A NIST SP 800-53 Rev. 5 (Azure Government) szabályozási megfelelőség beépített kezdeményezésének részletei
Az alábbi cikk azt ismerteti, hogyan képezi le az Azure Policy Regulatory Compliance beépített kezdeményezésdefiníciója a megfelelőségi tartományokra és -vezérlőkre az NIST SP 800-53 Rev. 5 (Azure Government) rendszerben. További információ erről a megfelelőségi szabványról: NIST SP 800-53 Rev. 5. A tulajdonjog megismeréséhez tekintse meg az Azure Policy szabályzatdefinícióját és a felhő megosztott felelősségét.
Az alábbi leképezések az NIST SP 800-53 Rev. 5 vezérlőihez tartoznak. Számos vezérlő egy Azure Policy-kezdeményezési definícióval van implementálva. A kezdeményezés teljes definíciójának áttekintéséhez nyissa meg a Szabályzatot az Azure Portalon, és válassza a Definíciók lapot. Ezután keresse meg és válassza ki az NIST SP 800-53 Rev. 5 Szabályozási megfelelőség beépített kezdeményezési definícióját.
Fontos
Az alábbi vezérlők egy vagy több Azure Policy-definícióhoz lesznek társítva. Ezek a szabályzatok segíthetnek felmérni a vezérlőnek való megfelelőséget , azonban gyakran nem egy az egyhez vagy teljes egyezés van egy vezérlő és egy vagy több szabályzat között. Így az Azure Policy-beli megfelelőség csak magukra a szabályzatdefiníciókra vonatkozik; ez nem biztosítja, hogy teljes mértékben megfeleljen a vezérlők minden követelményének. Emellett a megfelelőségi szabvány olyan vezérlőket is tartalmaz, amelyeket jelenleg egyetlen Azure Policy-definíció sem kezel. Ezért az Azure Policy megfelelősége csak részlegesen tekinti át a teljes megfelelőségi állapotot. A megfelelőségi tartomány, a vezérlők és az Azure Policy-definíciók közötti társítások idővel változhatnak. A változáselőzmények megtekintéséhez tekintse meg a GitHub véglegesítési előzményeit.
Hozzáférés-vezérlés
Szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 5 AC-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1000 – Hozzáférés-vezérlési szabályzat és eljárások követelményei | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1001 – Hozzáférés-vezérlési szabályzat és eljárások követelményei | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Fiókkezelés
Azonosító: NIST SP 800-53 Rev. 5 AC-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Naplózás, letiltva | 1.0.1 |
| Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| A függvényalkalmazások felügyelt identitást használnak | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
| El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Managed Control 1002 – Fiókkezelés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1003 – Fiókkezelés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1004 – Fiókkezelés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1005 – Fiókkezelés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1006 – Fiókkezelés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1007 – Fiókkezelés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1008 – Fiókkezelés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1009 – Fiókkezelés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1010 – Fiókkezelés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1011 – Fiókkezelés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1012 – Fiókkezelés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1022 – Fiókkezelés | Megosztott/ csoportfiók hitelesítő adatainak megszüntetése | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez | Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben | Naplózás, megtagadás, letiltva | 1.1.0 |
Automatizált rendszerfiók-kezelés
Azonosító: NIST SP 800-53 Rev. 5 AC-2 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | Naplózás, megtagadás, letiltva | 1.1.0 |
| Microsoft Managed Control 1013 – Fiókkezelés | Automatizált rendszerfiók-kezelés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez | Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben | Naplózás, megtagadás, letiltva | 1.1.0 |
Automatikus ideiglenes és vészhelyzeti fiókkezelés
Azonosító: NIST SP 800-53 Rev. 5 AC-2 (2) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1014 – Fiókkezelés | Ideiglenes/ segélyhívási fiókok eltávolítása | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Fiókok letiltása
Azonosító: NIST SP 800-53 Rev. 5 AC-2 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1015 – Fiókkezelés | Inaktív fiókok letiltása | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Automatizált naplózási műveletek
Azonosító: NIST SP 800-53 Rev. 5 AC-2 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1016 – Fiókkezelés | Automatizált naplózási műveletek | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Inaktivitási kijelentkezés
Azonosító: NIST SP 800-53 Rev. 5 AC-2 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1017 – Fiókkezelés | Inaktivitási kijelentkezés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Kiemelt felhasználói fiókok
Azonosító: NIST SP 800-53 Rev. 5 AC-2 (7) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
| Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Naplózás, letiltva | 1.0.1 |
| Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | Naplózás, megtagadás, letiltva | 1.1.0 |
| Microsoft Managed Control 1018 – Fiókkezelés | Szerepköralapú sémák | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1019 – Fiókkezelés | Szerepköralapú sémák | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1020 – Fiókkezelés | Szerepköralapú sémák | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez | Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben | Naplózás, megtagadás, letiltva | 1.1.0 |
A megosztott és csoportfiókok használatára vonatkozó korlátozások
Azonosító: NIST SP 800-53 Rev. 5 AC-2 (9) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1021 – Fiókkezelés | A megosztott/ csoportfiókok használatára vonatkozó korlátozások | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Használati feltételek
Azonosító: NIST SP 800-53 Rev. 5 AC-2 (11) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1023 – Fiókkezelés | Használati feltételek | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Fiókfigyelés atipikus használathoz
Azonosító: NIST SP 800-53 Rev. 5 AC-2 (12) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-előzetes verzió |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage (klasszikus) használatát | A Microsoft Defender for Storage (klasszikus) észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1024 – Fiókkezelés | Fiókfigyelés / Atipikus használat | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1025 – Fiókkezelés | Fiókfigyelés / Atipikus használat | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Magas kockázatú személyek fiókjainak letiltása
Azonosító: NIST SP 800-53 Rev. 5 AC-2 (13) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1026 – Fiókkezelés | Magas kockázatú személyek fiókjainak letiltása | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Hozzáférés kényszerítése
Azonosító: NIST SP 800-53 Rev. 5 AC-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 1.3.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 1.3.0 |
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Jelszó nélküli fiókokkal rendelkező Linux-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a linuxos gépek jelszó nélkül rendelkeznek fiókkal | AuditIfNotExists, Disabled | 1.4.0 |
| Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | Naplózás, megtagadás, letiltva | 1.1.0 |
| A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| A függvényalkalmazások felügyelt identitást használnak | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1027 – Hozzáférés-kényszerítés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez | Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben | Naplózás, megtagadás, letiltva | 1.1.0 |
| A tárfiókokat át kell telepíteni az új Azure Resource Manager-erőforrásokba | Új Azure Resource Manager használata tárfiókjaihoz olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében | Naplózás, megtagadás, letiltva | 1.0.0 |
| A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni | Az új Azure Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében | Naplózás, megtagadás, letiltva | 1.0.0 |
Szerepköralapú hozzáférés-vezérlés
Azonosító: NIST SP 800-53 Rev. 5 AC-3 (7) Tulajdonjog: Ügyfél
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | A felhasználók által végrehajtható műveletek részletes szűréséhez használja az Azure Szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.3 |
Adatfolyam-kényszerítés
Azonosító: NIST SP 800-53 Rev. 5 AC-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk | Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Az alkalmazáskonfigurációnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditIfNotExists, Disabled | 2.0.0 |
| Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. | Naplózás, letiltva | 2.0.0 |
| Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést | A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. | Naplózás, megtagadás, letiltva | 3.2.0 |
| Az Azure Cache for Redisnek privát hivatkozást kell használnia | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot | Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás-nak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy az Azure Cognitive Search szolgáltatás nem érhető el a nyilvános interneten. Privát végpontok létrehozása korlátozhatja a Search szolgáltatás expozícióját. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk | Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az Azure Data Factorynek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure File Syncnek privát hivatkozást kell használnia | Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security | Naplózás, megtagadás, letiltva | 1.4.1 |
| Az Azure Machine Tanulás-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine-Tanulás-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Naplózás, letiltva | 1.0.0 |
| Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Naplózás, letiltva | 1.0.1 |
| A Cognitive Services-fiókoknak le kell tiltania a nyilvános hálózati hozzáférést | A Cognitive Services-fiókok biztonságának javítása érdekében győződjön meg arról, hogy az nem érhető el a nyilvános internethez, és csak privát végpontról érhető el. Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a cikkben https://go.microsoft.com/fwlink/?linkid=2129800leírtak szerint. Ez a beállítás letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címterekről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Ez csökkenti az adatszivárgási kockázatokat. | Naplózás, megtagadás, letiltva | 3.0.1 |
| A Cognitive Servicesnek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. | Naplózás, letiltva | 3.0.0 |
| A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkéshttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. | Naplózás, letiltva | 1.0.1 |
| A CosmosDB-fiókoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| A lemezelérési erőforrásoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Event Hub-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. | Naplózás, letiltva | 1.0.0 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1028 – Adatfolyam-kényszerítés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. | Naplózás, letiltva | 1.1.0 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést | Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A tárfiókok privát hivatkozást használnak | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
Dinamikus információáramlás-vezérlés
Azonosító: NIST SP 800-53 Rev. 5 AC-4 (3) Tulajdonos: Ügyfél
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
Biztonsági és adatvédelmi szabályzatszűrők
Azonosító: NIST SP 800-53 Rev. 5 AC-4 (8) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1029 – Adatfolyam-kényszerítés | Biztonsági házirend-szűrők | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Az adatfolyamok fizikai vagy logikai elkülönítése
Azonosító: NIST SP 800-53 Rev. 5 AC-4 (21) Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1030 – Adatfolyam-kényszerítés | Az információs folyamatok fizikai/logikai elkülönítése | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
A vámok elkülönítése
Azonosító: NIST SP 800-53 Rev. 5 AC-5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1031 – A feladatok elkülönítése | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1032 – A feladatok elkülönítése | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1033 – A feladatok elkülönítése | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Az előfizetéshez egynél több tulajdonosnak kell tartoznia | Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki, hogy rendszergazdai hozzáféréssel rendelkezzen. | AuditIfNotExists, Disabled | 3.0.0 |
Minimális jogosultság
Azonosító: NIST SP 800-53 Rev. 5 AC-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
| Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Naplózás, letiltva | 1.0.1 |
| Microsoft Managed Control 1034 – Minimális jogosultság | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Biztonsági függvényekhez való hozzáférés engedélyezése
Azonosító: NIST SP 800-53 Rev. 5 AC-6 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1035 – Minimális jogosultság | Biztonsági függvényekhez való hozzáférés engedélyezése | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Nem privileged Access for Nonsecurity Functions
Azonosító: NIST SP 800-53 Rev. 5 AC-6 (2) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1036 – Minimális jogosultság | Nem emelt szintű hozzáférés a nem biztonsági függvényekhez | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Hálózati hozzáférés a kiemelt parancsokhoz
Azonosító: NIST SP 800-53 Rev. 5 AC-6 (3) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1037 – Minimális jogosultság | Hálózati hozzáférés a kiemelt parancsokhoz | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Kiemelt fiókok
Azonosító: NIST SP 800-53 Rev. 5 AC-6 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1038 – Minimális jogosultság | Kiemelt fiókok | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Felhasználói jogosultságok áttekintése
Azonosító: NIST SP 800-53 Rev. 5 AC-6 (7) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
| Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Naplózás, letiltva | 1.0.1 |
| Microsoft Managed Control 1039 – Minimális jogosultság | Felhasználói jogosultságok áttekintése | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1040 – Minimális jogosultság | Felhasználói jogosultságok áttekintése | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
A kódvégrehajtás jogosultsági szintjei
Azonosító: NIST SP 800-53 Rev. 5 AC-6 (8) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1041 – Minimális jogosultság | Jogosultsági szintek a kódvégrehajtáshoz | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Emelt szintű függvények naplóhasználata
Azonosító: NIST SP 800-53 Rev. 5 AC-6 (9) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1042 – Minimális jogosultság | Kiemelt függvények használatának naplózása | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Tiltsa meg a nem kiemelt felhasználók számára a privileged functions futtatását
Azonosító: NIST SP 800-53 Rev. 5 AC-6 (10) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1043 – Minimális jogosultság | A nem kiemelt felhasználók tiltása a kiemelt függvények végrehajtásában | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Sikertelen bejelentkezési kísérletek
Azonosító: NIST SP 800-53 Rev. 5 AC-7 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1044 – Sikertelen bejelentkezési kísérletek | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1045 – Sikertelen bejelentkezési kísérletek | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Mobileszköz törlése vagy törlése
Azonosító: NIST SP 800-53 Rev. 5 AC-7 (2) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1046 – Sikertelen bejelentkezési kísérletek | Mobileszköz törlése/törlése | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Rendszerhasználati értesítés
Azonosító: NIST SP 800-53 Rev. 5 AC-8 Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1047 – Rendszerhasználati értesítés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1048 – Rendszerhasználati értesítés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1049 – Rendszerhasználati értesítés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Egyidejű munkamenet-vezérlés
Azonosító: NIST SP 800-53 Rev. 5 AC-10 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1050 – Egyidejű munkamenet-vezérlés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Eszköz zárolása
Azonosító: NIST SP 800-53 Rev. 5 AC-11 Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1051 – Munkamenet-zárolás | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1052 – Munkamenet-zárolás | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Mintázattitkoló kijelzők
Azonosító: NIST SP 800-53 Rev. 5 AC-11 (1) Tulajdonjog: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1053 – Munkamenet-zárolás | Mintázattitkoló kijelzők | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Munkamenet leállítása
Azonosító: NIST SP 800-53 Rev. 5 AC-12 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1054 – Munkamenet leállítása | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Felhasználó által kezdeményezett kijelentkezések
Azonosító: NIST SP 800-53 Rev. 5 AC-12 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1055 – Munkamenet-megszakítás| Felhasználó által kezdeményezett kijelentkezések / üzenetkijelenések | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1056 – Munkamenet leállítása | Felhasználó által kezdeményezett kijelentkezések / üzenetkijelenések | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Engedélyezett műveletek azonosítás vagy hitelesítés nélkül
Azonosító: NIST SP 800-53 Rev. 5 AC-14 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1057 – Engedélyezett műveletek azonosítás vagy hitelesítés nélkül | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1058 – Engedélyezett műveletek azonosítás vagy hitelesítés nélkül | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Biztonsági és adatvédelmi attribútumok
Azonosító: NIST SP 800-53 Rev. 5 AC-16 Tulajdonos: Ügyfél
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
Távelérés
Azonosító: NIST SP 800-53 Rev. 5 AC-17 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 1.3.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 1.3.0 |
| Az alkalmazáskonfigurációnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| Linux rendszerű gépek naplózása, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha olyan Linux rendszerű gépek, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | AuditIfNotExists, Disabled | 1.4.0 |
| Az Azure Cache for Redisnek privát hivatkozást kell használnia | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot | Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| Az Azure Data Factorynek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure File Syncnek privát hivatkozást kell használnia | Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Machine Tanulás-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine-Tanulás-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Naplózás, letiltva | 1.0.0 |
| Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Naplózás, letiltva | 1.0.1 |
| A Cognitive Servicesnek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. | Naplózás, letiltva | 3.0.0 |
| A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. | Naplózás, letiltva | 1.0.1 |
| A CosmosDB-fiókoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| A lemezelérési erőforrásoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Event Hub-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. | Naplózás, letiltva | 1.0.0 |
| Microsoft Managed Control 1059 – Távelérés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1060 – Távelérés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. | Naplózás, letiltva | 1.1.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A tárfiókok privát hivatkozást használnak | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
Figyelés és vezérlés
Azonosító: NIST SP 800-53 Rev. 5 AC-17 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 1.3.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 1.3.0 |
| Az alkalmazáskonfigurációnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| Linux rendszerű gépek naplózása, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha olyan Linux rendszerű gépek, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | AuditIfNotExists, Disabled | 1.4.0 |
| Az Azure Cache for Redisnek privát hivatkozást kell használnia | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot | Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| Az Azure Data Factorynek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure File Syncnek privát hivatkozást kell használnia | Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Machine Tanulás-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine-Tanulás-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Naplózás, letiltva | 1.0.0 |
| Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Naplózás, letiltva | 1.0.1 |
| A Cognitive Servicesnek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. | Naplózás, letiltva | 3.0.0 |
| A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. | Naplózás, letiltva | 1.0.1 |
| A CosmosDB-fiókoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| A lemezelérési erőforrásoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Event Hub-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. | Naplózás, letiltva | 1.0.0 |
| Microsoft Managed Control 1061 – Távelérés | Automatizált figyelés / vezérlés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. | Naplózás, letiltva | 1.1.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A tárfiókok privát hivatkozást használnak | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
A bizalmasság és az integritás védelme titkosítással
Azonosító: NIST SP 800-53 Rev. 5 AC-17 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1062 – Távelérés | A bizalmasság/ integritás védelme titkosítással | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Felügyelt hozzáférés-vezérlési pontok
Azonosító: NIST SP 800-53 Rev. 5 AC-17 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1063 – Távelérés | Felügyelt hozzáférés-vezérlési pontok | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Kiemelt parancsok és hozzáférés
Azonosító: NIST SP 800-53 Rev. 5 AC-17 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1064 – Távelérés | Emelt szintű parancsok / Hozzáférés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1065 – Távelérés | Emelt szintű parancsok / Hozzáférés | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Hozzáférés leválasztása vagy letiltása
Azonosító: NIST SP 800-53 Rev. 5 AC-17 (9) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1066 – Távelérés | Kapcsolat bontása /Hozzáférés letiltása | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Vezeték nélküli hozzáférés
Azonosító: NIST SP 800-53 Rev. 5 AC-18 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1067 – Vezeték nélküli hozzáférés korlátozásai | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1068 – Vezeték nélküli hozzáférés korlátozásai | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Hitelesítés és titkosítás
Azonosító: NIST SP 800-53 Rev. 5 AC-18 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1069 – Vezeték nélküli hozzáférés korlátozásai | Hitelesítés és titkosítás | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Vezeték nélküli hálózatkezelés letiltása
Azonosító: NIST SP 800-53 Rev. 5 AC-18 (3) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1070 – Vezeték nélküli hozzáférés korlátozásai | Vezeték nélküli hálózatkezelés letiltása | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Konfigurációk korlátozása felhasználók szerint
Azonosító: NIST SP 800-53 Rev. 5 AC-18 (4) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1071 – Vezeték nélküli hozzáférés korlátozásai | Konfigurációk korlátozása felhasználók szerint | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Antennák és átviteli teljesítményszintek
Azonosító: NIST SP 800-53 Rev. 5 AC-18 (5) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1072 – Vezeték nélküli hozzáférés korlátozásai | Antennák / Átviteli teljesítményszintek | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Hozzáférés-vezérlés mobileszközökhöz
Azonosító: NIST SP 800-53 Rev. 5 AC-19 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1073 – Hozzáférés-vezérlés hordozható és mobil rendszerekhez | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1074 – Hozzáférés-vezérlés hordozható és mobil rendszerekhez | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Teljes eszköz- vagy tárolóalapú titkosítás
Azonosító: NIST SP 800-53 Rev. 5 AC-19 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1075 – Hozzáférés-vezérlés hordozható és mobil rendszerekhez | Teljes eszköz/tárolóalapú titkosítás | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Külső rendszerek használata
Azonosító: NIST SP 800-53 Rev. 5 AC-20 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1076 – Külső információs rendszerek használata | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1077 – Külső információs rendszerek használata | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Engedélyezett használat korlátozásai
Azonosító: NIST SP 800-53 Rev. 5 AC-20 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1078 – Külső információs rendszerek használata | Engedélyezett használat korlátozásai | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1079 – Külső információs rendszerek használata | Engedélyezett használat korlátozásai | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Hordozható tárolóeszközök ??? Korlátozott használat
Azonosító: NIST SP 800-53 Rev. 5 AC-20 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1080 – Külső információs rendszerek használata | Hordozható tárolóeszközök | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Információmegosztás
Azonosító: NIST SP 800-53 Rev. 5 AC-21 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1081 – Információmegosztás | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1082 – Információmegosztás | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Nyilvánosan elérhető tartalom
Azonosító: NIST SP 800-53 Rev. 5 AC-22 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1083 – Nyilvánosan elérhető tartalom | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1084 – Nyilvánosan elérhető tartalom | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1085 – Nyilvánosan elérhető tartalom | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1086 – Nyilvánosan elérhető tartalom | A Microsoft implementálja ezt a hozzáférés-vezérlési vezérlőt | naplózás | 1.0.0 |
Tudatosság és képzés
Szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 5 AT-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1087 – Biztonságtudatossági és képzési szabályzat és eljárások | A Microsoft implementálja ezt a Tudatosság és képzés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1088 – Biztonságtudatossági és képzési szabályzat és eljárások | A Microsoft implementálja ezt a Tudatosság és képzés vezérlőt | naplózás | 1.0.0 |
Írástudás oktatása és tudatosság
Azonosító: NIST SP 800-53 Rev. 5 AT-2 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1089 – Biztonságtudatosság | A Microsoft implementálja ezt a Tudatosság és képzés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1090 – Biztonságtudatosság | A Microsoft implementálja ezt a Tudatosság és képzés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1091 – Biztonságtudatosság | A Microsoft implementálja ezt a Tudatosság és képzés vezérlőt | naplózás | 1.0.0 |
Insider Threat
Azonosító: NIST SP 800-53 Rev. 5 AT-2 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1092 – Security Awareness | Insider Threat | A Microsoft implementálja ezt a Tudatosság és képzés vezérlőt | naplózás | 1.0.0 |
Szerepköralapú képzés
Azonosító: NIST SP 800-53 Rev. 5 AT-3 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1093 – Szerepköralapú biztonsági képzés | A Microsoft implementálja ezt a Tudatosság és képzés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1094 – Szerepköralapú biztonsági képzés | A Microsoft implementálja ezt a Tudatosság és képzés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1095 – Szerepköralapú biztonsági képzés | A Microsoft implementálja ezt a Tudatosság és képzés vezérlőt | naplózás | 1.0.0 |
Gyakorlati gyakorlatok
Azonosító: NIST SP 800-53 Rev. 5 AT-3 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1096 – Szerepköralapú biztonsági képzés | Gyakorlati gyakorlatok | A Microsoft implementálja ezt a Tudatosság és képzés vezérlőt | naplózás | 1.0.0 |
Betanítási rekordok
Azonosító: NIST SP 800-53 Rev. 5 AT-4 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1098 – Biztonsági betanítási rekordok | A Microsoft implementálja ezt a Tudatosság és képzés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1099 – Biztonsági betanítási rekordok | A Microsoft implementálja ezt a Tudatosság és képzés vezérlőt | naplózás | 1.0.0 |
Naplózás és elszámoltathatóság
Szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 5 AU-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1100 – Naplózási és elszámoltathatósági szabályzat és eljárások | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1101 – Naplózási és elszámoltathatósági szabályzat és eljárások | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Eseménynaplózás
Azonosító: NIST SP 800-53 Rev. 5 AU-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1102 – Naplózási események | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1103 – Naplózási események | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1104 – Naplózási események | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1105 – Naplózási események | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1106 – Naplózási események | Vélemények és Frissítések | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Naplózási rekordok tartalma
Azonosító: NIST SP 800-53 Rev. 5 AU-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1107 – A naplózási rekordok tartalma | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
További naplózási információk
Azonosító: NIST SP 800-53 Rev. 5 AU-3 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1108 – A naplózási rekordok tartalma | További naplózási információk | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Naplótároló kapacitásának naplózása
Azonosító: NIST SP 800-53 Rev. 5 AU-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1110 – Tárkapacitás naplózása | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Válasz a naplózási folyamat hibáira
Azonosító: NIST SP 800-53 Rev. 5 AU-5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1111 – Válasz auditfeldolgozási hibákra | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1112 – Válasz auditfeldolgozási hibákra | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Tárolókapacitásra figyelmeztető figyelmeztetés
Azonosító: NIST SP 800-53 Rev. 5 AU-5 (1) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1113 – Válasz a naplózás feldolgozási hibáira | Tárkapacitás naplózása | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Valós idejű riasztások
Azonosító: NIST SP 800-53 Rev. 5 AU-5 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1114 – Válasz az auditfeldolgozási hibákra | Valós idejű riasztások | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Naplózási rekord áttekintése, elemzése és jelentése
Azonosító: NIST SP 800-53 Rev. 5 AU-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage (klasszikus) használatát | A Microsoft Defender for Storage (klasszikus) észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1115 – Auditvizsgálat, elemzés és jelentéskészítés | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1116 – Auditvizsgálat, elemzés és jelentéskészítés | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1123 – Audit felülvizsgálat, elemzés és jelentéskészítés | Naplózási szint módosítása | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
Automatizált folyamatintegráció
Azonosító: NIST SP 800-53 Rev. 5 AU-6 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1117 – Audit felülvizsgálat, elemzés és jelentéskészítés | Folyamatintegráció | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Naplózási rekordtárak korrelációja
Azonosító: NIST SP 800-53 Rev. 5 AU-6 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1118 – Audit felülvizsgálat, elemzés és jelentéskészítés | Naplózási adattárak korrelációja | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Központi felülvizsgálat és elemzés
Azonosító: NIST SP 800-53 Rev. 5 AU-6 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat | Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. | AuditIfNotExists, Disabled | 2.0.1 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésben | A biztonsági rések és fenyegetések monitorozásához az Azure Security Center adatokat gyűjt az Azure-beli virtuális gépekről. Az adatokat a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) gyűjti, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Javasoljuk, hogy engedélyezze az automatikus üzembe helyezést az ügynök automatikus üzembe helyezéséhez az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. | AuditIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| A Log Analytics-ügynököt telepíteni kell a virtuális gépre az Azure Security Center monitorozásához | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket (VM-eket), ha a Log Analytics-ügynök nincs telepítve, amelyet a Security Center a biztonsági rések és fenyegetések figyelésére használ | AuditIfNotExists, Disabled | 1.0.0 |
| A Log Analytics-ügynököt telepíteni kell a virtuálisgép-méretezési csoportokra az Azure Security Center monitorozásához | A Security Center adatokat gyűjt az Azure-beli virtuális gépekről a biztonsági rések és fenyegetések monitorozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage (klasszikus) használatát | A Microsoft Defender for Storage (klasszikus) észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1119 – Audit felülvizsgálat, elemzés és jelentéskészítés | Központi felülvizsgálat és elemzés | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az Event Hubban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Key Vaultban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Logic Appsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.1.0 |
| Engedélyezni kell a Search szolgáltatás erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Service Busban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Naplózási rekordok integrált elemzése
Azonosító: NIST SP 800-53 Rev. 5 AU-6 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat | Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. | AuditIfNotExists, Disabled | 2.0.1 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésben | A biztonsági rések és fenyegetések monitorozásához az Azure Security Center adatokat gyűjt az Azure-beli virtuális gépekről. Az adatokat a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) gyűjti, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Javasoljuk, hogy engedélyezze az automatikus üzembe helyezést az ügynök automatikus üzembe helyezéséhez az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. | AuditIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| A Log Analytics-ügynököt telepíteni kell a virtuális gépre az Azure Security Center monitorozásához | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket (VM-eket), ha a Log Analytics-ügynök nincs telepítve, amelyet a Security Center a biztonsági rések és fenyegetések figyelésére használ | AuditIfNotExists, Disabled | 1.0.0 |
| A Log Analytics-ügynököt telepíteni kell a virtuálisgép-méretezési csoportokra az Azure Security Center monitorozásához | A Security Center adatokat gyűjt az Azure-beli virtuális gépekről a biztonsági rések és fenyegetések monitorozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage (klasszikus) használatát | A Microsoft Defender for Storage (klasszikus) észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1120 – Audit felülvizsgálat, elemzés és jelentéskészítés | Integrációs/ellenőrzési és monitorozási képességek | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az Event Hubban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Key Vaultban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Logic Appsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.1.0 |
| Engedélyezni kell a Search szolgáltatás erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Service Busban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Korreláció a fizikai monitorozással
Azonosító: NIST SP 800-53 Rev. 5 AU-6 (6) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1121 – Audit felülvizsgálat, elemzés és jelentéskészítés | Korreláció a fizikai monitorozással | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Engedélyezett műveletek
Azonosító: NIST SP 800-53 Rev. 5 AU-6 (7) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1122 – Audit felülvizsgálat, elemzés és jelentéskészítés | Engedélyezett műveletek | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Naplózási rekord csökkentése és jelentéskészítés
Azonosító: NIST SP 800-53 Rev. 5 AU-7 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1124 – Naplózás csökkentése és jelentéskészítés | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1125 – Naplózás csökkentése és jelentéskészítés | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Automatikus feldolgozás
Azonosító: NIST SP 800-53 Rev. 5 AU-7 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1126 – Naplózás csökkentése és jelentéskészítés | Automatikus feldolgozás | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Időbélyegek
Azonosító: NIST SP 800-53 Rev. 5 AU-8 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1127 – Időbélyegek | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1128 – Időbélyegek | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
A naplózási információk védelme
Azonosító: NIST SP 800-53 Rev. 5 AU-9 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1131 – Naplózási információk védelme | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Tárolás különálló fizikai rendszereken vagy összetevőkön
Azonosító: NIST SP 800-53 Rev. 5 AU-9 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1132 – Naplózási információk védelme | Biztonsági mentés naplózása különálló fizikai rendszereken / összetevőkön | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Titkosítási védelem
Azonosító: NIST SP 800-53 Rev. 5 AU-9 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1133 – Naplózási információk védelme | Titkosítási védelem | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Hozzáférés a kiemelt felhasználók részhalmaza szerint
Azonosító: NIST SP 800-53 Rev. 5 AU-9 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1134 – Naplózási információk védelme | Hozzáférés a kiemelt felhasználók részhalmaza szerint | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Letagadhatatlanság
Azonosító: NIST SP 800-53 Rev. 5 AU-10 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1135 – Nem megtagadás | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Rekordmegőrzés naplózása
Azonosító: NIST SP 800-53 Rev. 5 AU-11 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1136 – Rekordmegőrzés naplózása | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| A tárfiók célhelyére történő naplózást végző SQL-kiszolgálókat 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni | Incidensvizsgálati célokból javasoljuk, hogy az SQL Server naplózásának adatmegőrzését állítsa a tárfiók célhelyére legalább 90 napra. Győződjön meg arról, hogy megfelel a szükséges adatmegőrzési szabályoknak azokra a régiókra vonatkozóan, ahol éppen működik. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | AuditIfNotExists, Disabled | 3.0.0 |
Naplózási rekord létrehozása
Azonosító: NIST SP 800-53 Rev. 5 AU-12 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat | Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. | AuditIfNotExists, Disabled | 2.0.1 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésben | A biztonsági rések és fenyegetések monitorozásához az Azure Security Center adatokat gyűjt az Azure-beli virtuális gépekről. Az adatokat a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) gyűjti, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Javasoljuk, hogy engedélyezze az automatikus üzembe helyezést az ügynök automatikus üzembe helyezéséhez az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. | AuditIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| A Log Analytics-ügynököt telepíteni kell a virtuális gépre az Azure Security Center monitorozásához | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket (VM-eket), ha a Log Analytics-ügynök nincs telepítve, amelyet a Security Center a biztonsági rések és fenyegetések figyelésére használ | AuditIfNotExists, Disabled | 1.0.0 |
| A Log Analytics-ügynököt telepíteni kell a virtuálisgép-méretezési csoportokra az Azure Security Center monitorozásához | A Security Center adatokat gyűjt az Azure-beli virtuális gépekről a biztonsági rések és fenyegetések monitorozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage (klasszikus) használatát | A Microsoft Defender for Storage (klasszikus) észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1137 – Naplózás létrehozása | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1138 – Naplózás létrehozása | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1139 – Naplózás létrehozása | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az Event Hubban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Key Vaultban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Logic Appsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.1.0 |
| Engedélyezni kell a Search szolgáltatás erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Service Busban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Rendszerszintű és idő-korrelált auditútvonal
Azonosító: NIST SP 800-53 Rev. 5 AU-12 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat | Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. | AuditIfNotExists, Disabled | 2.0.1 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésben | A biztonsági rések és fenyegetések monitorozásához az Azure Security Center adatokat gyűjt az Azure-beli virtuális gépekről. Az adatokat a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) gyűjti, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Javasoljuk, hogy engedélyezze az automatikus üzembe helyezést az ügynök automatikus üzembe helyezéséhez az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. | AuditIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| A Log Analytics-ügynököt telepíteni kell a virtuális gépre az Azure Security Center monitorozásához | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket (VM-eket), ha a Log Analytics-ügynök nincs telepítve, amelyet a Security Center a biztonsági rések és fenyegetések figyelésére használ | AuditIfNotExists, Disabled | 1.0.0 |
| A Log Analytics-ügynököt telepíteni kell a virtuálisgép-méretezési csoportokra az Azure Security Center monitorozásához | A Security Center adatokat gyűjt az Azure-beli virtuális gépekről a biztonsági rések és fenyegetések monitorozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage (klasszikus) használatát | A Microsoft Defender for Storage (klasszikus) észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1140 – Naplózási generáció | System-Wide / Time-Korrelated Audit Trail | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az Event Hubban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Key Vaultban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Logic Appsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.1.0 |
| Engedélyezni kell a Search szolgáltatás erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Service Busban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
A jogosult személyek által végzett módosítások
Azonosító: NIST SP 800-53 Rev. 5 AU-12 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1141 – Naplózási generáció | A jogosult személyek által végzett módosítások | A Microsoft implementálja ezt a naplózási és elszámoltathatósági ellenőrzést | naplózás | 1.0.0 |
Értékelés, engedélyezés és figyelés
Szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 5 CA-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1142 – Tanúsítás, engedélyezés, biztonsági értékelési szabályzat és eljárások | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1143 – Tanúsítás, engedélyezés, biztonsági értékelési szabályzat és eljárások | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
Control Assessments
Azonosító: NIST SP 800-53 Rev. 5 CA-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1144 – Biztonsági értékelések | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1145 – Biztonsági értékelések | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1146 – Biztonsági értékelések | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1147 – Biztonsági értékelések | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
Független értékelők
Azonosító: NIST SP 800-53 Rev. 5 CA-2 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1148 – Biztonsági értékelések | Független értékelők | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
Specializált értékelések
Azonosító: NIST SP 800-53 Rev. 5 CA-2 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1149 – Biztonsági értékelések | Specializált értékelések | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
Külső szervezetek eredményeinek felhasználása
Azonosító: NIST SP 800-53 Rev. 5 CA-2 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1150 – Biztonsági értékelések | Külső szervezetek | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
Információcsere
Azonosító: NIST SP 800-53 Rev. 5 CA-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1151 – Rendszerösszekötők | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1152 – Rendszerösszekötők | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1153 – Rendszerösszekötők | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
Cselekvési terv és mérföldkövek
Azonosító: NIST SP 800-53 Rev. 5 CA-5 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1156 – Cselekvési terv és mérföldkövek | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1157 – Cselekvési terv és mérföldkövek | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
Engedélyezés
Azonosító: NIST SP 800-53 Rev. 5 CA-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1158 – Biztonsági engedélyezés | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1159 – Biztonsági engedélyezés | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1160 – Biztonsági engedélyezés | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
Folyamatos monitorozás
Azonosító: NIST SP 800-53 Rev. 5 CA-7 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1161 – Folyamatos monitorozás | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1162 – Folyamatos monitorozás | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1163 – Folyamatos monitorozás | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1164 – Folyamatos monitorozás | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1165 – Folyamatos monitorozás | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1166 – Folyamatos monitorozás | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1167 – Folyamatos monitorozás | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
Független értékelés
Azonosító: NIST SP 800-53 Rev. 5 CA-7 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1168 – Folyamatos figyelés | Független értékelés | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
Trendelemzések
Azonosító: NIST SP 800-53 Rev. 5 CA-7 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1169 – Folyamatos figyelés | Trendelemzések | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
Behatolástesztelés
Azonosító: NIST SP 800-53 Rev. 5 CA-8 Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1170 – Behatolástesztelés | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
Független behatolástesztelési ügynök vagy csapat
Azonosító: NIST SP 800-53 Rev. 5 CA-8 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1171 – Behatolástesztelés | Független behatolási ügynök vagy csapat | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
Belső rendszer Csatlakozás
Azonosító: NIST SP 800-53 Rev. 5 CA-9 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1172 – Belső rendszer Csatlakozás | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1173 – Belső rendszer Csatlakozás | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
Konfigurációkezelés
Szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 5 CM-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1174 – Konfigurációkezelési szabályzat és eljárások | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1175 – Konfigurációkezelési szabályzat és eljárások | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Alapkonfiguráció
Azonosító: NIST SP 800-53 Rev. 5 CM-2 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1176 – Alapkonfiguráció | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1177 – Alapkonfiguráció | Vélemények és Frissítések | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1178 – Alapkonfiguráció | Vélemények és Frissítések | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1179 – Alapkonfiguráció | Vélemények és Frissítések | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Automatizálási támogatás a pontossághoz és a pénznemhez
Azonosító: NIST SP 800-53 Rev. 5 CM-2 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1180 – Alapkonfiguráció | Automatizálási támogatás pontossághoz / pénznemhez | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Korábbi konfigurációk megőrzése
Azonosító: NIST SP 800-53 Rev. 5 CM-2 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1181 – Alapkonfiguráció | Korábbi konfigurációk megőrzése | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Rendszerek és összetevők konfigurálása magas kockázatú területekhez
Azonosító: NIST SP 800-53 Rev. 5 CM-2 (7) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1182 – Alapkonfiguráció | Rendszerek, összetevők vagy eszközök konfigurálása magas kockázatú területekhez | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1183 – Alapkonfiguráció | Rendszerek, összetevők vagy eszközök konfigurálása magas kockázatú területekhez | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Konfigurációmódosítás-vezérlés
Azonosító: NIST SP 800-53 Rev. 5 CM-3 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1184 – Konfigurációmódosítás-vezérlés | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1185 – Konfigurációmódosítás-vezérlés | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1186 – Konfigurációmódosítás-vezérlés | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1187 – Konfigurációmódosítás-vezérlés | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1188 – Konfigurációmódosítás-vezérlés | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1189 – Konfigurációmódosítás-vezérlés | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1190 – Konfigurációmódosítás-vezérlés | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Automatizált dokumentáció, értesítés és módosítások tilalma
Azonosító: NIST SP 800-53 Rev. 5 CM-3 (1) Tulajdonjog: Megosztott
Módosítások tesztelése, érvényesítése és dokumentációja
Azonosító: NIST SP 800-53 Rev. 5 CM-3 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1197 – Konfigurációmódosítás-vezérlés | Tesztelés/Ellenőrzés/Dokumentummódosítások | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Biztonsági és adatvédelmi képviselők
Azonosító: NIST SP 800-53 Rev. 5 CM-3 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1198 – Konfigurációmódosítás-vezérlés | Biztonsági képviselő | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Titkosítás kezelése
Azonosító: NIST SP 800-53 Rev. 5 CM-3 (6) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1199 – Konfigurációmódosítás-vezérlés | Titkosítás kezelése | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Hatáselemzések
Azonosító: NIST SP 800-53 Rev. 5 CM-4 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1200 – Biztonsági hatáselemzés | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Tesztkörnyezetek elkülönítése
Azonosító: NIST SP 800-53 Rev. 5 CM-4 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1201 – Biztonsági hatáselemzés | Tesztkörnyezetek elkülönítése | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Hozzáférés-korlátozások a módosításhoz
Azonosító: NIST SP 800-53 Rev. 5 CM-5 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1202 – Hozzáférés-korlátozások a változáshoz | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Automatikus hozzáférés-kényszerítési és naplózási rekordok
Azonosító: NIST SP 800-53 Rev. 5 CM-5 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1203 – Hozzáférés-korlátozások a változáshoz | Automatikus hozzáférés-kényszerítés / naplózás | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Az éles környezet és a működés jogosultsági korlátozása
Azonosító: NIST SP 800-53 Rev. 5 CM-5 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1206 – Hozzáférés-korlátozások a változáshoz | Termelési/üzemeltetési jogosultságok korlátozása | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1207 – Hozzáférés-korlátozások a változáshoz | Termelési/üzemeltetési jogosultságok korlátozása | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Konfigurációs Gépház
Azonosító: NIST SP 800-53 Rev. 5 CM-6 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Elavult]: A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (Bejövő ügyféltanúsítványok)" funkciót | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítványokkal rendelkező ügyfelek érhetik el az alkalmazást. Ezt a szabályzatot egy új, azonos nevű szabályzat váltotta fel, mert a Http 2.0 nem támogatja az ügyféltanúsítványokat. | Naplózás, letiltva | 3.1.0-elavult |
| Az App Service-alkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditIfNotExists, Disabled | 2.0.0 |
| A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön | A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítmény kibővíti a Gatekeeper v3-at, az Open Policy Agent (OPA) beléptető-vezérlő webhookját, hogy központi, konzisztens módon alkalmazza a fürtökre vonatkozó, nagy léptékű kényszerítéseket és védelmet. | Naplózás, letiltva | 1.0.2 |
| A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | AuditIfNotExists, Disabled | 2.0.0 |
| A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat | A tároló cpu- és memóriaerőforrás-korlátainak kényszerítése az erőforrás-kimerülési támadások elkerülése érdekében a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 10.1.0 |
| A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret | Letilthatja, hogy a podtárolók megosztják a gazdagépfolyamat-azonosító névterét és a gazdagép IPC-névterét egy Kubernetes-fürtben. Ez a javaslat a CIS 5.2.2 és a CIS 5.2.3 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.0 |
| A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | A tárolók csak engedélyezett AppArmor-profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
| A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak | Korlátozza a Kubernetes-fürtök tárolóinak támadási felületének csökkentésére vonatkozó képességeket. Ez a javaslat a CIS 5.2.8 és a CIS 5.2.9 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.0 |
| A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak | Megbízható adatbázisból származó képek használatával csökkentheti a Kubernetes-fürt ismeretlen biztonsági résekkel, biztonsági problémákkal és rosszindulatú rendszerképekkel szembeni kitettségét. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 10.1.1 |
| A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | Futtassa a tárolókat írásvédett legfelső szintű fájlrendszerrel, hogy védelmet nyújtson a futtatáskor bekövetkező változások ellen, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.0 |
| A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak | A Pod HostPath-kötet csatlakoztatásának korlátozása a Kubernetes-fürtök engedélyezett gazdagépútvonalaira. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes esetében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
| A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | A kubernetes-fürtben futtatható felhasználói, elsődleges csoport-, kiegészítőcsoport- és fájlrendszercsoport-azonosítók szabályozása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
| A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.0 |
| A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | A kubernetes-fürthöz való hozzáférés biztonságossá tételéhez korlátozza a szolgáltatásokat, hogy csak az engedélyezett portokon hallgassanak. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.1.0 |
| A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat | Ne engedélyezze a kiemelt tárolók létrehozását Kubernetes-fürtön. Ez a javaslat a CIS 5.2.1 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 10.1.0 |
| A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását | Ne engedélyezze, hogy a tárolók jogosultság-eszkalációval fussanak a Kubernetes-fürtök gyökeréhez. Ez a javaslat a CIS 5.2.5 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.1.0 |
| A Linux-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfigurációjának követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 1.5.0 |
| Microsoft Managed Control 1208 – Konfigurációs Gépház | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1209 – Konfigurációs Gépház | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1210 – Konfigurációs Gépház | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1211 – Konfigurációs Gépház | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| A Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 1.0.0 |
Automatizált felügyelet, alkalmazás és ellenőrzés
Azonosító: NIST SP 800-53 Rev. 5 CM-6 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1212 – Konfigurációs Gépház | Automatizált központi felügyelet / alkalmazás / ellenőrzés | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Válasz jogosulatlan módosításokra
Azonosító: NIST SP 800-53 Rev. 5 CM-6 (2) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1213 – Konfigurációs Gépház | Válasz jogosulatlan módosításokra | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Minimális funkcionalitás
Azonosító: NIST SP 800-53 Rev. 5 CM-7 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezheti az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert alkalmazások listáját, és riasztást küldhessenek, amikor más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Disabled | 3.0.0 |
| Frissíteni kell az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályait | Figyelheti az Azure Security Center adaptív alkalmazásvezérlői által naplózásra konfigurált gépcsoportok viselkedésének változásait. A Security Center gépi tanulással elemzi a gépeken futó folyamatokat, és javaslatot tesz az ismerten biztonságos alkalmazások listájára. Ezek ajánlott alkalmazásként jelennek meg az adaptív alkalmazásvezérlési szabályzatok engedélyezéséhez. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Managed Control 1214 – Minimális funkcionalitás | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1215 – Minimális funkcionalitás | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Rendszeres felülvizsgálat
Azonosító: NIST SP 800-53 Rev. 5 CM-7 (1) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1216 – Minimális funkcionalitás | Rendszeres felülvizsgálat | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1217 – Minimális funkcionalitás | Rendszeres felülvizsgálat | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Program végrehajtásának megakadályozása
Azonosító: NIST SP 800-53 Rev. 5 CM-7 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezheti az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert alkalmazások listáját, és riasztást küldhessenek, amikor más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Disabled | 3.0.0 |
| Frissíteni kell az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályait | Figyelheti az Azure Security Center adaptív alkalmazásvezérlői által naplózásra konfigurált gépcsoportok viselkedésének változásait. A Security Center gépi tanulással elemzi a gépeken futó folyamatokat, és javaslatot tesz az ismerten biztonságos alkalmazások listájára. Ezek ajánlott alkalmazásként jelennek meg az adaptív alkalmazásvezérlési szabályzatok engedélyezéséhez. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1218 – Minimális funkcionalitás | Program végrehajtásának megakadályozása | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Engedélyezett szoftver ??? Kivételenkénti engedélyezés
Azonosító: NIST SP 800-53 Rev. 5 CM-7 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezheti az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert alkalmazások listáját, és riasztást küldhessenek, amikor más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Disabled | 3.0.0 |
| Frissíteni kell az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályait | Figyelheti az Azure Security Center adaptív alkalmazásvezérlői által naplózásra konfigurált gépcsoportok viselkedésének változásait. A Security Center gépi tanulással elemzi a gépeken futó folyamatokat, és javaslatot tesz az ismerten biztonságos alkalmazások listájára. Ezek ajánlott alkalmazásként jelennek meg az adaptív alkalmazásvezérlési szabályzatok engedélyezéséhez. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1219 – Minimális funkcionalitás | Engedélyezett szoftverek / engedélyezési listák | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1220 – Minimális funkcionalitás | Engedélyezett szoftverek / engedélyezési listák | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1221 – Minimális funkcionalitás | Engedélyezett szoftverek / engedélyezési listák | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Rendszerösszetevő-készlet
Id: NIST SP 800-53 Rev. 5 CM-8 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1222 – Információs rendszer összetevőleltára | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1223 – Információs rendszer összetevőleltára | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1229 – Information System Component Inventory | Nincs ismétlődő könyvelés az összetevőkről | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Frissítések telepítés és eltávolítás során
Azonosító: NIST SP 800-53 Rev. 5 CM-8 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1224 – Information System Component Inventory | Frissítések telepítések/ eltávolítások során | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Automatizált karbantartás
Azonosító: NIST SP 800-53 Rev. 5 CM-8 (2) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1225 – Information System Component Inventory | Automatizált karbantartás | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Automatizált, nem engedélyezett összetevők észlelése
Azonosító: NIST SP 800-53 Rev. 5 CM-8 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1226 – Information System Component Inventory | Automatizált, nem engedélyezett összetevők észlelése | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1227 – Information System Component Inventory | Automatizált, nem engedélyezett összetevők észlelése | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1241 – Felhasználó által telepített szoftver | Riasztások jogosulatlan telepítésekhez | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Elszámoltathatósági információk
Azonosító: NIST SP 800-53 Rev. 5 CM-8 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1228 – Information System Component Inventory | Elszámoltathatósági információk | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Konfigurációkezelési terv
Azonosító: NIST SP 800-53 Rev. 5 CM-9 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1230 – Konfigurációkezelési terv | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1231 – Konfigurációkezelési terv | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1232 – Konfigurációkezelési terv | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1233 – Konfigurációkezelési terv | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Szoftverhasználati korlátozások
Azonosító: NIST SP 800-53 Rev. 5 CM-10 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezheti az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert alkalmazások listáját, és riasztást küldhessenek, amikor más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Disabled | 3.0.0 |
| Frissíteni kell az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályait | Figyelheti az Azure Security Center adaptív alkalmazásvezérlői által naplózásra konfigurált gépcsoportok viselkedésének változásait. A Security Center gépi tanulással elemzi a gépeken futó folyamatokat, és javaslatot tesz az ismerten biztonságos alkalmazások listájára. Ezek ajánlott alkalmazásként jelennek meg az adaptív alkalmazásvezérlési szabályzatok engedélyezéséhez. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1234 – Szoftverhasználati korlátozások | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1235 – Szoftverhasználati korlátozások | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1236 – Szoftverhasználati korlátozások | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Nyílt forráskódú szoftverek
Azonosító: NIST SP 800-53 Rev. 5 CM-10 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1237 – Szoftverhasználati korlátozások | Nyílt forráskódú szoftverek | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Felhasználó által telepített szoftver
Azonosító: NIST SP 800-53 Rev. 5 CM-11 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezheti az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert alkalmazások listáját, és riasztást küldhessenek, amikor más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Disabled | 3.0.0 |
| Frissíteni kell az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályait | Figyelheti az Azure Security Center adaptív alkalmazásvezérlői által naplózásra konfigurált gépcsoportok viselkedésének változásait. A Security Center gépi tanulással elemzi a gépeken futó folyamatokat, és javaslatot tesz az ismerten biztonságos alkalmazások listájára. Ezek ajánlott alkalmazásként jelennek meg az adaptív alkalmazásvezérlési szabályzatok engedélyezéséhez. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1238 – Felhasználó által telepített szoftver | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1239 – Felhasználó által telepített szoftver | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1240 – Felhasználó által telepített szoftver | A Microsoft implementálja ezt a konfigurációkezelési vezérlőt | naplózás | 1.0.0 |
Vészhelyzeti tervezés
Szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 5 CP-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1242 – Készenléti tervezési szabályzat és eljárások | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1243 – Készenléti tervezési szabályzat és eljárások | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Készenléti terv
Azonosító: NIST SP 800-53 Rev. 5 CP-2 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1244 – Készenléti terv | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1245 – Készenléti terv | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1246 – Készenléti terv | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1247 – Készenléti terv | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1248 – Készenléti terv | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1249 – Készenléti terv | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1250 – Készenléti terv | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Koordináta a kapcsolódó tervekkel
Azonosító: NIST SP 800-53 Rev. 5 CP-2 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1251 – Készenléti terv | A kapcsolódó tervekkel való koordináció | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Kapacitástervezés
Azonosító: NIST SP 800-53 Rev. 5 CP-2 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1252 – Készenléti terv | Kapacitástervezés | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Küldetés és üzleti funkciók folytatása
Azonosító: NIST SP 800-53 Rev. 5 CP-2 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1253 – Készenléti terv | Alapvető küldetések folytatása / Üzleti függvények | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1254 – Készenléti terv | Az összes küldetés folytatása / Üzleti függvények | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
A küldetés és az üzleti funkciók folytatása
Azonosító: NIST SP 800-53 Rev. 5 CP-2 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1255 – Készenléti terv | Alapvető küldetések / Üzleti funkciók folytatása | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Kritikus fontosságú objektumok azonosítása
Azonosító: NIST SP 800-53 Rev. 5 CP-2 (8) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1256 – Készenléti terv | Kritikus fontosságú objektumok azonosítása | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Készenléti képzés
Azonosító: NIST SP 800-53 Rev. 5 CP-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1257 – Készenléti képzés | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1258 – Készenléti képzés | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1259 – Készenléti képzés | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Szimulált események
Azonosító: NIST SP 800-53 Rev. 5 CP-3 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1260 – Készenléti képzés | Szimulált események | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Vészhelyzeti terv tesztelése
Azonosító: NIST SP 800-53 Rev. 5 CP-4 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1261 – Vészhelyzeti terv tesztelése | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1262 – Vészhelyzeti terv tesztelése | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1263 – Vészhelyzeti terv tesztelése | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Koordináta a kapcsolódó tervekkel
Azonosító: NIST SP 800-53 Rev. 5 CP-4 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1264 – Készenléti terv tesztelése | A kapcsolódó tervekkel való koordináció | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Alternatív feldolgozási hely
Azonosító: NIST SP 800-53 Rev. 5 CP-4 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1265 – Készenléti terv tesztelése | Alternatív feldolgozási hely | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1266 – Készenléti terv tesztelése | Alternatív feldolgozási hely | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Másodlagos tárolóhely
Azonosító: NIST SP 800-53 Rev. 5 CP-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| A georedundáns tárolást engedélyezni kell a tárfiókokhoz | Magas rendelkezésre állású alkalmazások létrehozása georedundáns használatával | Naplózás, letiltva | 1.0.0 |
| Az Azure SQL Database-ekhez engedélyezni kell a hosszú távú georedundáns biztonsági mentést | Ez a szabályzat naplóz minden olyan Azure SQL Database-t, amely hosszú távú georedundáns biztonsági mentést nem engedélyez. | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft Managed Control 1267 – Alternatív tárolóhely | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1268 – Alternatív tárolóhely | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Elkülönítés az elsődleges helytől
Azonosító: NIST SP 800-53 Rev. 5 CP-6 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| A georedundáns tárolást engedélyezni kell a tárfiókokhoz | Magas rendelkezésre állású alkalmazások létrehozása georedundáns használatával | Naplózás, letiltva | 1.0.0 |
| Az Azure SQL Database-ekhez engedélyezni kell a hosszú távú georedundáns biztonsági mentést | Ez a szabályzat naplóz minden olyan Azure SQL Database-t, amely hosszú távú georedundáns biztonsági mentést nem engedélyez. | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft Managed Control 1269 – Alternatív tárolóhely | Elkülönítés az elsődleges helytől | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Helyreállítási idő és helyreállítási pont célkitűzései
Azonosító: NIST SP 800-53 Rev. 5 CP-6 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1270 – Alternatív tárolóhely | Helyreállítási idő / pont célkitűzései | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Akadálymentesség
Azonosító: NIST SP 800-53 Rev. 5 CP-6 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1271 – Alternatív tárolóhely | Hozzáférhetőség | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Alternatív feldolgozási hely
Azonosító: NIST SP 800-53 Rev. 5 CP-7 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Virtuális gépek naplózása vészhelyreállítás konfigurálása nélkül | Naplózhatja azokat a virtuális gépeket, amelyeken nincs vészhelyreállítás konfigurálva. Ha többet szeretne megtudni a vészhelyreállításról, látogasson el https://aka.ms/asr-docide. | auditIfNotExists | 1.0.0 |
| Microsoft Managed Control 1272 – Alternatív feldolgozási hely | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1273 – Alternatív feldolgozási hely | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1274 – Alternatív feldolgozási hely | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Elkülönítés az elsődleges helytől
Azonosító: NIST SP 800-53 Rev. 5 CP-7 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1275 – Alternatív feldolgozási hely | Elkülönítés az elsődleges helytől | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Akadálymentesség
Azonosító: NIST SP 800-53 Rev. 5 CP-7 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1276 – Alternatív feldolgozó webhely | Hozzáférhetőség | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
A szolgáltatás prioritása
Azonosító: NIST SP 800-53 Rev. 5 CP-7 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1277 – Alternatív feldolgozó webhely | Szolgáltatás prioritása | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Használatra való előkészítés
Azonosító: NIST SP 800-53 Rev. 5 CP-7 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1278 – Alternatív feldolgozó webhely | Használatra való előkészítés | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Távközlési szolgáltatások
Azonosító: NIST SP 800-53 Rev. 5 CP-8 Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1279 – Távközlési szolgáltatások | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
A szolgáltatási rendelkezések prioritása
Azonosító: NIST SP 800-53 Rev. 5 CP-8 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1280 – Távközlési szolgáltatások | A szolgáltatásra vonatkozó rendelkezések prioritása | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1281 – Távközlési szolgáltatások | A szolgáltatásra vonatkozó rendelkezések prioritása | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Egyetlen meghibásodási pont
Azonosító: NIST SP 800-53 Rev. 5 CP-8 (2) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1282 – Távközlési szolgáltatások | Egyetlen hibapont | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Elsődleges és másodlagos szolgáltatók elkülönítése
Azonosító: NIST SP 800-53 Rev. 5 CP-8 (3) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1283 – Távközlési szolgáltatások | Elsődleges/ alternatív szolgáltatók elkülönítése | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Szolgáltatói vészhelyzeti terv
Azonosító: NIST SP 800-53 Rev. 5 CP-8 (4) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1284 – Távközlési szolgáltatások | Szolgáltatói vészhelyzeti terv | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1285 – Távközlési szolgáltatások | Szolgáltatói vészhelyzeti terv | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1286 – Távközlési szolgáltatások | Szolgáltatói vészhelyzeti terv | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Rendszer biztonsági mentése
Azonosító: NIST SP 800-53 Rev. 5 CP-9 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| A kulcstartók törlés elleni védelmének engedélyezve kell lennie | A kulcstartó rosszindulatú törlése állandó adatvesztéshez vezethet. A végleges adatvesztést megakadályozhatja a törlés elleni védelem és a helyreállítható törlés engedélyezésével. A törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki sem fogja tudni kiüríteni a kulcstartókat. Ne feledje, hogy a 2019. szeptember 1. után létrehozott kulcstartók alapértelmezés szerint engedélyezve vannak a helyreállítható törléssel. | Naplózás, megtagadás, letiltva | 2.1.0 |
| A kulcstartókban engedélyezve kell lennie a helyreállítható törlésnek | Ha a kulcstartót helyreállítható törlés nélkül törli, az véglegesen törli a kulcstartóban tárolt összes titkos kulcsot, kulcsot és tanúsítványt. A kulcstartó véletlen törlése tartós adatvesztéshez vezethet. A helyreállítható törlés lehetővé teszi egy véletlenül törölt kulcstartó helyreállítását egy konfigurálható megőrzési időszakra. | Naplózás, megtagadás, letiltva | 3.0.0 |
| Microsoft Managed Control 1287 – Információs rendszer biztonsági mentése | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1288 – Információs rendszer biztonsági mentése | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1289 – Információs rendszer biztonsági mentése | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1290 – Információs rendszer biztonsági mentése | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Megbízhatóság és integritás tesztelése
Azonosító: NIST SP 800-53 Rev. 5 CP-9 (1) Tulajdonjog: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1291 – Információs rendszer biztonsági mentése | Megbízhatóság/ integritás tesztelése | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Visszaállítás tesztelése mintavételezéssel
Azonosító: NIST SP 800-53 Rev. 5 CP-9 (2) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1292 – Információs rendszer biztonsági mentése | Visszaállítás tesztelése mintavételezéssel | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
A kritikus információk tárolásának elkülönítése
Azonosító: NIST SP 800-53 Rev. 5 CP-9 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1293 – Információs rendszer biztonsági mentése | Külön tároló a kritikus információkhoz | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Átvitel alternatív tárolóhelyre
Azonosító: NIST SP 800-53 Rev. 5 CP-9 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1294 – Információs rendszer biztonsági mentése | Átvitel alternatív tárolóhelyre | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
System Recovery és Reconstitution
Azonosító: NIST SP 800-53 Rev. 5 CP-10 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1295 – Information System Recovery and Reconstitution | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Tranzakció helyreállítása
Azonosító: NIST SP 800-53 Rev. 5 CP-10 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1296 – Information System Recovery and Reconstitution | Tranzakció helyreállítása | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Visszaállítás időszakon belül
Azonosító: NIST SP 800-53 Rev. 5 CP-10 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1297 – Information System Recovery and Reconstitution | Visszaállítás időszakon belül | A Microsoft implementálja ezt a készenléti tervezés vezérlőt | naplózás | 1.0.0 |
Azonosítás és hitelesítés
Szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 5 IA-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1298 – Azonosítási és hitelesítési szabályzat és eljárások | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1299 – Azonosítási és hitelesítési szabályzat és eljárások | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Azonosítás és hitelesítés (szervezeti felhasználók)
Azonosító: NIST SP 800-53 Rev. 5 IA-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | Naplózás, megtagadás, letiltva | 1.1.0 |
| A függvényalkalmazások felügyelt identitást használnak | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1300 – Felhasználóazonosítás és -hitelesítés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez | Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben | Naplózás, megtagadás, letiltva | 1.1.0 |
Többtényezős hitelesítés emelt szintű fiókokhoz
Azonosító: NIST SP 800-53 Rev. 5 IA-2 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Managed Control 1301 – Felhasználóazonosítás és -hitelesítés | Hálózati hozzáférés emelt szintű fiókokhoz | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1303 – Felhasználóazonosítás és -hitelesítés | Helyi hozzáférés a kiemelt fiókokhoz | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Többtényezős hitelesítés nem emelt jogosultságú fiókokra
Azonosító: NIST SP 800-53 Rev. 5 IA-2 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Managed Control 1302 – Felhasználóazonosítás és -hitelesítés | Hálózati hozzáférés nem emelt szintű fiókokhoz | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1304 – Felhasználóazonosítás és -hitelesítés | Helyi hozzáférés nem emelt szintű fiókokhoz | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Egyéni hitelesítés csoporthitelesítéssel
Azonosító: NIST SP 800-53 Rev. 5 IA-2 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1305 – Felhasználóazonosítás és -hitelesítés | Csoporthitelesítés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Hozzáférés a fiókokhoz ??? Replay Resistant
Azonosító: NIST SP 800-53 Rev. 5 IA-2 (8) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1306 – Felhasználóazonosítás és -hitelesítés | Hálózati hozzáférés kiemelt fiókokhoz – Visszajátszás... | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1307 – Felhasználóazonosítás és -hitelesítés | Hálózati hozzáférés nem emelt jogosultságú fiókokhoz – Visszajátszás... | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
A PIV hitelesítő adatainak elfogadása
Azonosító: NIST SP 800-53 Rev. 5 IA-2 (12) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1309 – Felhasználóazonosítás és -hitelesítés | Piv-hitelesítő adatok elfogadása | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Eszközazonosítás és hitelesítés
Azonosító: NIST SP 800-53 Rev. 5 IA-3 Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1310 – Eszközazonosítás és -hitelesítés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Azonosítókezelés
Azonosító: NIST SP 800-53 Rev. 5 IA-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | Naplózás, megtagadás, letiltva | 1.1.0 |
| A függvényalkalmazások felügyelt identitást használnak | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1311 – Azonosítókezelés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1312 – Azonosítókezelés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1313 – Azonosítókezelés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1314 – Azonosítókezelés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1315 – Azonosítókezelés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez | Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben | Naplózás, megtagadás, letiltva | 1.1.0 |
Felhasználói állapot azonosítása
Azonosító: NIST SP 800-53 Rev. 5 IA-4 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1316 – Azonosítókezelés | Felhasználói állapot azonosítása | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Hitelesítő kezelése
Azonosító: NIST SP 800-53 Rev. 5 IA-5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 1.3.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 1.3.0 |
| Olyan Linux-gépek naplózása, amelyek nem rendelkeznek a passwd fájlengedélyekkel 0644-re állítva | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Linux-gépek, amelyek nem rendelkeznek a passwd fájlengedélyekkel, 0644-re vannak beállítva | AuditIfNotExists, Disabled | 1.4.0 |
| A jelszavakat nem reverzibilis titkosítással tároló Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Windows-gépek, amelyek nem tárolnak jelszavakat visszafejthető titkosítással | AuditIfNotExists, Disabled | 1.0.0 |
| A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Microsoft Managed Control 1317 – Authenticator Management | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1318 – Authenticator Management | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1319 – Authenticator Management | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1320 – Authenticator Management | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1321 – Authenticator Management | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1322 – Authenticator Management | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1323 – Authenticator Management | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1324 – Authenticator Management | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1325 – Authenticator Management | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1326 – Authenticator Management | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Jelszóalapú hitelesítés
Azonosító: NIST SP 800-53 Rev. 5 IA-5 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 1.3.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 1.3.0 |
| Olyan Linux-gépek naplózása, amelyek nem rendelkeznek a passwd fájlengedélyekkel 0644-re állítva | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Linux-gépek, amelyek nem rendelkeznek a passwd fájlengedélyekkel, 0644-re vannak beállítva | AuditIfNotExists, Disabled | 1.4.0 |
| Olyan Windows rendszerű gépek naplózása, amelyek lehetővé teszik a jelszavak újbóli használatát a megadott számú egyedi jelszó után | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek lehetővé teszik a jelszavak ismételt használatát a megadott számú egyedi jelszó után. Az egyedi jelszavak alapértelmezett értéke 24 | AuditIfNotExists, Disabled | 1.1.0 |
| A megadott számú napra beállított maximális jelszó-korhatárt nem tartalmazó Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken a jelszó maximális életkora nem meghatározott számú napra van beállítva. A jelszó maximális életkorának alapértelmezett értéke 70 nap | AuditIfNotExists, Disabled | 1.1.0 |
| A megadott számú napra beállított minimális jelszó-korhatárt nem tartalmazó Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken a jelszó minimális életkora nem meghatározott számú napra van beállítva. A jelszó minimális életkorának alapértelmezett értéke 1 nap | AuditIfNotExists, Disabled | 1.1.0 |
| Olyan Windows rendszerű gépek naplózása, amelyeken nincs engedélyezve a jelszó-összetettség beállítása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken nincs engedélyezve a jelszó-összetettség beállítása | AuditIfNotExists, Disabled | 1.0.0 |
| Olyan Windows rendszerű gépek naplózása, amelyek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre. A jelszó minimális hosszának alapértelmezett értéke 14 karakter | AuditIfNotExists, Disabled | 1.1.0 |
| A jelszavakat nem reverzibilis titkosítással tároló Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Windows-gépek, amelyek nem tárolnak jelszavakat visszafejthető titkosítással | AuditIfNotExists, Disabled | 1.0.0 |
| A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Microsoft Managed Control 1327 – Authenticator Management | Jelszóalapú hitelesítés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1328 – Authenticator Management | Jelszóalapú hitelesítés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1329 – Authenticator Management | Jelszóalapú hitelesítés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1330 – Authenticator Management | Jelszóalapú hitelesítés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1331 – Authenticator Management | Jelszóalapú hitelesítés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1332 – Authenticator Management | Jelszóalapú hitelesítés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1338 – Authenticator Management | Automatikus támogatás a jelszóerősség meghatározásához | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Nyilvános kulcsalapú hitelesítés
Azonosító: NIST SP 800-53 Rev. 5 IA-5 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1333 – Authenticator Management | Pki-alapú hitelesítés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1334 – Authenticator Management | Pki-alapú hitelesítés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1335 – Authenticator Management | Pki-alapú hitelesítés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1336 – Authenticator Management | Pki-alapú hitelesítés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Hitelesítők védelme
Azonosító: NIST SP 800-53 Rev. 5 IA-5 (6) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1339 – Authenticator Management | Hitelesítők védelme | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Nincsenek beágyazott titkosítatlan statikus hitelesítők
Azonosító: NIST SP 800-53 Rev. 5 IA-5 (7) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1340 – Authenticator Management | Nincsenek beágyazott titkosítatlan statikus hitelesítők | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Több rendszerfiók
Azonosító: NIST SP 800-53 Rev. 5 IA-5 (8) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1341 – Authenticator Management | Több információsrendszer-fiók | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Gyorsítótárazott hitelesítők lejárata
Azonosító: NIST SP 800-53 Rev. 5 IA-5 (13) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1343 – Authenticator Management | Gyorsítótárazott hitelesítők lejárata | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Hitelesítési visszajelzés
Azonosító: NIST SP 800-53 Rev. 5 IA-6 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1344 – Hitelesítői visszajelzés | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Titkosítási modul hitelesítése
Azonosító: NIST SP 800-53 Rev. 5 IA-7 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1345 – Titkosítási modul hitelesítése | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Azonosítás és hitelesítés (nem szervezeti felhasználók)
Azonosító: NIST SP 800-53 Rev. 5 IA-8 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1346 – Azonosítás és hitelesítés (nem szervezeti felhasználók) | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
A PIV hitelesítő adatainak elfogadása más ügynökségektől
Azonosító: NIST SP 800-53 Rev. 5 IA-8 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1347 – Azonosítás és hitelesítés (nem szervezeti felhasználók) | Piv hitelesítő adatok elfogadása... | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Külső hitelesítők elfogadása
Azonosító: NIST SP 800-53 Rev. 5 IA-8 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1348 – Azonosítás és hitelesítés (nem szervezeti felhasználók) | Harmadik fél elfogadása... | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1349 – Azonosítás és hitelesítés (nem szervezeti felhasználók) | Ficam által jóváhagyott termékek használata | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Definiált profilok használata
Azonosító: NIST SP 800-53 Rev. 5 IA-8 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1350 – Azonosítás és hitelesítés (nem szervezeti felhasználók) | Ficam által kiadott profilok használata | A Microsoft implementálja ezt az azonosítási és hitelesítési vezérlőt | naplózás | 1.0.0 |
Incidensmegoldás
Szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 5 IR-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1351 – Incidenskezelési szabályzat és eljárások | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1352 – Incidenskezelési szabályzat és eljárások | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Incidenskezelés – oktatás
Azonosító: NIST SP 800-53 Rev. 5 IR-2 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1353 – Incidenskezelési képzés | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1354 – Incidenskezelési képzés | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1355 – Incidenskezelési képzés | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Szimulált események
Azonosító: NIST SP 800-53 Rev. 5 IR-2 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1356 – Incidenskezelési képzés | Szimulált események | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Automatizált betanítási környezetek
Azonosító: NIST SP 800-53 Rev. 5 IR-2 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1357 – Incidenskezelési képzés | Automatizált betanítási környezetek | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Incidensválasz tesztelése
Azonosító: NIST SP 800-53 Rev. 5 IR-3 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1358 – Incidensválasz tesztelése | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Koordináció a kapcsolódó tervekkel
Azonosító: NIST SP 800-53 Rev. 5 IR-3 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1359 – Incidenskezelés tesztelése | Koordináció a kapcsolódó tervekkel | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Incidenskezelés
Azonosító: NIST SP 800-53 Rev. 5 IR-4 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.0.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage (klasszikus) használatát | A Microsoft Defender for Storage (klasszikus) észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1360 – Incidenskezelés | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1361 – Incidenskezelés | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1362 – Incidenskezelés | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
Automatizált incidenskezelési folyamatok
Azonosító: NIST SP 800-53 Rev. 5 IR-4 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1363 – Incidenskezelés | Automatizált incidenskezelési folyamatok | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Dinamikus újrakonfigurálás
Azonosító: NIST SP 800-53 Rev. 5 IR-4 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1364 – Incidenskezelés | Dinamikus újrakonfigurálás | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
A műveletek folytonossága
Azonosító: NIST SP 800-53 Rev. 5 IR-4 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1365 – Incidenskezelés | A műveletek folytonossága | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Információ korrelációja
Azonosító: NIST SP 800-53 Rev. 5 IR-4 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1366 – Incidenskezelés | Információ korrelációja | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Insider-fenyegetések
Azonosító: NIST SP 800-53 Rev. 5 IR-4 (6) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1367 – Incidenskezelés | Insider Threats – Speciális képességek | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Korreláció külső szervezetekkel
Azonosító: NIST SP 800-53 Rev. 5 IR-4 (8) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1368 – Incidenskezelés | Korreláció külső szervezetekkel | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Incidensfigyelés
Azonosító: NIST SP 800-53 Rev. 5 IR-5 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.0.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage (klasszikus) használatát | A Microsoft Defender for Storage (klasszikus) észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1369 – Incidensfigyelés | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
Automatizált nyomon követés, adatgyűjtés és elemzés
Azonosító: NIST SP 800-53 Rev. 5 IR-5 (1) Tulajdonjog: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1370 – Incidensfigyelés | Automatizált nyomon követés / adatgyűjtés / elemzés | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Incidensjelentés
Azonosító: NIST SP 800-53 Rev. 5 IR-6 Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1371 – Incidensjelentés | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1372 – Incidensjelentés | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Automatizált jelentéskészítés
Azonosító: NIST SP 800-53 Rev. 5 IR-6 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1373 – Incidensjelentés | Automatizált jelentéskészítés | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Incidensekkel kapcsolatos biztonsági rések
Azonosító: NIST SP 800-53 Rev. 5 IR-6 (2) Tulajdonjog: Ügyfél
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.0.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
Incidenskezelési segítség
Azonosító: NIST SP 800-53 Rev. 5 IR-7 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1374 – Incidenskezelési segítség | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Automatizálási támogatás az információk és a támogatás rendelkezésre állásához
Azonosító: NIST SP 800-53 Rev. 5 IR-7 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1375 – Incidenskezelési segítségnyújtás | Automatizálási támogatás az információk rendelkezésre állásához / támogatás | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Koordináció külső szolgáltatókkal
Azonosító: NIST SP 800-53 Rev. 5 IR-7 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1376 – Incidenskezelési segítségnyújtás | Koordináció külső szolgáltatókkal | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1377 – Incidenskezelési segítségnyújtás | Koordináció külső szolgáltatókkal | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Incidensmegoldási terv
Azonosító: NIST SP 800-53 Rev. 5 IR-8 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1378 – Incidenskezelési terv | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1379 – Incidenskezelési terv | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1380 – Incidenskezelési terv | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1381 – Incidenskezelési terv | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1382 – Incidenskezelési terv | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1383 – Incidenskezelési terv | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Információk kiömlése válasz
Azonosító: NIST SP 800-53 Rev. 5 IR-9 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1384 – Információszivárgási válasz | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1385 – Információszivárgási válasz | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1386 – Információszivárgási válasz | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1387 – Információszivárgási válasz | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1388 – Információszivárgási válasz | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1389 – Információszivárgási válasz | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1390 – Information Spillage Response | Felelős személyzet | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Képzés
Azonosító: NIST SP 800-53 Rev. 5 IR-9 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1391 – Information Spillage Response | Képzés | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Kiömlés utáni műveletek
Azonosító: NIST SP 800-53 Rev. 5 IR-9 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1392 – Information Spillage Response | Kiömlés utáni műveletek | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Illetéktelen személyeknek való kitettség
Azonosító: NIST SP 800-53 Rev. 5 IR-9 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1393 – Information Spillage Response | Illetéktelen személyeknek való kitettség | A Microsoft implementálja ezt az incidenskezelési vezérlőt | naplózás | 1.0.0 |
Karbantartás
Szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 5 MA-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1394 – Rendszerkarbantartási szabályzat és eljárások | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1395 – Rendszerkarbantartási szabályzat és eljárások | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
Szabályozott karbantartás
Azonosító: NIST SP 800-53 Rev. 5 MA-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1396 – Szabályozott karbantartás | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1397 – Szabályozott karbantartás | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1398 – Szabályozott karbantartás | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1399 – Szabályozott karbantartás | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1400 – Szabályozott karbantartás | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1401 – Szabályozott karbantartás | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
Automatizált karbantartási tevékenységek
Azonosító: NIST SP 800-53 Rev. 5 MA-2 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1402 – Ellenőrzött karbantartás | Automatizált karbantartási tevékenységek | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1403 – Ellenőrzött karbantartás | Automatizált karbantartási tevékenységek | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
Karbantartási eszközök
Azonosító: NIST SP 800-53 Rev. 5 MA-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1404 – Karbantartási eszközök | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
Eszközök vizsgálata
Azonosító: NIST SP 800-53 Rev. 5 MA-3 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1405 – Karbantartási eszközök | Eszközök vizsgálata | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
Adathordozó vizsgálata
Azonosító: NIST SP 800-53 Rev. 5 MA-3 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1406 – Karbantartási eszközök | Adathordozó vizsgálata | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
Jogosulatlan eltávolítás megakadályozása
Azonosító: NIST SP 800-53 Rev. 5 MA-3 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1407 – Karbantartási eszközök | Jogosulatlan eltávolítás megakadályozása | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1408 – Karbantartási eszközök | Jogosulatlan eltávolítás megakadályozása | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1409 – Karbantartási eszközök | Jogosulatlan eltávolítás megakadályozása | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1410 – Karbantartási eszközök | Jogosulatlan eltávolítás megakadályozása | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
Nem lokális karbantartás
Azonosító: NIST SP 800-53 Rev. 5 MA-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1411 – Távoli karbantartás | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1412 – Távoli karbantartás | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1413 – Távoli karbantartás | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1414 – Távoli karbantartás | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1415 – Távoli karbantartás | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
Hasonló biztonság és tisztítás
Azonosító: NIST SP 800-53 Rev. 5 MA-4 (3) Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1417 – Távoli karbantartás | Hasonló biztonság / Fertőtlenítés | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1418 – Távoli karbantartás | Hasonló biztonság / Fertőtlenítés | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
Titkosítási védelem
Azonosító: NIST SP 800-53 Rev. 5 MA-4 (6) Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1419 – Távoli karbantartás | Titkosítási védelem | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
Karbantartó személyzet
Azonosító: NIST SP 800-53 Rev. 5 MA-5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1420 – Karbantartó személyzet | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1421 – Karbantartó személyzet | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1422 – Karbantartó személyzet | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
Megfelelő hozzáféréssel nem rendelkező személyek
Azonosító: NIST SP 800-53 Rev. 5 MA-5 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1423 – Karbantartó személyzet | Megfelelő hozzáféréssel nem rendelkező személyek | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1424 – Karbantartó személyzet | Megfelelő hozzáféréssel nem rendelkező személyek | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
Időbeni karbantartás
Azonosító: NIST SP 800-53 Rev. 5 MA-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1425 – Időszerű karbantartás | A Microsoft implementálja ezt a karbantartási vezérlőt | naplózás | 1.0.0 |
Médiavédelem
Szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 5 MP-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1426 – Médiavédelmi szabályzat és eljárások | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1427 – Médiavédelmi szabályzat és eljárások | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
Médiahozzáférés
Azonosító: NIST SP 800-53 Rev. 5 MP-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1428 – Médiahozzáférés | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
Médiajelölés
Azonosító: NIST SP 800-53 Rev. 5 MP-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1429 – Médiacímke | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1430 – Médiacímke | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
Media Storage
Azonosító: NIST SP 800-53 Rev. 5 MP-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1431 – Media Storage | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1432 – Media Storage | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
Médiaátvitel
Azonosító: NIST SP 800-53 Rev. 5 MP-5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1433 – Médiaátvitel | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1434 – Médiaátvitel | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1435 – Médiaátvitel | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1436 – Médiaátvitel | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
Médiafertőtlenítés
Azonosító: NIST SP 800-53 Rev. 5 MP-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1438 – Médiafertőtlenítés és -ártalmatlanítás | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1439 – Médiafertőtlenítés és -ártalmatlanítás | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
Felülvizsgálat, jóváhagyás, nyomon követés, dokumentum és ellenőrzés
Azonosító: NIST SP 800-53 Rev. 5 MP-6 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1440 – Médiafertőtlenítés és -ártalmatlanítás | Felülvizsgálat / Jóváhagyás / Nyomon követés / Dokumentum / Ellenőrzés | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
Berendezések tesztelése
Azonosító: NIST SP 800-53 Rev. 5 MP-6 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1441 – Médiafertőtlenítés és -ártalmatlanítás | Berendezések tesztelése | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
Nem strukturált technikák
Azonosító: NIST SP 800-53 Rev. 5 MP-6 (3) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1442 – Médiafertőtlenítés és -ártalmatlanítás | Nem strukturált technikák | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
Médiahasználat
Azonosító: NIST SP 800-53 Rev. 5 MP-7 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1443 – Médiahasználat | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1444 – Médiahasználat | Használat tiltása tulajdonos nélkül | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
Fizikai és környezetvédelmi
Szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 5 PE-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1445 – Fizikai és környezetvédelmi szabályzat és eljárások | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1446 – Fizikai és környezetvédelmi szabályzat és eljárások | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Fizikai hozzáférés engedélyezése
Azonosító: NIST SP 800-53 Rev. 5 PE-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1447 – Fizikai hozzáférés engedélyezése | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1448 – Fizikai hozzáférés engedélyezése | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1449 – Fizikai hozzáférés engedélyezése | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1450 – Fizikai hozzáférés engedélyezése | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Fizikai hozzáférés-vezérlés
Azonosító: NIST SP 800-53 Rev. 5 PE-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1451 – Fizikai hozzáférés-vezérlés | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1452 – Fizikai hozzáférés-vezérlés | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1453 – Fizikai hozzáférés-vezérlés | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1454 – Fizikai hozzáférés-vezérlés | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1455 – Fizikai hozzáférés-vezérlés | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1456 – Fizikai hozzáférés-vezérlés | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1457 – Fizikai hozzáférés-vezérlés | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Rendszerhozzáférés
Azonosító: NIST SP 800-53 Rev. 5 PE-3 (1) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1458 – Fizikai hozzáférés-vezérlés | Információs rendszer hozzáférése | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Hozzáférés-vezérlés átvitelhez
Azonosító: NIST SP 800-53 Rev. 5 PE-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1459 – Hozzáférés-vezérlés átviteli adathordozóhoz | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Hozzáférés-vezérlés kimeneti eszközökhöz
Azonosító: NIST SP 800-53 Rev. 5 PE-5 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1460 – Hozzáférés-vezérlés kimeneti eszközökhöz | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Fizikai hozzáférés figyelése
Azonosító: NIST SP 800-53 Rev. 5 PE-6 Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1461 – Fizikai hozzáférés monitorozása | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1462 – Fizikai hozzáférés monitorozása | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1463 – Fizikai hozzáférés monitorozása | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Behatolásjelzők és megfigyelő berendezések
Azonosító: NIST SP 800-53 Rev. 5 PE-6 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1464 – Fizikai hozzáférés monitorozása | Behatolásjelzők / Megfigyelő berendezések | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
A rendszerekhez való fizikai hozzáférés monitorozása
Azonosító: NIST SP 800-53 Rev. 5 PE-6 (4) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1465 – Fizikai hozzáférés monitorozása | Az információs rendszerekhez való fizikai hozzáférés monitorozása | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Látogatói hozzáférési rekordok
Azonosító: NIST SP 800-53 Rev. 5 PE-8 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1466 – Látogatói hozzáférési rekordok | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1467 – Látogatói hozzáférési rekordok | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Automatizált rekordok karbantartása és áttekintése
Azonosító: NIST SP 800-53 Rev. 5 PE-8 (1) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1468 – Látogatói hozzáférési rekordok | Automatizált rekordok karbantartása / áttekintése | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Elektromos berendezések és kábelezés
Azonosító: NIST SP 800-53 Rev. 5 PE-9 Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1469 – Power Equipment and Cabling | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Vészleállítás
Azonosító: NIST SP 800-53 Rev. 5 PE-10 Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1470 – Vészhelyzeti leállítás | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1471 – Vészhelyzeti leállítás | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1472 – Vészhelyzeti leállítás | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Vészhelyzeti tápellátás
Azonosító: NIST SP 800-53 Rev. 5 PE-11 Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1473 – Vészhelyzeti tápellátás | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Alternatív tápegység ??? Minimális működési képesség
Azonosító: NIST SP 800-53 Rev. 5 PE-11 (1) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1474 – Vészhelyzeti tápellátás | Hosszú távú alternatív energiaellátás – Minimális működési képesség | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Vészvilágítás
Azonosító: NIST SP 800-53 Rev. 5 PE-12 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1475 – Vészvilágítás | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Tűzvédelem
Azonosító: NIST SP 800-53 Rev. 5 PE-13 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1476 – Tűzvédelem | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Észlelési rendszerek ??? Automatikus aktiválás és értesítés
Azonosító: NIST SP 800-53 Rev. 5 PE-13 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1477 – Tűzvédelem | Észlelési eszközök / rendszerek | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Elnyomási rendszerek ??? Automatikus aktiválás és értesítés
Azonosító: NIST SP 800-53 Rev. 5 PE-13 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1478 – Tűzvédelem | Elnyomási eszközök / rendszerek | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1479 – Tűzvédelem | Automatikus tűzelnyomás | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Környezetvédelmi ellenőrzések
Azonosító: NIST SP 800-53 Rev. 5 PE-14 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1480 – Hőmérséklet- és páratartalom-vezérlés | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1481 – Hőmérséklet- és páratartalom-vezérlés | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Figyelés riasztásokkal és értesítésekkel
Azonosító: NIST SP 800-53 Rev. 5 PE-14 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1482 – Hőmérséklet- és páratartalom-vezérlés | Figyelés riasztásokkal/ értesítésekkel | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Vízkár elleni védelem
Azonosító: NIST SP 800-53 Rev. 5 PE-15 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1483 – Vízkár elleni védelem | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Automation-támogatás
Azonosító: NIST SP 800-53 Rev. 5 PE-15 (1) Tulajdonjog: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1484 – Vízkár elleni védelem | Automation-támogatás | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Kézbesítés és eltávolítás
Azonosító: NIST SP 800-53 Rev. 5 PE-16 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1485 – Kézbesítés és eltávolítás | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Alternatív munkawebhely
Azonosító: NIST SP 800-53 Rev. 5 PE-17 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1486 – Alternatív munkawebhely | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1487 – Alternatív munkawebhely | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1488 – Alternatív munkawebhely | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
A rendszerösszetevők helye
Azonosító: NIST SP 800-53 Rev. 5 PE-18 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1489 – Az információs rendszer összetevőinek helye | A Microsoft implementálja ezt a fizikai és környezetvédelmi ellenőrzést | naplózás | 1.0.0 |
Tervezés
Szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 5 PL-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1490 – Biztonsági tervezési szabályzat és eljárások | A Microsoft implementálja ezt a tervezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1491 – Biztonsági tervezési szabályzat és eljárások | A Microsoft implementálja ezt a tervezési vezérlőt | naplózás | 1.0.0 |
Rendszerbiztonsági és adatvédelmi csomagok
Azonosító: NIST SP 800-53 Rev. 5 PL-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1492 – Rendszerbiztonsági csomag | A Microsoft implementálja ezt a tervezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1493 – Rendszerbiztonsági csomag | A Microsoft implementálja ezt a tervezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1494 – Rendszerbiztonsági csomag | A Microsoft implementálja ezt a tervezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1495 – Rendszerbiztonsági csomag | A Microsoft implementálja ezt a tervezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1496 – Rendszerbiztonsági csomag | A Microsoft implementálja ezt a tervezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1497 – Rendszerbiztonsági csomag | Más szervezeti entitásokkal való tervezés/koordinálás | A Microsoft implementálja ezt a tervezési vezérlőt | naplózás | 1.0.0 |
Viselkedési szabályok
Azonosító: NIST SP 800-53 Rev. 5 PL-4 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1498 – Viselkedési szabályok | A Microsoft implementálja ezt a tervezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1499 – Viselkedési szabályok | A Microsoft implementálja ezt a tervezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1500 – Viselkedési szabályok | A Microsoft implementálja ezt a tervezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1501 – Viselkedési szabályok | A Microsoft implementálja ezt a tervezési vezérlőt | naplózás | 1.0.0 |
Közösségi média és külső webhely/alkalmazás használati korlátozásai
Azonosító: NIST SP 800-53 Rev. 5 PL-4 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1502 – Viselkedési szabályok | Közösségi média és hálózatkezelési korlátozások | A Microsoft implementálja ezt a tervezési vezérlőt | naplózás | 1.0.0 |
Biztonsági és adatvédelmi architektúrák
Azonosító: NIST SP 800-53 Rev. 5 PL-8 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1503 – Információbiztonsági architektúra | A Microsoft implementálja ezt a tervezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1504 – Információbiztonsági architektúra | A Microsoft implementálja ezt a tervezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1505 – Információbiztonsági architektúra | A Microsoft implementálja ezt a tervezési vezérlőt | naplózás | 1.0.0 |
Személyzeti biztonság
Szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 5 PS-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1506 – Személyzeti biztonsági szabályzat és eljárások | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1507 – Személyzeti biztonsági szabályzat és eljárások | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
Pozíciókockázat megjelölése
Azonosító: NIST SP 800-53 Rev. 5 PS-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1508 – Pozíciókategorizálás | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1509 – Pozíciókategorizálás | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1510 – Pozíciókategorizálás | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
Személyzet szűrése
Id: NIST SP 800-53 Rev. 5 PS-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1511 – Személyzeti szűrés | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1512 – Személyzeti szűrés | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
Különleges védelmi intézkedéseket igénylő információk
Azonosító: NIST SP 800-53 Rev. 5 PS-3 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1513 – Személyzeti szűrés | Különleges védelmi intézkedésekkel kapcsolatos információk | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1514 – Személyzeti szűrés | Különleges védelmi intézkedésekkel kapcsolatos információk | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
Személyzet megszüntetése
Azonosító: NIST SP 800-53 Rev. 5 PS-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1515 – Személyzet megszüntetése | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1516 – Személyzet megszüntetése | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1517 – Személyzet megszüntetése | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1518 – Személyzet megszüntetése | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1519 – Személyzet megszüntetése | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1520 – Személyzet megszüntetése | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
Automatizált műveletek
Azonosító: NIST SP 800-53 Rev. 5 PS-4 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1521 – Személyzet megszüntetése | Automatikus értesítés | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
Személyzet átadása
Azonosító: NIST SP 800-53 Rev. 5 PS-5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1522 – Személyzet átadása | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1523 – Személyzeti átadás | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1524 – Személyzet átadása | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1525 – Személyzet átadása | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
Hozzáférési szerződések
Azonosító: NIST SP 800-53 Rev. 5 PS-6 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1526 – Hozzáférési szerződések | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1527 – Hozzáférési szerződések | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1528 – Hozzáférési szerződések | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
Külső személyzet biztonsága
Azonosító: NIST SP 800-53 Rev. 5 PS-7 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1529 – Külső személyzet biztonsága | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1530 – Külső személyzet biztonsága | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1531 – Külső személyzet biztonsága | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1532 – Külső személyzet biztonsága | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1533 – Külső személyzet biztonsága | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
Személyzeti szankciók
Id: NIST SP 800-53 Rev. 5 PS-8 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1534 – Személyzeti szankciók | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1535 – Személyzeti szankciók | A Microsoft implementálja ezt a személyzeti biztonsági ellenőrzést | naplózás | 1.0.0 |
Kockázatértékelés
Szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 5 RA-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1536 – Kockázatértékelési szabályzat és eljárások | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1537 – Kockázatértékelési szabályzat és eljárások | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
Biztonsági kategorizálás
Azonosító: NIST SP 800-53 Rev. 5 RA-2 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1538 – Biztonsági kategorizálás | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1539 – Biztonsági kategorizálás | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1540 – Biztonsági kategorizálás | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
Kockázatértékelés
Azonosító: NIST SP 800-53 Rev. 5 RA-3 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1541 – Kockázatértékelés | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1542 – Kockázatértékelés | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1543 – Kockázatértékelés | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1544 – Kockázatértékelés | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1545 – Kockázatértékelés | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
Biztonsági rések monitorozása és vizsgálata
Azonosító: NIST SP 800-53 Rev. 5 RA-5 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage (klasszikus) használatát | A Microsoft Defender for Storage (klasszikus) észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1546 – Sebezhetőségi vizsgálat | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1547 – Sebezhetőségi vizsgálat | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1548 – Sebezhetőségi vizsgálat | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1549 – Sebezhetőségi vizsgálat | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1550 – Sebezhetőségi vizsgálat | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
| Microsoft Managed Control 1551 – Sebezhetőségi vizsgálat | Az eszköz frissítési képessége | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
| Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani | A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. | AuditIfNotExists, Disabled | 4.1.0 |
| A gépeken lévő SQL-kiszolgálókon a biztonsági rések megoldásának kell lennie | Az SQL biztonsági rések felmérése biztonsági réseket keres az adatbázisban, és elérhetővé teszi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések megoldása nagyban javíthatja az adatbázis biztonsági helyzetét. | AuditIfNotExists, Disabled | 1.0.0 |
| A tároló biztonsági konfigurációinak biztonsági réseit orvosolni kell | A biztonsági konfiguráció biztonsági réseinek naplózása olyan gépeken, amelyeken a Docker telepítve van, és javaslatokként jelenik meg az Azure Security Centerben. | AuditIfNotExists, Disabled | 3.0.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat | AuditIfNotExists, Disabled | 3.1.0 |
| A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell | Ellenőrizze a virtuálisgép-méretezési csoportok operációsrendszer-biztonsági réseit, hogy megvédje őket a támadásoktól. | AuditIfNotExists, Disabled | 3.0.0 |
| A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 1.0.1 |
| A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 3.0.0 |
| A biztonságirés-felmérést engedélyezni kell a Synapse-munkaterületeken | A lehetséges biztonsági rések felderítése, nyomon követése és elhárítása ismétlődő SQL-sebezhetőségi felmérési vizsgálatok konfigurálásával a Synapse-munkaterületeken. | AuditIfNotExists, Disabled | 1.0.0 |
Vizsgálandó biztonsági rések frissítése
Azonosító: NIST SP 800-53 Rev. 5 RA-5 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1552 – Sebezhetőségi vizsgálat | Frissítés gyakoriság szerint / Az új vizsgálat előtt / ha azonosították | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
A lefedettség szélessége és mélysége
Azonosító: NIST SP 800-53 Rev. 5 RA-5 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1553 – Sebezhetőségi vizsgálat | Szélesség / Lefedettség mélysége | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
Felderíthető információk
Azonosító: NIST SP 800-53 Rev. 5 RA-5 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1554 – Sebezhetőségi vizsgálat | Felderíthető információk | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
Emelt szintű hozzáférés
Azonosító: NIST SP 800-53 Rev. 5 RA-5 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1555 – Sebezhetőségi vizsgálat | Privileged Access | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
Automatizált trendelemzések
Azonosító: NIST SP 800-53 Rev. 5 RA-5 (6) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1556 – Sebezhetőségi vizsgálat | Automatizált trendelemzések | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
Korábbi naplók áttekintése
Azonosító: NIST SP 800-53 Rev. 5 RA-5 (8) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1557 – Sebezhetőségi vizsgálat | Korábbi naplók áttekintése | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
A vizsgálati adatok korrelációja
Azonosító: NIST SP 800-53 Rev. 5 RA-5 (10) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1558 – Sebezhetőségi vizsgálat | A vizsgálati adatok korrelációja | A Microsoft implementálja ezt a kockázatértékelési ellenőrzést | naplózás | 1.0.0 |
Rendszer- és szolgáltatásbeszerzés
Szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 5 SA-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1559 – Rendszer- és szolgáltatásbeszerzési szabályzat és eljárások | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1560 – Rendszer- és szolgáltatásbeszerzési szabályzat és eljárások | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Erőforrások lefoglalása
Azonosító: NIST SP 800-53 Rev. 5 SA-2 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1561 – Erőforrások lefoglalása | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1562 – Erőforrások lefoglalása | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1563 – Erőforrások lefoglalása | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Rendszerfejlesztési életciklus
Azonosító: NIST SP 800-53 Rev. 5 SA-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1564 – Rendszerfejlesztési életciklus | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1565 – Rendszerfejlesztési életciklus | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1566 – Rendszerfejlesztési életciklus | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1567 – Rendszerfejlesztési életciklus | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Beszerzési folyamat
Azonosító: NIST SP 800-53 Rev. 5 SA-4 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1568 – Beszerzési folyamat | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1569 – Beszerzési folyamat | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1570 – Beszerzési folyamat | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1571 – Beszerzési folyamat | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1572 – Beszerzési folyamat | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1573 – Beszerzési folyamat | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1574 – Beszerzési folyamat | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
A vezérlők funkcionális tulajdonságai
Azonosító: NIST SP 800-53 Rev. 5 SA-4 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1575 – Beszerzési folyamat | A biztonsági vezérlők funkcionális tulajdonságai | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Tervezési és megvalósítási információk vezérlőkhöz
Azonosító: NIST SP 800-53 Rev. 5 SA-4 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1576 – Beszerzési folyamat | Biztonsági vezérlők tervezési/ megvalósítási információi | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Folyamatos monitorozási terv vezérlőkhöz
Azonosító: NIST SP 800-53 Rev. 5 SA-4 (8) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1577 – Beszerzési folyamat | Folyamatos figyelési terv | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Függvények, portok, protokollok és használatban lévő szolgáltatások
Azonosító: NIST SP 800-53 Rev. 5 SA-4 (9) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1578 – Beszerzési folyamat | Függvények / Portok / Protokollok / Használatban lévő szolgáltatások | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Jóváhagyott PIV-termékek használata
Azonosító: NIST SP 800-53 Rev. 5 SA-4 (10) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1579 – Beszerzési folyamat | Jóváhagyott Piv-termékek használata | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Rendszerdokumentáció
Azonosító: NIST SP 800-53 Rev. 5 SA-5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1580 – Információs rendszer dokumentációja | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1581 – Információs rendszer dokumentációja | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1582 – Információs rendszer dokumentációja | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1583 – Információs rendszer dokumentációja | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1584 – Információs rendszer dokumentációja | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Biztonsági és adatvédelmi mérnöki alapelvek
Azonosító: NIST SP 800-53 Rev. 5 SA-8 Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1585 – Biztonsági mérnöki alapelvek | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Külső rendszerszolgáltatások
Azonosító: NIST SP 800-53 Rev. 5 SA-9 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1586 – Külső információs rendszerszolgáltatások | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1587 – Külső információs rendszerszolgáltatások | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1588 – Külső információs rendszerszolgáltatások | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Kockázatértékelések és szervezeti Jóváhagyások
Azonosító: NIST SP 800-53 Rev. 5 SA-9 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1589 – External Information System Services | Kockázatértékelések / Szervezeti Jóváhagyások | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1590 – External Information System Services | Kockázatértékelések / Szervezeti Jóváhagyások | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Függvények, portok, protokollok és szolgáltatások azonosítása
Azonosító: NIST SP 800-53 Rev. 5 SA-9 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1591 – External Information System Services | Függvények / portok / protokollok azonosítása... | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
A fogyasztók és szolgáltatók egységes érdekei
Azonosító: NIST SP 800-53 Rev. 5 SA-9 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1592 – External Information System Services | A fogyasztók és szolgáltatók egységes érdekei | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Feldolgozás, tárolás és szolgáltatás helye
Azonosító: NIST SP 800-53 Rev. 5 SA-9 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1593 – External Information System Services | Feldolgozás, tárolás és szolgáltatás helye | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Fejlesztői konfigurációkezelés
Azonosító: NIST SP 800-53 Rev. 5 SA-10 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1594 – Fejlesztői konfigurációkezelés | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1595 – Fejlesztői konfigurációkezelés | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1596 – Fejlesztői konfigurációkezelés | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1597 – Fejlesztői konfigurációkezelés | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1598 – Fejlesztői konfigurációkezelés | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Szoftver- és belsővezérlőprogram-integritás ellenőrzése
Azonosító: NIST SP 800-53 Rev. 5 SA-10 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1599 – Fejlesztői konfigurációkezelés | Szoftver/ Belső vezérlőprogram integritásának ellenőrzése | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Fejlesztői tesztelés és kiértékelés
Azonosító: NIST SP 800-53 Rev. 5 SA-11 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1600 – Fejlesztői biztonsági tesztelés és kiértékelés | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1601 – Fejlesztői biztonsági tesztelés és kiértékelés | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1602 – Fejlesztői biztonsági tesztelés és kiértékelés | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1603 – Fejlesztői biztonsági tesztelés és kiértékelés | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1604 – Fejlesztői biztonsági tesztelés és kiértékelés | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Statikus kódelemzés
Azonosító: NIST SP 800-53 Rev. 5 SA-11 (1) Tulajdonjog: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1605 – Fejlesztői biztonsági tesztelés és kiértékelés | Statikus kódelemzés | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Fenyegetésmodellezés és biztonságirés-elemzések
Azonosító: NIST SP 800-53 Rev. 5 SA-11 (2) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1606 – Fejlesztői biztonsági tesztelés és kiértékelés | Fenyegetés- és sebezhetőségi elemzések | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Dinamikus kódelemzés
Azonosító: NIST SP 800-53 Rev. 5 SA-11 (8) Tulajdonjog: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1607 – Fejlesztői biztonsági tesztelés és kiértékelés | Dinamikus kódelemzés | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Fejlesztési folyamat, szabványok és eszközök
Azonosító: NIST SP 800-53 Rev. 5 SA-15 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1609 – Fejlesztési folyamat, szabványok és eszközök | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1610 – Fejlesztési folyamat, szabványok és eszközök | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Fejlesztő által biztosított képzés
Azonosító: NIST SP 800-53 Rev. 5 SA-16 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1611 – Fejlesztői képzés | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
Fejlesztői biztonsági és adatvédelmi architektúra és tervezés
Azonosító: NIST SP 800-53 Rev. 5 SA-17 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1612 – Fejlesztői biztonsági architektúra és tervezés | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1613 – Fejlesztői biztonsági architektúra és tervezés | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1614 – Fejlesztői biztonsági architektúra és tervezés | A Microsoft implementálja ezt a rendszer- és szolgáltatásbeszerzési vezérlőt | naplózás | 1.0.0 |
System and Communications Protection
Szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 5 SC-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1615 – Rendszer- és kommunikációs védelmi szabályzat és eljárások | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1616 – Rendszer- és kommunikációs védelmi szabályzat és eljárások | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
A rendszer és a felhasználói funkciók elkülönítése
Azonosító: NIST SP 800-53 Rev. 5 SC-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1617 – Alkalmazásparticionálás | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Biztonsági függvény elkülönítése
Azonosító: NIST SP 800-53 Rev. 5 SC-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| A végpontvédelmi megoldást telepíteni kell a virtuálisgép-méretezési csoportokra | A virtuálisgép-méretezési csoportok végpontvédelmi megoldásának meglétét és állapotát naplózza, hogy megvédje őket a fenyegetésektől és a biztonsági résektől. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1618 – Biztonsági függvények elkülönítése | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| Hiányzó Endpoint Protection monitorozása az Azure Security Centerben | A telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat az Azure Security Center figyeli javaslatként | AuditIfNotExists, Disabled | 3.1.0 |
| A Windows Defender Exploit Guardot engedélyezni kell a gépeken | A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). | AuditIfNotExists, Disabled | 1.1.1 |
Információk megosztott rendszererőforrásokban
Azonosító: NIST SP 800-53 Rev. 5 SC-4 Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1619 – Információk megosztott erőforrásokban | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Szolgáltatásmegtagadás elleni védelem
Azonosító: NIST SP 800-53 Rev. 5 SC-5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure DDoS Protection használatát | A DDoS-védelmet minden olyan alhálózattal rendelkező virtuális hálózat esetében engedélyezni kell, amely egy nyilvános IP-címmel rendelkező Application Gateway része. | AuditIfNotExists, Disabled | 3.0.1 |
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1620 – Szolgáltatásmegtagadás elleni védelem | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
Erőforrás rendelkezésre állása
Azonosító: NIST SP 800-53 Rev. 5 SC-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1621 – Erőforrás rendelkezésre állása | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Határvédelem
Azonosító: NIST SP 800-53 Rev. 5 SC-7 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk | Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Az alkalmazáskonfigurációnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. | Naplózás, letiltva | 2.0.0 |
| Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést | A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. | Naplózás, megtagadás, letiltva | 3.2.0 |
| Az Azure Cache for Redisnek privát hivatkozást kell használnia | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot | Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás-nak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy az Azure Cognitive Search szolgáltatás nem érhető el a nyilvános interneten. Privát végpontok létrehozása korlátozhatja a Search szolgáltatás expozícióját. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk | Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az Azure Data Factorynek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure File Syncnek privát hivatkozást kell használnia | Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security | Naplózás, megtagadás, letiltva | 1.4.1 |
| Az Azure Machine Tanulás-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine-Tanulás-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Naplózás, letiltva | 1.0.0 |
| Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A Cognitive Services-fiókoknak le kell tiltania a nyilvános hálózati hozzáférést | A Cognitive Services-fiókok biztonságának javítása érdekében győződjön meg arról, hogy az nem érhető el a nyilvános internethez, és csak privát végpontról érhető el. Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a cikkben https://go.microsoft.com/fwlink/?linkid=2129800leírtak szerint. Ez a beállítás letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címterekről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Ez csökkenti az adatszivárgási kockázatokat. | Naplózás, megtagadás, letiltva | 3.0.1 |
| A Cognitive Servicesnek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. | Naplózás, letiltva | 3.0.0 |
| A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkéshttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. | Naplózás, letiltva | 1.0.1 |
| A CosmosDB-fiókoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| A lemezelérési erőforrásoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Event Hub-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. | Naplózás, letiltva | 1.0.0 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1622 – Határvédelem | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1623 – Határvédelem | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1624 – Határvédelem | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. | Naplózás, letiltva | 1.1.0 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést | Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A tárfiókok privát hivatkozást használnak | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
Hozzáférési pontok
Azonosító: NIST SP 800-53 Rev. 5 SC-7 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk | Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Az alkalmazáskonfigurációnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. | Naplózás, letiltva | 2.0.0 |
| Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést | A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. | Naplózás, megtagadás, letiltva | 3.2.0 |
| Az Azure Cache for Redisnek privát hivatkozást kell használnia | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot | Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás-nak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy az Azure Cognitive Search szolgáltatás nem érhető el a nyilvános interneten. Privát végpontok létrehozása korlátozhatja a Search szolgáltatás expozícióját. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk | Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az Azure Data Factorynek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure File Syncnek privát hivatkozást kell használnia | Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security | Naplózás, megtagadás, letiltva | 1.4.1 |
| Az Azure Machine Tanulás-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine-Tanulás-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Naplózás, letiltva | 1.0.0 |
| Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A Cognitive Services-fiókoknak le kell tiltania a nyilvános hálózati hozzáférést | A Cognitive Services-fiókok biztonságának javítása érdekében győződjön meg arról, hogy az nem érhető el a nyilvános internethez, és csak privát végpontról érhető el. Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a cikkben https://go.microsoft.com/fwlink/?linkid=2129800leírtak szerint. Ez a beállítás letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címterekről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Ez csökkenti az adatszivárgási kockázatokat. | Naplózás, megtagadás, letiltva | 3.0.1 |
| A Cognitive Servicesnek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. | Naplózás, letiltva | 3.0.0 |
| A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkéshttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. | Naplózás, letiltva | 1.0.1 |
| A CosmosDB-fiókoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| A lemezelérési erőforrásoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Event Hub-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. | Naplózás, letiltva | 1.0.0 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1625 – Boundary Protection | Hozzáférési pontok | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. | Naplózás, letiltva | 1.1.0 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést | Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A tárfiókok privát hivatkozást használnak | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
Külső távközlési szolgáltatások
Azonosító: NIST SP 800-53 Rev. 5 SC-7 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1626 – Boundary Protection | Külső távközlési szolgáltatások | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1627 – Boundary Protection | Külső távközlési szolgáltatások | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1628 – Boundary Protection | Külső távközlési szolgáltatások | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1629 – Boundary Protection | Külső távközlési szolgáltatások | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1630 – Boundary Protection | Külső távközlési szolgáltatások | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Megtagadás alapértelmezés szerint ??? Engedélyezés kivétel szerint
Azonosító: NIST SP 800-53 Rev. 5 SC-7 (5) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1155 – Rendszerösszekötők | Külső rendszer Csatlakozás korlátozásai | A Microsoft implementálja ezt a biztonsági felmérési és engedélyezési vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1631 – Boundary Protection | Megtagadás alapértelmezés szerint / Engedélyezés kivétel szerint | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Osztott bújtatás távoli eszközökhöz
Azonosító: NIST SP 800-53 Rev. 5 SC-7 (7) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1632 – Boundary Protection | Távoli eszközök osztott bújtatásának megakadályozása | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Forgalom átirányítása hitelesített proxykiszolgálókra
Azonosító: NIST SP 800-53 Rev. 5 SC-7 (8) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1633 – Boundary Protection | Forgalom átirányítása hitelesített proxykiszolgálókra | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
A kiszűrés megakadályozása
Azonosító: NIST SP 800-53 Rev. 5 SC-7 (10) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1634 – Boundary Protection | Jogosulatlan kiszivárgás megakadályozása | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Gazdagépalapú védelem
Azonosító: NIST SP 800-53 Rev. 5 SC-7 (12) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1635 – Boundary Protection | Gazdagépalapú védelem | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
A biztonsági eszközök, mechanizmusok és támogatási összetevők elkülönítése
Azonosító: NIST SP 800-53 Rev. 5 SC-7 (13) Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1636 – Boundary Protection | A biztonsági eszközök elkülönítése / Mechanizmusok / Támogatási összetevők | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Feladat biztonságossá tétele
Azonosító: NIST SP 800-53 Rev. 5 SC-7 (18) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1637 – Boundary Protection | Feladat biztonságossá tétele | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Dinamikus elkülönítés és elkülönítés
Azonosító: NIST SP 800-53 Rev. 5 SC-7 (20) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1638 – Boundary Protection | Dinamikus elkülönítés/elkülönítés | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Rendszerösszetevők elkülönítése
Azonosító: NIST SP 800-53 Rev. 5 SC-7 (21) Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1639 – Boundary Protection | Az információs rendszer összetevőinek elkülönítése | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Továbbítási bizalmasság és integritás
Azonosító: NIST SP 800-53 Rev. 5 SC-8 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
| Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure HDInsight-fürtöknek átvitel közben titkosítást kell használniuk az Azure HDInsight-fürtcsomópontok közötti kommunikáció titkosításához | Az adatok az Azure HDInsight-fürtcsomópontok közötti átvitel során módosíthatók. A titkosítás engedélyezése az átvitel során a nem rendeltetésszerű használattal és illetéktelen módosítással kapcsolatos problémákat oldja meg. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
| A függvényalkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.1.0 |
| Microsoft Managed Control 1640 – Átvitel bizalmassága és integritása | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni | Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 3.0.1 |
Titkosítási védelem
Azonosító: NIST SP 800-53 Rev. 5 SC-8 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
| Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure HDInsight-fürtöknek átvitel közben titkosítást kell használniuk az Azure HDInsight-fürtcsomópontok közötti kommunikáció titkosításához | Az adatok az Azure HDInsight-fürtcsomópontok közötti átvitel során módosíthatók. A titkosítás engedélyezése az átvitel során a nem rendeltetésszerű használattal és illetéktelen módosítással kapcsolatos problémákat oldja meg. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
| A függvényalkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.1.0 |
| Microsoft Managed Control 1641 – Átvitel bizalmassága és integritása | Titkosítási vagy alternatív fizikai védelem | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni | Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 3.0.1 |
Hálózati kapcsolat bontása
Azonosító: NIST SP 800-53 Rev. 5 SC-10 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1642 – Hálózati kapcsolat bontása | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Titkosítási kulcsok létrehozása és kezelése
Azonosító: NIST SP 800-53 Rev. 5 SC-12 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Recovery Services-tárolóknak ügyfél által felügyelt kulcsokat kell használniuk a biztonsági mentési adatok titkosításához | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a biztonsági mentési adatok többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/AB-CmkEncryption. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az IoT Hub eszközkiépítési szolgáltatásának adatait ügyfél által felügyelt kulcsokkal (CMK) kell titkosítani | Az ügyfél által felügyelt kulcsok használatával kezelheti a titkosítást az IoT Hub-eszközkiépítési szolgáltatás többi részén. Az adatok automatikusan titkosítva vannak inaktív állapotban szolgáltatás által felügyelt kulcsokkal, de az ügyfél által felügyelt kulcsokra (CMK) általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. További információ a CMK-titkosításról: https://aka.ms/dps/CMK. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| Az Azure Automation-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Automation-fiókok többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/automation-cmk. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Batch-fióknak ügyfél által felügyelt kulcsokat kell használnia az adatok titkosításához | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a Batch-fiók adatainak többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/Batch-CMK. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure Container Instance tárolócsoportjának ügyfél által felügyelt kulcsot kell használnia a titkosításhoz | Az ügyfél által felügyelt kulcsokkal nagyobb rugalmassággal védheti a tárolókat. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Naplózás, Letiltás, Megtagadás | 1.0.0 |
| Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Cosmos DB többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/cosmosdb-cmk. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Data Box-feladatoknak egy ügyfél által felügyelt kulccsal kell titkosítaniuk az eszköz feloldási jelszavát | Ügyfél által felügyelt kulccsal szabályozhatja az eszköz feloldási jelszavának titkosítását az Azure Data Boxhoz. Az ügyfél által felügyelt kulcsok a Data Box szolgáltatás által az eszköz feloldási jelszavához való hozzáférést is kezelik az eszköz előkészítése és az adatok automatikus másolása érdekében. Az eszközön lévő adatok már inaktív állapotban vannak titkosítva az Advanced Encryption Standard 256 bites titkosítással, és az eszköz feloldási jelszava alapértelmezés szerint egy Microsoft által felügyelt kulccsal van titkosítva. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Data Explorer inaktív titkosításának ügyfél által felügyelt kulcsot kell használnia | Ha az Azure Data Explorer-fürtön ügyfél által felügyelt kulccsal engedélyezi a inaktív titkosítást, további vezérlést biztosít a titkosítás által használt inaktív kulcs felett. Ez a funkció gyakran speciális megfelelőségi követelményekkel rendelkező ügyfelekre vonatkozik, és kulcstartóra van szükség a kulcsok kezeléséhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure-adatgyárakat ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Data Factory többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/adf-cmk. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure HDInsight-fürtöknek ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure HDInsight-fürtök többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/hdi.cmk. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure HDInsight-fürtöknek titkosítást kell használniuk a gazdagépen az inaktív adatok titkosításához | A gazdagépen történő titkosítás engedélyezése segít megvédeni és védeni az adatokat, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Ha engedélyezi a titkosítást a gazdagépen, a virtuálisgép-gazdagépen tárolt adatok inaktív állapotban lesznek titkosítva, és a Storage szolgáltatásba titkosított folyamatok lesznek titkosítva. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Machine Tanulás-munkaterületeket ügyfél által felügyelt kulccsal kell titkosítani | Az Azure Machine többi részén Tanulás munkaterület adatainak kezelése ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/azureml-workspaces-cmk. | Naplózás, megtagadás, letiltva | 1.0.3 |
| Az Azure Monitor-naplófürtöket ügyfél által felügyelt kulccsal kell titkosítani | Azure Monitor-naplófürt létrehozása ügyfél által felügyelt kulcsok titkosításával. Alapértelmezés szerint a naplóadatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsok általában szükségesek a jogszabályi megfelelőség teljesítéséhez. Az Azure Monitor ügyfél által felügyelt kulcsa nagyobb mértékben szabályozhatja az adatokhoz való hozzáférést, lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Stream Analytics-feladatoknak ügyfél által felügyelt kulcsokat kell használniuk az adatok titkosításához | Az ügyfél által felügyelt kulcsokat akkor használja, ha biztonságosan szeretné tárolni a Stream Analytics-feladatok metaadatait és privát adategységeit a tárfiókban. Így teljes mértékben szabályozhatja a Stream Analytics-adatok titkosítását. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Synapse-munkaterületeknek ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal szabályozhatja a titkosítást az Azure Synapse-munkaterületeken tárolt többi adatnál. Az ügyfél által felügyelt kulcsok dupla titkosítást biztosítanak, ha egy második titkosítási réteget ad hozzá az alapértelmezett titkosításhoz a szolgáltatás által felügyelt kulcsokkal. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Bot Service-t ügyfél által felügyelt kulccsal kell titkosítani | Az Azure Bot Service automatikusan titkosítja az erőforrást az adatok védelme és a szervezeti biztonsági és megfelelőségi kötelezettségek teljesítése érdekében. Alapértelmezés szerint a Microsoft által felügyelt titkosítási kulcsokat használja a rendszer. A kulcsok kezelésének vagy az előfizetéshez való hozzáférés szabályozásának nagyobb rugalmassága érdekében válassza ki az ügyfél által felügyelt kulcsokat, más néven saját kulcsot (BYOK). További információ az Azure Bot Service titkosításáról: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Kubernetes Service-fürtök operációs rendszereit és adatlemezeit is ügyfél által felügyelt kulcsokkal kell titkosítani | Az operációs rendszer és az adatlemezek ügyfél által felügyelt kulcsok használatával történő titkosítása nagyobb vezérlést és nagyobb rugalmasságot biztosít a kulcskezelésben. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A Cognitive Services-fiókoknak engedélyeznie kell az ügyfél által felügyelt kulccsal történő adattitkosítást | Az ügyfél által felügyelt kulcsok gyakran szükségesek a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik a Cognitive Servicesben tárolt adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ az ügyfél által felügyelt kulcsokról itt https://go.microsoft.com/fwlink/?linkid=2121321: . | Naplózás, megtagadás, letiltva | 2.1.0 |
| A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/acr/CMK. | Naplózás, megtagadás, letiltva | 1.1.2 |
| Az Event Hub-névtereknek ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | Az Azure Event Hubs támogatja az inaktív adatok Microsoft által felügyelt kulcsokkal (alapértelmezett) vagy ügyfél által felügyelt kulcsokkal történő titkosítását. Az ügyfél által felügyelt kulcsok használatával történő adattitkosítás lehetővé teszi az Event Hub által a névtérben lévő adatok titkosításához használt kulcsokhoz való hozzáférés hozzárendelését, elforgatását, letiltását és visszavonását. Vegye figyelembe, hogy az Event Hub csak a dedikált fürtök névtereinek ügyfél által felügyelt kulcsaival támogatja a titkosítást. | Naplózás, letiltva | 1.0.0 |
| A Logic Apps integrációs szolgáltatási környezetét ügyfél által felügyelt kulcsokkal kell titkosítani | Üzembe helyezés az Integrációs szolgáltatás környezetében a Logic Apps-adatok titkosításának felügyeletéhez ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A felügyelt lemezeket a platform által felügyelt és az ügyfél által felügyelt kulcsokkal is duplán kell titkosítani | A magas biztonsági szempontból érzékeny ügyfelek, akik aggódnak az adott titkosítási algoritmussal, implementációval vagy kulcssal kapcsolatos kockázat miatt, további titkosítási réteget választhatnak egy másik titkosítási algoritmus/mód használatával az infrastruktúrarétegen platform által felügyelt titkosítási kulcsok használatával. A lemeztitkosítási csoportoknak kettős titkosítást kell használniuk. További információ: https://aka.ms/disks-doubleEncryption. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Microsoft Managed Control 1643 – Titkosítási kulcsok létrehozása és kezelése | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| Az operációs rendszert és az adatlemezeket ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a felügyelt lemezek többi részén. Alapértelmezés szerint az adatok inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/disks-cmk. | Naplózás, megtagadás, letiltva | 3.0.0 |
| Az Azure Monitorban mentett lekérdezéseket a naplók titkosításához az ügyfél tárfiókjába kell menteni | Tárfiók csatolása a Log Analytics-munkaterülethez a mentett lekérdezések tárfiók-titkosítással történő védelme érdekében. Az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőség teljesítéséhez és a mentett lekérdezések Azure Monitorban való hozzáférésének nagyobb mértékű ellenőrzéséhez. A fentiekkel kapcsolatos további részletekért lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| A Service Bus Premium-névtereknek ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | Az Azure Service Bus támogatja az inaktív adatok Microsoft által felügyelt kulcsokkal (alapértelmezett) vagy ügyfél által felügyelt kulcsokkal történő titkosítását. Az ügyfél által felügyelt kulcsok használatával történő adattitkosítás lehetővé teszi a Service Bus által a névtérben lévő adatok titkosításához használt kulcsokhoz való hozzáférés hozzárendelését, elforgatását, letiltását és visszavonását. Vegye figyelembe, hogy a Service Bus csak a prémium szintű névterek ügyfél által felügyelt kulcsaival támogatja a titkosítást. | Naplózás, letiltva | 1.0.0 |
| A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít egy HSM által támogatott külső szolgáltatással, valamint a feladatok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít a HSM által támogatott külső szolgáltatásokkal, valamint a vámok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.1 |
| A tárfiók titkosítási hatóköreinek az ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a tárfiók titkosítási hatóköreinek többi részén. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key-Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ a tárfiókok titkosítási hatóköreiről: https://aka.ms/encryption-scopes-overview. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | A blob- és fájltárolási fiók védelme nagyobb rugalmassággal az ügyfél által felügyelt kulcsok használatával. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Naplózás, letiltva | 1.0.3 |
Elérhetőség
Azonosító: NIST SP 800-53 Rev. 5 SC-12 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1644 – Kriptográfiai kulcsok létrehozása és kezelése | Elérhetőség | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Szimmetrikus kulcsok
Azonosító: NIST SP 800-53 Rev. 5 SC-12 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1645 – Titkosítási kulcsok létrehozása és kezelése | Szimmetrikus kulcsok | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Aszimmetrikus kulcsok
Azonosító: NIST SP 800-53 Rev. 5 SC-12 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1646 – Titkosítási kulcsok létrehozása és kezelése | Aszimmetrikus kulcsok | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Titkosítási védelem
Azonosító: NIST SP 800-53 Rev. 5 SC-13 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1647 – Titkosítás használata | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Együttműködésen alapuló számítástechnikai eszközök és alkalmazások
Azonosító: NIST SP 800-53 Rev. 5 SC-15 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1648 – Együttműködésen alapuló számítástechnikai eszközök | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1649 – Együttműködésen alapuló számítástechnikai eszközök | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Nyilvános kulcsú infrastruktúratanúsítványok
Azonosító: NIST SP 800-53 Rev. 5 SC-17 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1650 – Nyilvános kulcsú infrastruktúra-tanúsítványok | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Mobilkód
Azonosító: NIST SP 800-53 Rev. 5 SC-18 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1651 – Mobilkód | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1652 – Mobilkód | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1653 – Mobilkód | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Biztonságos név/címfeloldási szolgáltatás (mérvadó forrás)
Azonosító: NIST SP 800-53 Rev. 5 SC-20 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1656 – Biztonságos név/ Címfeloldási szolgáltatás (mérvadó forrás) | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1657 – Biztonságos név/ Címfeloldási szolgáltatás (mérvadó forrás) | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Biztonságos név-/címfeloldási szolgáltatás (rekurzív vagy gyorsítótárazási feloldó)
Azonosító: NIST SP 800-53 Rev. 5 SC-21 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1658 – Biztonságos név/ Címfeloldási szolgáltatás (Rekurzív vagy gyorsítótárazási feloldó) | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Architektúra és kiépítés a név-/címfeloldási szolgáltatáshoz
Azonosító: NIST SP 800-53 Rev. 5 SC-22 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1659 – Architektúra és kiépítés a név/ címfeloldási szolgáltatás számára | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Munkamenet-hitelesség
Azonosító: NIST SP 800-53 Rev. 5 SC-23 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1660 – Munkamenet-hitelesség | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Munkamenet-azonosítók érvénytelenítése a kijelentkezéskor
Azonosító: NIST SP 800-53 Rev. 5 SC-23 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1661 – Munkamenet-hitelesség | Munkamenet-azonosítók érvénytelenítése kijelentkezéskor | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Sikertelenség ismert állapotban
Azonosító: NIST SP 800-53 Rev. 5 SC-24 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1662 – Ismert állapotú sikertelenség | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Az inaktív adatok védelme
Azonosító: NIST SP 800-53 Rev. 5 SC-28 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-környezetnek engedélyeznie kell a belső titkosítást | Az InternalEncryption igaz értékre állítása titkosítja a lapfájlt, a feldolgozó lemezeket és a belső hálózati forgalmat az előtér és az App Service-környezet feldolgozói között. További információkért tekintse meg a következőt https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption: . | Naplózás, letiltva | 1.0.1 |
| Az Automation-fiók változóit titkosítani kell | Fontos engedélyezni az Automation-fiók változó eszközeinek titkosítását bizalmas adatok tárolásakor | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure Data Box-feladatoknak engedélyeznie kell az eszközön inaktív adatok dupla titkosítását | Engedélyezze a szoftveralapú titkosítás második rétegét az eszközön inaktív adatokhoz. Az eszköz már az Advanced Encryption Standard 256 bites titkosítással van védve az inaktív adatokhoz. Ez a beállítás hozzáad egy második adattitkosítási réteget. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Monitor Naplófürtöket úgy kell létrehozni, hogy engedélyezve legyen az infrastruktúra-titkosítás (dupla titkosítás) | Annak érdekében, hogy a biztonságos adattitkosítás szolgáltatásszinten és infrastruktúraszinten engedélyezve legyen két különböző titkosítási algoritmussal és két különböző kulcssal, használjon dedikált Azure Monitor-fürtöt. Ez a beállítás alapértelmezés szerint engedélyezve van, ha a régióban támogatott, lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Stack Edge-eszközöknek kettős titkosítást kell használniuk | Az eszközön lévő inaktív adatok védelméhez győződjön meg arról, hogy az adatok duplán titkosítva vannak, az adatokhoz való hozzáférés szabályozva van, és az eszköz inaktiválása után az adatok biztonságosan törlődnek az adatlemezekről. A kettős titkosítás két titkosítási réteg használata: BitLocker XTS-AES 256 bites titkosítás az adatkötetek és a merevlemezek beépített titkosítása. További információ az adott Stack Edge-eszköz biztonsági áttekintési dokumentációjában. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| A lemeztitkosítást engedélyezni kell az Azure Data Explorerben | A lemeztitkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A dupla titkosítást engedélyezni kell az Azure Data Explorerben | A kettős titkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Ha engedélyezve van a kettős titkosítás, a tárfiók adatai kétszer, egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén vannak titkosítva két különböző titkosítási algoritmus és két különböző kulcs használatával. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Microsoft Managed Control 1663 – Az inaktív adatok védelme | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| A Service Fabric-fürtöknél a ClusterProtectionLevel tulajdonságnak EncryptAndSign értékűnek kell lennie | A Service Fabric három szintű védelmet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet úgy, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen | Naplózás, megtagadás, letiltva | 1.1.0 |
| A tárfiókoknak infrastruktúra-titkosítással kell rendelkezniük | Engedélyezze az infrastruktúra-titkosítást az adatok biztonságának magasabb szintű biztosításához. Ha az infrastruktúra titkosítása engedélyezve van, a tárfiókban lévő adatok kétszer lesznek titkosítva. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Kubernetes Service-fürtök ügynökcsomópont-készleteinek ideiglenes lemezeit és gyorsítótárát a gazdagépen kell titkosítani | Az adatbiztonság javítása érdekében az Azure Kubernetes Service-csomópontok virtuális gépén (VM) tárolt adatokat inaktív állapotban kell titkosítani. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. | Naplózás, megtagadás, letiltva | 1.0.1 |
| transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell | A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
| A virtuális gépeknek és a virtuálisgép-méretezési csoportoknak engedélyezniük kell a titkosítást a gazdagépen | A gazdagép titkosításának használatával végpontok közötti titkosítást kaphat a virtuális gép és a virtuálisgép-méretezési csoport adataihoz. A gazdagép titkosítása lehetővé teszi az ideiglenes lemez és operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban történő titkosítását. Az ideiglenes és rövid élettartamú operációsrendszer-lemezek platform által felügyelt kulcsokkal vannak titkosítva, amikor a gazdagépen engedélyezve van a titkosítás. Az operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban, ügyfél által felügyelt vagy platform által felügyelt kulccsal vannak titkosítva, a lemezen kiválasztott titkosítási típustól függően. További információ: https://aka.ms/vm-hbe. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítás és a tár között áramló adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. A felügyelt lemezek kiszolgálóoldali titkosítása megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Titkosítási védelem
Azonosító: NIST SP 800-53 Rev. 5 SC-28 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-környezetnek engedélyeznie kell a belső titkosítást | Az InternalEncryption igaz értékre állítása titkosítja a lapfájlt, a feldolgozó lemezeket és a belső hálózati forgalmat az előtér és az App Service-környezet feldolgozói között. További információkért tekintse meg a következőt https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption: . | Naplózás, letiltva | 1.0.1 |
| Az Automation-fiók változóit titkosítani kell | Fontos engedélyezni az Automation-fiók változó eszközeinek titkosítását bizalmas adatok tárolásakor | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure Data Box-feladatoknak engedélyeznie kell az eszközön inaktív adatok dupla titkosítását | Engedélyezze a szoftveralapú titkosítás második rétegét az eszközön inaktív adatokhoz. Az eszköz már az Advanced Encryption Standard 256 bites titkosítással van védve az inaktív adatokhoz. Ez a beállítás hozzáad egy második adattitkosítási réteget. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Monitor Naplófürtöket úgy kell létrehozni, hogy engedélyezve legyen az infrastruktúra-titkosítás (dupla titkosítás) | Annak érdekében, hogy a biztonságos adattitkosítás szolgáltatásszinten és infrastruktúraszinten engedélyezve legyen két különböző titkosítási algoritmussal és két különböző kulcssal, használjon dedikált Azure Monitor-fürtöt. Ez a beállítás alapértelmezés szerint engedélyezve van, ha a régióban támogatott, lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Stack Edge-eszközöknek kettős titkosítást kell használniuk | Az eszközön lévő inaktív adatok védelméhez győződjön meg arról, hogy az adatok duplán titkosítva vannak, az adatokhoz való hozzáférés szabályozva van, és az eszköz inaktiválása után az adatok biztonságosan törlődnek az adatlemezekről. A kettős titkosítás két titkosítási réteg használata: BitLocker XTS-AES 256 bites titkosítás az adatkötetek és a merevlemezek beépített titkosítása. További információ az adott Stack Edge-eszköz biztonsági áttekintési dokumentációjában. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| A lemeztitkosítást engedélyezni kell az Azure Data Explorerben | A lemeztitkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A dupla titkosítást engedélyezni kell az Azure Data Explorerben | A kettős titkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Ha engedélyezve van a kettős titkosítás, a tárfiók adatai kétszer, egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén vannak titkosítva két különböző titkosítási algoritmus és két különböző kulcs használatával. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Microsoft Managed Control 1437 – Media Transport | Titkosítási védelem | A Microsoft implementálja ezt a Media Protection-vezérlőt | naplózás | 1.0.0 |
| Microsoft Managed Control 1664 – Az inaktív adatok védelme | Titkosítási védelem | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
| A Service Fabric-fürtöknél a ClusterProtectionLevel tulajdonságnak EncryptAndSign értékűnek kell lennie | A Service Fabric három szintű védelmet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet úgy, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen | Naplózás, megtagadás, letiltva | 1.1.0 |
| A tárfiókoknak infrastruktúra-titkosítással kell rendelkezniük | Engedélyezze az infrastruktúra-titkosítást az adatok biztonságának magasabb szintű biztosításához. Ha az infrastruktúra titkosítása engedélyezve van, a tárfiókban lévő adatok kétszer lesznek titkosítva. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Kubernetes Service-fürtök ügynökcsomópont-készleteinek ideiglenes lemezeit és gyorsítótárát a gazdagépen kell titkosítani | Az adatbiztonság javítása érdekében az Azure Kubernetes Service-csomópontok virtuális gépén (VM) tárolt adatokat inaktív állapotban kell titkosítani. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. | Naplózás, megtagadás, letiltva | 1.0.1 |
| transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell | A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
| A virtuális gépeknek és a virtuálisgép-méretezési csoportoknak engedélyezniük kell a titkosítást a gazdagépen | A gazdagép titkosításának használatával végpontok közötti titkosítást kaphat a virtuális gép és a virtuálisgép-méretezési csoport adataihoz. A gazdagép titkosítása lehetővé teszi az ideiglenes lemez és operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban történő titkosítását. Az ideiglenes és rövid élettartamú operációsrendszer-lemezek platform által felügyelt kulcsokkal vannak titkosítva, amikor a gazdagépen engedélyezve van a titkosítás. Az operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban, ügyfél által felügyelt vagy platform által felügyelt kulccsal vannak titkosítva, a lemezen kiválasztott titkosítási típustól függően. További információ: https://aka.ms/vm-hbe. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítás és a tár között áramló adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. A felügyelt lemezek kiszolgálóoldali titkosítása megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Folyamatelkülönítés
Azonosító: NIST SP 800-53 Rev. 5 SC-39 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1665 – Folyamatelkülönítés | A Microsoft implementálja ezt a rendszer- és kommunikációs védelmi vezérlőt | naplózás | 1.0.0 |
Rendszer- és információintegritás
Szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 5 SI-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1666 – Rendszer- és információintegritási szabályzat és eljárások | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1667 – Rendszer- és információintegritási szabályzat és eljárások | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Hiba szervizelése
Azonosító: NIST SP 800-53 Rev. 5 SI-2 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| A függvényalkalmazások a legújabb HTTP-verziót használják | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | Frissítse a Kubernetes-szolgáltatásfürtöt egy későbbi Kubernetes-verzióra, hogy megvédje az aktuális Kubernetes-verzió ismert biztonsági réseit. A CVE-2019-9946 biztonsági rés ki lett javítva a Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ és 1.14.0+ verziójában | Naplózás, letiltva | 1.0.2 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage (klasszikus) használatát | A Microsoft Defender for Storage (klasszikus) észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1668 – Hibák elhárítása | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1669 – Hibák elhárítása | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1670 – Hibák elhárítása | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1671 – Hibák elhárítása | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani | A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. | AuditIfNotExists, Disabled | 4.1.0 |
| A virtuálisgép-méretezési csoportok rendszerfrissítéseit telepíteni kell | Naplózza az esetleges hiányzó biztonsági rendszerfrissítéseket és kulcsfontosságú frissítéseket, amelyeket telepíteni kell, hogy Windows és Linux rendszerű virtuálisgép-méretezési csoportjai biztonságban legyenek. | AuditIfNotExists, Disabled | 3.0.0 |
| A rendszerfrissítéseket telepíteni kell a gépekre | A kiszolgálók hiányzó biztonsági rendszerfrissítéseit az Azure Security Center ajánlásként figyeli | AuditIfNotExists, Disabled | 3.0.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat | AuditIfNotExists, Disabled | 3.1.0 |
| A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell | Ellenőrizze a virtuálisgép-méretezési csoportok operációsrendszer-biztonsági réseit, hogy megvédje őket a támadásoktól. | AuditIfNotExists, Disabled | 3.0.0 |
Automatikus hibajavító állapot
Azonosító: NIST SP 800-53 Rev. 5 SI-2 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1673 – Hibajavító | Automatikus hibajavító állapot | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
A korrekciós műveletek hibáinak és teljesítménymutatóinak szervizelése
Azonosító: NIST SP 800-53 Rev. 5 SI-2 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1674 – Hibajavító | Hibák szervizelésének ideje / Korrekciós műveletek teljesítménymutatói | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1675 – Hibák elhárítása | Hibák szervizelésének ideje / Korrekciós műveletek teljesítménymutatói | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
A szoftver és a belső vezérlőprogram korábbi verzióinak eltávolítása
Azonosító: NIST SP 800-53 Rev. 5 SI-2 (6) Tulajdonjog: Ügyfél
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| A függvényalkalmazások a legújabb HTTP-verziót használják | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | Frissítse a Kubernetes-szolgáltatásfürtöt egy későbbi Kubernetes-verzióra, hogy megvédje az aktuális Kubernetes-verzió ismert biztonsági réseit. A CVE-2019-9946 biztonsági rés ki lett javítva a Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ és 1.14.0+ verziójában | Naplózás, letiltva | 1.0.2 |
Rosszindulatú kódvédelem
Azonosító: NIST SP 800-53 Rev. 5 SI-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| A végpontvédelmi megoldást telepíteni kell a virtuálisgép-méretezési csoportokra | A virtuálisgép-méretezési csoportok végpontvédelmi megoldásának meglétét és állapotát naplózza, hogy megvédje őket a fenyegetésektől és a biztonsági résektől. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Managed Control 1676 – Rosszindulatú kódvédelem | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1677 – Rosszindulatú kódvédelem | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1678 – Rosszindulatú kódvédelem | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1679 – Rosszindulatú kódvédelem | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1681 – Rosszindulatú kódvédelem | Automatikus Frissítések | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1682 – Rosszindulatú kódvédelem | Nem aláírásalapú észlelés | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Hiányzó Endpoint Protection monitorozása az Azure Security Centerben | A telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat az Azure Security Center figyeli javaslatként | AuditIfNotExists, Disabled | 3.1.0 |
| A Windows Defender Exploit Guardot engedélyezni kell a gépeken | A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). | AuditIfNotExists, Disabled | 1.1.1 |
Rendszerfigyelés
Azonosító: NIST SP 800-53 Rev. 5 SI-4 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésben | A biztonsági rések és fenyegetések monitorozásához az Azure Security Center adatokat gyűjt az Azure-beli virtuális gépekről. Az adatokat a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) gyűjti, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Javasoljuk, hogy engedélyezze az automatikus üzembe helyezést az ügynök automatikus üzembe helyezéséhez az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. | AuditIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| A Log Analytics-ügynököt telepíteni kell a virtuális gépre az Azure Security Center monitorozásához | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket (VM-eket), ha a Log Analytics-ügynök nincs telepítve, amelyet a Security Center a biztonsági rések és fenyegetések figyelésére használ | AuditIfNotExists, Disabled | 1.0.0 |
| A Log Analytics-ügynököt telepíteni kell a virtuálisgép-méretezési csoportokra az Azure Security Center monitorozásához | A Security Center adatokat gyűjt az Azure-beli virtuális gépekről a biztonsági rések és fenyegetések monitorozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage (klasszikus) használatát | A Microsoft Defender for Storage (klasszikus) észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft Managed Control 1683 – Információs rendszer monitorozása | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1684 – Információs rendszer monitorozása | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1685 – Információs rendszer monitorozása | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1686 – Információs rendszer monitorozása | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1687 – Információs rendszer monitorozása | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1688 – Információs rendszer monitorozása | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1689 – Információs rendszer monitorozása | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Rendszerszintű behatolásészlelő rendszer
Azonosító: NIST SP 800-53 Rev. 5 SI-4 (1) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1690 – Információs rendszer monitorozása | Rendszerszintű behatolásészlelő rendszer | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Automatizált eszközök és mechanizmusok a valós idejű elemzéshez
Azonosító: NIST SP 800-53 Rev. 5 SI-4 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1691 – Információs rendszer monitorozása | Automatizált eszközök valós idejű elemzéshez | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Bejövő és kimenő kommunikációs forgalom
Azonosító: NIST SP 800-53 Rev. 5 SI-4 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1692 – Információs rendszer monitorozása | Bejövő és kimenő kommunikációs forgalom | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Rendszer által létrehozott riasztások
Azonosító: NIST SP 800-53 Rev. 5 SI-4 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1693 – Információs rendszer monitorozása | Rendszer által generált riasztások | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Kommunikációs forgalom rendellenességeinek elemzése
Azonosító: NIST SP 800-53 Rev. 5 SI-4 (11) Tulajdonjog: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1694 – Információs rendszer monitorozása | Kommunikációs forgalom rendellenességeinek elemzése | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Automatizált szervezet által létrehozott riasztások
Azonosító: NIST SP 800-53 Rev. 5 SI-4 (12) Tulajdonjog: Ügyfél
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.0.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
Vezeték nélküli behatolás észlelése
Azonosító: NIST SP 800-53 Rev. 5 SI-4 (14) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1695 – Információs rendszer monitorozása | Vezeték nélküli behatolás észlelése | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Monitorozási információk korrelációja
Azonosító: NIST SP 800-53 Rev. 5 SI-4 (16) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1696 – Információs rendszer monitorozása | Monitorozási információk korrelációja | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Forgalom és fedett kiszivárgás elemzése
Azonosító: NIST SP 800-53 Rev. 5 SI-4 (18) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1697 – Információs rendszer monitorozása | Forgalom elemzése / Fedett kiszivárgás | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Egyénekre vonatkozó kockázat
Azonosító: NIST SP 800-53 Rev. 5 SI-4 (19) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1698 – Információs rendszer monitorozása | Nagyobb kockázatot jelentő személyek | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Kiemelt felhasználók
Azonosító: NIST SP 800-53 Rev. 5 SI-4 (20) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1699 – Információs rendszer monitorozása | Kiemelt felhasználók | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Jogosulatlan hálózati szolgáltatások
Azonosító: NIST SP 800-53 Rev. 5 SI-4 (22) Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1700 – Információs rendszer monitorozása | Jogosulatlan hálózati szolgáltatások | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Gazdagépalapú eszközök
Azonosító: NIST SP 800-53 Rev. 5 SI-4 (23) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1701 – Információs rendszer monitorozása | Gazdagépalapú eszközök | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
A kompromisszumok mutatói
Azonosító: NIST SP 800-53 Rev. 5 SI-4 (24) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1702 – Információs rendszer monitorozása | A biztonsági rések mutatói | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Biztonsági riasztások, tanácsadások és irányelvek
Azonosító: NIST SP 800-53 Rev. 5 SI-5 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1703 – Biztonsági riasztások és tanácsadók | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1704 – Biztonsági riasztások és tanácsadások | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1705 – Biztonsági riasztások és tanácsadók | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1706 – Biztonsági riasztások és tanácsadók | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Automatizált riasztások és tanácsadások
Azonosító: NIST SP 800-53 Rev. 5 SI-5 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1707 – Biztonsági riasztások és tanácsadók | Automatizált riasztások és tanácsadások | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Biztonsági és adatvédelmi függvény ellenőrzése
Azonosító: NIST SP 800-53 Rev. 5 SI-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1708 – Biztonsági funkciók ellenőrzése | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1709 – Biztonsági funkciók ellenőrzése | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1710 – Biztonsági funkciók ellenőrzése | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1711 – Biztonsági funkciók ellenőrzése | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Szoftver-, belsővezérlőprogram- és információintegritás
Azonosító: NIST SP 800-53 Rev. 5 SI-7 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1712 – Szoftver és információintegritás | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Integritás-ellenőrzések
Azonosító: NIST SP 800-53 Rev. 5 SI-7 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1713 – Szoftver és információintegritás | Integritás-ellenőrzések | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Az integritási szabálysértések automatikus értesítései
Azonosító: NIST SP 800-53 Rev. 5 SI-7 (2) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1714 – Szoftver és információintegritás | Az integritási szabálysértések automatikus értesítései | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Automatikus válasz integritási szabálysértésekre
Azonosító: NIST SP 800-53 Rev. 5 SI-7 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1715 – Szoftver és információintegritás | Automatikus válasz integritási szabálysértésekre | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Az észlelés és a válasz integrációja
Azonosító: NIST SP 800-53 Rev. 5 SI-7 (7) Tulajdonjog: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1716 – Szoftver és információintegritás | Az észlelés és a válasz integrálása | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Levélszemét elleni védelem
Azonosító: NIST SP 800-53 Rev. 5 SI-8 Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1719 – Levélszemét elleni védelem | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1720 – Levélszemét elleni védelem | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Automatikus frissítések
Azonosító: NIST SP 800-53 Rev. 5 SI-8 (2) Tulajdonos: Microsoft
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1722 – Levélszemét elleni védelem | Automatikus Frissítések | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Információbevitel ellenőrzése
Azonosító: NIST SP 800-53 Rev. 5 SI-10 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1723 – Információbevitel ellenőrzése | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Hibakezelés
Azonosító: NIST SP 800-53 Rev. 5 SI-11 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1724 – Hibakezelés | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| Microsoft Managed Control 1725 – Hibakezelés | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Információkezelés és -megőrzés
Azonosító: NIST SP 800-53 Rev. 5 SI-12 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1726 – Információkimenet kezelése és megőrzése | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
Memóriavédelem
Azonosító: NIST SP 800-53 Rev. 5 SI-16 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Managed Control 1727 – Memóriavédelem | A Microsoft implementálja ezt a rendszer- és információintegritás-vezérlést | naplózás | 1.0.0 |
| A Windows Defender Exploit Guardot engedélyezni kell a gépeken | A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). | AuditIfNotExists, Disabled | 1.1.1 |
Következő lépések
További cikkek az Azure Policyról:
- A jogszabályi megfelelőség áttekintése.
- Tekintse meg a kezdeményezés definíciós struktúráját.
- Tekintse át az Azure Policy-minták egyéb példáit.
- A Szabályzatok hatásainak ismertetése.
- Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.