serveur d’attestation. Le serveur utilise ces journaux pour déterminer si les composants de démarrage sont dignes de confiance. Cette évaluation vise à détecter les compromissions de la chaîne de démarrage qui peuvent résulter d’une infection par un kit de démarrage ou un rootkit. Cette évaluation s’applique uniquement aux machines virtuelles compatibles avec le lancement fiable sur lesquelles l’extension d’attestation d’invité est installée. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : vTPM doit être activé sur les machines virtuelles prises en charge | Activez l’appareil module de plateforme sécurisée (TPM) virtuel sur les machines virtuelles prises en charge pour faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. Cette évaluation s’applique uniquement aux machines virtuelles pour lesquelles le lancement fiable est activé. | Audit, Désactivé | 2.0.0-preview |
| 3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines | Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet | Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle | AuditIfNotExists, Désactivé | 3.0.0 |
| Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour | Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les points de terminaison d’API dans Gestion des API Azure doivent être authentifiés | Les points de terminaison d’API publiés dans Gestion des API Azure doivent appliquer l’authentification pour faciliter la réduction des risques de sécurité. Les mécanismes d’authentification sont parfois implémentés de manière incorrecte ou sont manquants. Cela permet aux attaquants d’exploiter les failles d’implémentation et d’accéder aux données. Apprenez-en plus ici sur la menace de l’API OWASP pour l’authentification utilisateur interrompue : https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Désactivé | 1.0.1 |
| Les points de terminaison d’API inutilisés doivent être désactivés et supprimés du service Gestion des API Azure | Comme bonne pratique de sécurité, les points de terminaison d’API qui n’ont pas reçu de trafic depuis 30 jours sont considérés comme inutilisés et doivent être supprimés du service Gestion des API Azure. La conservation de points de terminaison d’API inutilisés peut présenter un risque de sécurité pour votre organisation. Il pourrait s’agir d’API qui auraient dû être dépréciées du service Gestion des API Azure, mais qui auraient été laissées actives par erreur. Ces API ne bénéficient généralement pas de la couverture de sécurité la plus récente. | AuditIfNotExists, Désactivé | 1.0.1 |
| Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes | Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. | Audit, Désactivé | 2.0.1 |
| Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement | Pour superviser les menaces et les vulnérabilités de sécurité, Azure Security Center collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, auparavant appelé Microsoft Monitoring Agent (MMA). Cet agent lit divers journaux d’événements et configurations liés à la sécurité de la machine, puis copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles Azure prises en charge et sur toutes celles qui sont créées. | AuditIfNotExists, Désactivé | 1.0.1 |
| Azure DDoS Protection doit être activé | La protection DDoS doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’une passerelle applicative avec une adresse IP publique. | AuditIfNotExists, Désactivé | 3.0.1 |
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les bases de données relationnelles open source doit être activé | Azure Defender pour les bases de données relationnelles détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des bases de données. En savoir plus sur les fonctionnalités d’Azure Defender pour les bases de données relationnelles open source sur https://aka.ms/AzDforOpenSourceDBsDocu. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. Découvrir les prix dans la page de tarification de Security Center : https://aka.ms/pricing-security-center | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs SQL sur les machines doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour SQL doit être activé pour les serveurs flexibles PostgreSQL non protégés | Auditer des serveurs flexibles PostgreSQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 1.0.0 |
| Les vulnérabilités (alimentées par la Gestion des vulnérabilités Microsoft Defender) doivent être résolues sur les images de conteneur de registre Azure | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | AuditIfNotExists, Désactivé | 1.0.1 |
| Le contrôle d’accès en fonction du rôle Azure (RBAC) doit être utilisé sur Kubernetes Service | Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle Azure (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. | Audit, Désactivé | 1.0.3 |
| Les vulnérabilités doivent être résolues sur les images conteneur Azure en cours d’exécution (technologie Gestion des vulnérabilités Microsoft Defender) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Vous devez configurer les instances de rôle Services cloud (support étendu) de manière sécurisée | Protégez vos instances de rôle de service cloud (support étendu) contre les attaques en vérifiant qu’elles ne sont pas exposées à des vulnérabilités de système d’exploitation. | AuditIfNotExists, Désactivé | 1.0.0 |
| Vous devez installer une solution Endpoint Protection sur les instances de rôle Services cloud (support étendu) | Protégez vos instances de rôle Services cloud (support étendu) contre les menaces et les vulnérabilités en veillant à y installer solution Endpoint Protection. | AuditIfNotExists, Désactivé | 1.0.0 |
| Vous devez installer les mises à jour système des instances de rôle Services cloud (support étendu) | Sécurisez vos instances de rôle Services cloud (support étendu) en veillant à y installer les mises à jour de sécurité et les mises à jour critiques les plus récentes. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configurer la protection avancée contre les menaces pour l’activer sur des serveurs flexibles Azure Database pour MySQL | Activez la protection avancée contre les menaces sur vos serveurs flexibles Azure Database pour MySQL afin de détecter les activités inhabituelles indiquant des tentatives exceptionnelles et potentiellement dangereuses d’accès ou d’utilisation des bases de données. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer la protection avancée contre les menaces pour qu’elle soit activée sur des serveurs flexibles Azure Database pour PostgreSQL | Activez la protection avancée contre les menaces sur vos serveurs flexibles Azure Database pour PostgreSQL afin de détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’attaque ou d’accès aux bases de données. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les serveurs SQL avec Arc pour installer automatiquement l’agent Azure Monitor | Automatisez le déploiement de l’extension Agent Azure Monitor sur vos serveurs SQL avec Arc Windows. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.3.0 |
| Configurer les serveurs SQL avec Arc pour installer automatiquement Microsoft Defender pour SQL | Configurez les serveurs SQL avec Arc Windows pris en charge pour installer automatiquement l’agent Microsoft Defender pour SQL. Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). | DeployIfNotExists, Désactivé | 1.2.0 |
| Configurer les serveurs SQL avec Arc pour installer automatiquement Microsoft Defender pour SQL et DCR avec un espace de travail Log Analytics | Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). Créez un groupe de ressources, une règle de collecte de données et un espace de travail Log Analytics dans la même région que la machine. | DeployIfNotExists, Désactivé | 1.3.0 |
| Configurer les serveurs SQL avec Arc pour installer automatiquement Microsoft Defender pour SQL et DCR avec un espace de travail Log Analytics défini par l’utilisateur | Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). Créez un groupe de ressources et une règle de collecte de données dans la même région que l’espace de travail Log Analytics défini par l’utilisateur. | DeployIfNotExists, Désactivé | 1.4.0 |
| Configurer des serveurs SQL avec Arc avec association de règles de collecte de données à une DCR Microsoft Defender pour SQL | Configurez l’association entre les serveurs SQL avec Arc et la DCR Microsoft Defender pour SQL. La suppression de cette association rompt la détection des failles de sécurité pour les serveurs SQL avec Arc. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer des serveurs SQL avec Arc avec association de règles de collecte de données à une DCR Microsoft Defender pour SQL définie par l’utilisateur | Configurez l’association entre les serveurs SQL avec Arc et la DCR Microsoft Defender pour SQL définie par l’utilisateur. La suppression de cette association rompt la détection des failles de sécurité pour les serveurs SQL avec Arc. | DeployIfNotExists, Désactivé | 1.2.0 |
| Configurer Azure Defender pour activer App Service | Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer Azure Defender pour activer la base de données Azure SQL | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer Azure Defender pour activer les bases de données relationnelles open source | Azure Defender pour les bases de données relationnelles détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des bases de données. En savoir plus sur les fonctionnalités d’Azure Defender pour les bases de données relationnelles open source sur https://aka.ms/AzDforOpenSourceDBsDocu. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. Découvrir les prix dans la page de tarification de Security Center : https://aka.ms/pricing-security-center | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Azure Defender pour activer Resource Manager | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer Azure Defender pour activer les serveurs | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer Azure Defender pour activer les serveurs SQL sur des machines | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer l’activation de Microsoft Defender pour le stockage de base (supervision de l’activité uniquement) | Microsoft Defender pour le stockage est une couche de sécurité intelligente native Azure qui détecte les menaces potentielles sur vos comptes de stockage. Cette stratégie active les fonctionnalités de base de Defender pour le stockage (supervision de l’activité). Pour activer la protection complète, qui inclut également l’analyse des programmes malveillants lors du chargement et la détection des menaces ciblant des données sensibles, utilisez la stratégie d’activation complète : aka.ms/DefenderForStoragePolicy. Pour en savoir plus sur les fonctionnalités et les avantages de Defender pour le stockage, consultez la page aka.ms/DefenderForStorage. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer des machines pour recevoir un fournisseur d’évaluation des vulnérabilités | Azure Defender comprend l’analyse des vulnérabilités de vos machines sans coût supplémentaire. Vous n’avez pas besoin d’une licence Qualys ni même de compte Qualys : tout est traité de manière fluide dans Security Center. Quand vous activez cette stratégie, Azure Defender déploie automatiquement l’agent d’évaluation des vulnérabilités de Qualys sur tous les ordinateurs pris en charge qui en sont dépourvus. | DeployIfNotExists, Désactivé | 4.0.0 |
| Configurer un plan Microsoft Defender CSPM | La gestion de la posture de sécurité cloud Defender (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de posture de sécurité de base gratuites activées par défaut dans Defender pour le cloud. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Microsoft Defender CSPM pour qu’il soit activé | La gestion de la posture de sécurité cloud Defender (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de posture de sécurité de base gratuites activées par défaut dans Defender pour le cloud. | DeployIfNotExists, Désactivé | 1.0.2 |
| Configurer Microsoft Defender pour Azure Cosmos DB à activer | Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte les tentatives d’exploitation des bases de données dans vos comptes Azure Cosmos DB. Defender pour Azure Cosmos DB détecte les injections de code SQL potentielles, les intervenants malveillants connus de Microsoft Threat Intelligence, les modèles d’accès suspects et l’exploitation potentielle de votre base de données par le biais d’identités compromises ou d’utilisateurs infiltrés malveillants. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer un plan Microsoft Defender pour les conteneurs | De nouvelles fonctionnalités sont ajoutées en permanence au plan Defender pour conteneurs, ce qui peut nécessiter l’activation explicite de l’utilisateur. Utilisez cette stratégie pour vous assurer que toutes les nouvelles fonctionnalités seront activées. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Microsoft Defender pour les conteneurs à activer | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer les paramètres d’intégration de Microsoft Defender for Endpoint avec Microsoft Defender pour le cloud (WDATP_EXCLUDE_LINUX...) | Configure les paramètres d’intégration de Microsoft Defender for Endpoint, dans Microsoft Defender pour le cloud (également appelé WDATP_EXCLUDE_LINUX_...), pour activer l’approvisionnement automatique de MDE pour les serveurs Linux. Le paramètre WDATP doit être activé pour que ce paramètre soit appliqué. Consultez https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint pour plus d’informations. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer des paramètres d’intégration de Microsoft Defender for Endpoint avec Microsoft Defender pour le cloud (WDATP_UNIFIED_SOLUTION) | Configure les paramètres d’intégration de Microsoft Defender for Endpoint, dans Microsoft Defender pour le cloud (également appelé WDATP_UNIFIED_SOLUTION), pour activer l’approvisionnement automatique de l’agent unifié MDE pour Windows Server 2012R2 et 2016. Le paramètre WDATP doit être activé pour que ce paramètre soit appliqué. Consultez https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint pour plus d’informations. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les paramètres d’intégration de Microsoft Defender for Endpoint avec Microsoft Defender pour le cloud (WDATP) | Configure les paramètres d’intégration de Microsoft Defender for Endpoint, dans Microsoft Defender pour le cloud (également appelé WDATP), pour les machines de niveau inférieur Windows intégrées à MDE via MMA et l’approvisionnement automatique de MDE sur Windows Server 2019, Windows Virtual Desktop et versions ultérieures. Doit être activé pour que les autres paramètres (WDATP_UNIFIED, etc.) fonctionnent. Consultez https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint pour plus d’informations. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer le plan Microsoft Defender pour Key Vault | Microsoft Defender pour Key Vault fournit une couche supplémentaire de protection et d’informations de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès aux comptes de coffre de clés ou d’exploitation de ceux-ci. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer le plan Microsoft Defender pour serveurs | De nouvelles fonctionnalités sont ajoutées en permanence à Defender pour serveurs, ce qui peut nécessiter l’activation explicite de l’utilisateur. Utilisez cette stratégie pour vous assurer que toutes les nouvelles fonctionnalités seront activées. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Microsoft Defender pour SQL pour l’activer sur les espaces de travail Synapse | Activez Microsoft Defender pour SQL sur vos espaces de travail Azure Synapse pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des bases de données SQL. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer l’activation de Microsoft Defender pour le stockage (classique) | Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. | DeployIfNotExists, Désactivé | 1.0.2 |
| Configurer l’activation de Microsoft Defender pour le stockage | Microsoft Defender pour le stockage est une couche de sécurité intelligente native Azure qui détecte les menaces potentielles sur vos comptes de stockage. Cette stratégie active toutes les fonctionnalités de Defender pour le stockage : supervision de l’activité, analyse des programmes malveillants et détection des menaces ciblant des données sensibles. Pour en savoir plus sur les fonctionnalités et les avantages de Defender pour le stockage, consultez la page aka.ms/DefenderForStorage. | DeployIfNotExists, Désactivé | 1.2.0 |
| Configurer les Machines Virtuelles SQL pour installer automatiquement l’agent Azure Monitor | Automatisez le déploiement de l’extension Azure Monitor Agent sur vos Machines virtuelles Windows SQL. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.3.0 |
| Configurer les Machines Virtuelles SQL pour installer automatiquement Microsoft Defender pour SQL | Configurer les Machines virtuelles Windows SQL pour qu'elles installent automatiquement l'extension Microsoft Defender pour SQL. Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). | DeployIfNotExists, Désactivé | 1.3.0 |
| Configurer les Machines Virtuelles SQL pour installer automatiquement Microsoft Defender pour SQL et DCR avec un espace de travail Log Analytics | Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). Créez un groupe de ressources, une règle de collecte de données et un espace de travail Log Analytics dans la même région que la machine. | DeployIfNotExists, Désactivé | 1.4.0 |
| Configurer les Machines Virtuelles SQL pour installer automatiquement Microsoft Defender pour SQL et DCR avec un espace de travail Log Analytics défini par l’utilisateur | Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). Créez un groupe de ressources et une règle de collecte de données dans la même région que l’espace de travail Log Analytics défini par l’utilisateur. | DeployIfNotExists, Désactivé | 1.4.0 |
| Configurer l’espace de travail Log Analytics Microsoft Defender pour SQL | Microsoft Defender pour SQL collecte les évènements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches personnalisées de durcissement de la sécurité (recommandations). Créez un groupe de ressources et un espace de travail Log Analytics dans la même région que la machine. | DeployIfNotExists, Désactivé | 1.2.0 |
| Créer et attribuer une identité managée affectée par l’utilisateur intégrée | Créer et attribuer aux machines virtuelles SQL une identité managée affectée par l’utilisateur intégrée à grande échelle. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.4.0 |
| Déployer - Configurer des règles de suppression pour les alertes Azure Security Center | Supprimez des alertes Azure Security Center pour réduire un trop grand nombre d’alertes en déployant des règles de suppression sur votre groupe d’administration ou votre abonnement. | deployIfNotExists | 1.0.0 |
| Déployer l'exportation vers Event Hub en tant que service approuvé pour les données Microsoft Defender pour le cloud | Activez l’exportation vers Event Hub en tant que service approuvé des données Microsoft Defender pour le cloud. Cette stratégie déploie une configuration d’exportation sur Event Hub en tant que service approuvé avec vos conditions et votre instance Event Hub cible sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | DeployIfNotExists, Désactivé | 1.0.0 |
| Déployer l’exportation vers Event Hub pour les données Microsoft Defender pour le cloud | Activer l’exportation vers Event Hub des données Microsoft Defender pour le cloud. Cette stratégie déploie une configuration d’exportation vers Event Hub avec vos conditions et un hub d’événements cible sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 4.2.0 |
| Déployer l’exportation vers l’espace de travail Log Analytics pour les données Microsoft Defender pour le cloud | Activer l’exportation vers l’espace de travail Log Analytics des données Microsoft Defender pour le cloud. Cette stratégie déploie une configuration d’exportation vers un espace de travail Log Analytics avec vos conditions et un espace de travail cible sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 4.1.0 |
| Déployer l’automatisation de workflow pour les alertes de Microsoft Defender pour le cloud | Activez l’automatisation des alertes Microsoft Defender pour cloud. Cette stratégie déploie une automatisation de workflow avec vos conditions et déclencheurs sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 5.0.1 |
| Déployer l’automatisation de workflow pour les recommandations de Microsoft Defender pour le cloud | Activez l’automatisation des recommandations de Microsoft Defender pour le cloud. Cette stratégie déploie une automatisation de workflow avec vos conditions et déclencheurs sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 5.0.1 |
| Déployer l’automatisation de workflow pour la conformité réglementaire de Microsoft Defender pour le cloud | Permettre l’automatisation de la conformité réglementaire de Microsoft Defender pour le cloud. Cette stratégie déploie une automatisation de workflow avec vos conditions et déclencheurs sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 5.0.1 |
| La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.1.0 |
| La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.1.0 |
| Activer Microsoft Defender pour le cloud dans votre abonnement | Identifie les abonnements existants qui ne font pas l’objet d’un monitoring par Microsoft Defender pour le cloud, et les protège avec les fonctionnalités gratuites de Defender pour le cloud. Les abonnements faisant déjà l’objet d’un monitoring sont considérés comme conformes. Pour inscrire les abonnements venant d’être créés, ouvrez l’onglet de conformité, sélectionnez l’affectation non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 1.0.1 |
| Activez le provisionnement automatique de l’agent Log Analytics fourni par Security Center sur vos abonnements avec un espace de travail personnalisé. | Autorisez Security Center à provisionner automatiquement l’agent Log Analytics sur vos abonnements pour superviser et collecter les données de sécurité à l’aide d’un espace de travail personnalisé. | DeployIfNotExists, Désactivé | 1.0.0 |
| Activez le provisionnement automatique de l’agent Log Analytics fourni par Security Center sur vos abonnements avec l’espace de travail par défaut. | Autorisez Security Center à provisionner automatiquement l’agent Log Analytics sur vos abonnements pour superviser et collecter les données de sécurité à l’aide de l’espace de travail ASC par défaut. | DeployIfNotExists, Désactivé | 1.0.0 |
| Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines | Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Désactivé | 1.0.0 |
| Endpoint Protection doit être installé sur vos machines | Pour protéger vos machines contre les menaces et les vulnérabilités, installez une solution de protection des points de terminaison prise en charge. | AuditIfNotExists, Désactivé | 1.0.0 |
| La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques | Vérifiez l’existence et l’intégrité d’une solution Endpoint Protection dans vos groupes de machines virtuelles identiques, pour les protéger des menaces et des vulnérabilités. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.3 |
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes | Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+ | Audit, Désactivé | 1.0.2 |
| Vous devez installer l’agent d’analytique des journaux d’activité sur vos instances de rôle Services cloud (support étendu) | Security Center collecte les données de vos instances de rôle Services cloud (support étendu) pour surveiller les vulnérabilités et les menaces liées à la sécurité. | AuditIfNotExists, Désactivé | 2.0.0 |
| L’agent Log Analytics doit être installé sur votre machine virtuelle pour la supervision Azure Security Center | Cette stratégie audite les machines virtuelles Windows/Linux si l’agent Log Analytics, que Security Center utilise pour superviser les vulnérabilités et les menaces liées à la sécurité, n’est pas installé | AuditIfNotExists, Désactivé | 1.0.0 |
| L’agent Log Analytics doit être installé sur vos groupes de machines virtuelles identiques pour la supervision Azure Security Center | Azure Security Center collecte des données à partir de vos machines virtuelles Azure pour surveiller les menaces et vulnérabilités de sécurité. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les machines doivent avoir des résultats du secret résolus | Audite les machines virtuelles pour détecter si elles contiennent des résultats de secrets provenant des solutions d’analyse des secrets sur vos machines virtuelles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| Microsoft Defender CSPM doit être activé | La gestion de la posture de sécurité cloud Defender (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de posture de sécurité de base gratuites activées par défaut dans Defender pour le cloud. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour API doit être activé | Microsoft Defender pour API fournit une nouvelle couverture de découverte, de protection, de détection et de réponse pour surveiller les attaques basées sur les API courantes et les configurations de sécurité incorrectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Microsoft Defender pour Azure Cosmos DB doit être activé | Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte les tentatives d’exploitation des bases de données dans vos comptes Azure Cosmos DB. Defender pour Azure Cosmos DB détecte les injections de code SQL potentielles, les intervenants malveillants connus de Microsoft Threat Intelligence, les modèles d’accès suspects et l’exploitation potentielle de votre base de données par le biais d’identités compromises ou d’utilisateurs infiltrés malveillants. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour SQL doit être activé pour les espaces de travail Synapse non protégés | Activez Defender pour SQL pour protéger vos espaces de travail Synapse. Defender pour SQL surveille Synapse SQL pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des bases de données. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour l’état SQL doit être protégé pour les serveurs SQL compatibles avec Arc | Microsoft Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, découvrir et classer les données sensibles. Une fois activé, l’état de protection indique que la ressource est activement surveillée. Même lorsque Defender est activé, plusieurs paramètres de configuration doivent être validés sur l’agent, l’ordinateur, l’espace de travail et SQL Server pour garantir une protection active. | Audit, Désactivé | 1.0.1 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender pour le stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. Le nouveau plan Defender pour le stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
| Superviser les agents Endpoint Protection manquants dans Azure Security Center | Les serveurs sans agent Endpoint Protection installé seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le niveau tarifaire standard Security Center doit être sélectionné | Le niveau tarifaire standard permet la détection des menaces sur les réseaux et les machines virtuelles, en fournissant des fonctions de renseignement sur les menaces, la détection d’anomalies et l’analytique de comportement dans Azure Security Center | Audit, Désactivé | 1.1.0 |
| Configurer des abonnements pour passer à une autre solution d'évaluation des vulnérabilités | Microsoft Defender pour le cloud propose une analyse des vulnérabilités pour vos machines sans frais supplémentaires. L'activation de cette stratégie entraînera la propagation automatique par Defender pour Cloud des résultats de la solution intégrée de gestion des vulnérabilités Microsoft Defender à toutes les machines prises en charge. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
| L’approvisionnement automatique ciblé sur le serveur SQL doit être activé pour les serveurs SQL sur le plan des machines | Pour vous assurer que vos machines virtuelles SQL et vos serveurs SQL avec Arc sont protégés, vérifiez que Azure Monitoring Agent ciblé par SQL est configuré pour le déploiement automatique. Cela est également nécessaire si vous avez précédemment configuré l’approvisionnement automatique de Microsoft Monitoring Agent, car ce composant est déprécié. En savoir plus : https://aka.ms/SQLAMAMigration | AuditIfNotExists, Désactivé | 1.0.0 |
| Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. | AuditIfNotExists, Désactivé | 1.0.0 |
| les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées | Vérifiez si des mises à jour de sécurité système et des mises à jour critiques sont manquantes et doivent être installées pour assurer la sécurité de vos groupes de machines virtuelles identiques Windows et Linux. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les mises à jour système doivent être installées sur vos machines | Les mises à jour système de sécurité manquantes sur vos serveurs seront supervisées par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 4.0.0 |
| Plusieurs propriétaires doivent être attribués à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage | Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Désactivé | 2.0.3 |
| L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
| Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées | Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Azure Security Center. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
| Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées | Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. | AuditIfNotExists, Désactivé | 3.0.0 |
Étapes suivantes
Dans cet article, vous avez découvert les définitions de stratégies de sécurité Azure Policy dans Defender pour le cloud. Pour en savoir plus sur les initiatives, les stratégies et la façon dont elles sont liées aux recommandations de Defender pour le cloud, consultez Que sont les stratégies de sécurité, les initiatives et les recommandations ?.