A Microsoft Defender for Cloud beépített definícióinak Azure Policy
Ez az oldal a Microsoft Defender for Cloudhoz kapcsolódó beépített szabályzatdefiníciók Azure Policy indexe. A szabályzatdefiníciók alábbi csoportosításai érhetők el:
- A kezdeményezési csoport a "Defender for Cloud" kategóriában listázza a Azure Policy kezdeményezésdefiníciókat.
- Az alapértelmezett kezdeményezési csoport felsorolja az összes olyan Azure Policy definíciót, amely a Defender for Cloud alapértelmezett kezdeményezésének, az Azure Security Benchmarknak a része. Ez a Microsoft által készített, széles körben elismert teljesítményteszt a Center for Internet Security (CIS) és a National Institute of Standards and Technology (NIST) vezérlőire épül, és a felhőközpontú biztonságra összpontosít.
- A kategóriacsoport felsorolja a "Defender for Cloud" kategória összes Azure Policy definícióját.
A biztonsági szabályzatokkal kapcsolatos további információkért lásd a biztonsági szabályzatok használatát ismertető témakört. További Azure Policy beépített más szolgáltatásokhoz: Azure Policy beépített definíciók.
Az egyes beépített szabályzatdefiníciók neve a Azure Portal lévő szabályzatdefinícióra hivatkozik. A Verzió oszlopban található hivatkozással megtekintheti a forrást a Azure Policy GitHub-adattárban.
Microsoft Defender for Cloud-kezdeményezések
A Defender for Cloud által figyelt beépített kezdeményezésekről az alábbi táblázatból tájékozódhat:
| Név | Leírás | Szabályzatok | Verzió |
|---|---|---|---|
| [Előzetes verzió]: [Előzetes verzió]: Virtuális és Arc-kompatibilis gépek konfigurálása az alapértelmezett Microsoft Defender for Cloud-folyamat létrehozásához | Konfigurálja a gépeket az Azure Monitor és az Azure Security-ügynökök automatikus telepítéséhez. A Microsoft Defender for Cloud összegyűjti az ügynököktől származó eseményeket, és biztonsági riasztások és testre szabott korlátozási feladatok (javaslatok) biztosítására használja őket. Hozzon létre egy erőforráscsoportot és egy Log Analytics-munkaterületet ugyanabban a régióban, ahol a gép tárolja a naplórekordokat. A célgépeknek támogatott helyen kell lenniük. | 13 | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Virtuális és Arc-kompatibilis gépek konfigurálása a felhasználó által definiált Microsoft Defender felhőhöz folyamat létrehozásához | Konfigurálja a gépeket az Azure Monitor és az Azure Security-ügynökök automatikus telepítéséhez. A Microsoft Defender for Cloud összegyűjti az ügynököktől származó eseményeket, és biztonsági riasztások és testre szabott korlátozási feladatok (javaslatok) biztosítására használja őket. A felhasználó által biztosított Log Analytics-munkaterületen tárolhatja a naplórekordokat. Létrehoz egy erőforráscsoportot és egy adatgyűjtési szabályt ugyanabban a régióban, mint a felhasználó által biztosított Log Analytics-munkaterület. A célgépeknek támogatott helyen kell lenniük. | 13 | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Végponthoz készült Microsoft Defender ügynök üzembe helyezése | Helyezzen üzembe Végponthoz készült Microsoft Defender ügynököt a megfelelő lemezképeken. | 4 | 1.0.0-preview |
| Azure-biztonsági teljesítményteszt | Az Azure Security Benchmark kezdeményezés az Azure Security Benchmark v2-ben meghatározott biztonsági javaslatokat megvalósító szabályzatokat és vezérlőket jelöli, lásd.https://aka.ms/azsecbm Ez egyben az Azure Security Center alapértelmezett szabályzat kezdeményezése is. Közvetlenül hozzárendelheti ezt a kezdeményezést, vagy kezelheti a szabályzatait és a megfelelőségi eredményeit Azure Security Center belül. | 204 | 50.0.0 |
| Az Advanced Threat Protection konfigurálása a nyílt forráskódú relációs adatbázisokon való engedélyezéshez | Engedélyezze az Advanced Threat Protectiont a nem alapszintű, nyílt forráskódú relációs adatbázisokon, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. Lásd: https://aka.ms/AzDforOpenSourceDBsDocu. | 3 | 1.0.0 |
| Az Azure Defender konfigurálása az SQL Servereken és a felügyelt SQL-példányokon való engedélyezéshez | Engedélyezze az Azure Defendert az SQL Servereken és a felügyelt SQL-példányokon az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységek észleléséhez. | 2 | 2.0.0 |
A Defender for Cloud alapértelmezett kezdeményezése (Azure Security Benchmark)
A Defender for Cloud által figyelt beépített szabályzatokkal kapcsolatos információkért tekintse meg az alábbi táblázatot:
| Házirend neve (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Minden internetes forgalmat az üzembe helyezett Azure Firewall | Azure Security Center azt észlelte, hogy egyes alhálózatok nem védettek a következő generációs tűzfallal. Az alhálózatok védelme a potenciális fenyegetésekkel szemben azáltal, hogy Azure Firewall vagy egy támogatott következő generációs tűzfal használatával korlátozza a hozzáférésüket | AuditIfNotExists, Letiltva | 3.0.0-s előzetes verzió |
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtökön telepítve kell lennie a Microsoft Defender for Cloud bővítménynek | Az Azure Archoz készült Microsoft Defender for Cloud bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ a következőben https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc: | AuditIfNotExists, Letiltva | 5.0.1-preview |
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtökön telepítve kell lennie a Azure Policy bővítménynek | Az Azure Arc Azure Policy bővítménye központi, konzisztens módon biztosít nagy léptékű kényszerítéseket és biztosítékokat az Arc-kompatibilis Kubernetes-fürtökön. További információ: https://aka.ms/akspolicydoc. | AuditIfNotExists, Letiltva | 1.0.0-preview |
| [Előzetes verzió]: Az Azure Key Vault le kell tiltania a nyilvános hálózati hozzáférést | Tiltsa le a kulcstartó nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgási kockázatokat. További információ: https://aka.ms/akvprivatelink. | Naplózás, megtagadás, letiltva | 2.0.0-s előzetes verzió |
| [Előzetes verzió]: Azure Kubernetes Service fürtökön engedélyezni kell a Defender-profilt | A Microsoft Defender for Containers natív felhőbeli Kubernetes-biztonsági képességeket biztosít, beleértve a környezetek korlátozását, a számítási feladatok védelmét és a futásidejű védelmet. Ha engedélyezi a SecurityProfile.AzureDefendert a Azure Kubernetes Service-fürtön, a rendszer egy ügynököt helyez üzembe a fürtön a biztonsági eseményadatok gyűjtéséhez. További információ a Microsoft Defender for Containersről a alkalmazásban https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Naplózás, letiltva | 1.0.2-preview |
| [Előzetes verzió]: A tanúsítványoknak a megadott maximális érvényességi idővel kell rendelkezniük | A szervezeti megfelelőségi követelmények kezeléséhez adja meg, hogy a tanúsítvány legfeljebb mennyi ideig lehet érvényes a kulcstartóban. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 2.2.0-s előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre kell telepíteni | Telepítse a Vendégigazolás bővítményt a támogatott Linux rendszerű virtuális gépekre, hogy lehetővé tegye Azure Security Center számára a rendszerindítási integritás proaktív igazolását és monitorozását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés csak a megbízható indítást engedélyező Linux rendszerű virtuális gépekre vonatkozik. | AuditIfNotExists, Letiltva | 5.0.0-s előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt telepíteni kell a támogatott Linux rendszerű virtuálisgép-méretezési csoportokra | Telepítse a Vendégigazolás bővítményt a támogatott Linux rendszerű virtuálisgép-méretezési csoportokra, hogy lehetővé tegye Azure Security Center számára a rendszerindítás integritásának proaktív igazolását és monitorozását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés csak a megbízható indításra engedélyezett Linux rendszerű virtuálisgép-méretezési csoportokra vonatkozik. | AuditIfNotExists, Letiltva | 4.0.0-preview |
| [Előzetes verzió]: A vendégigazolási bővítményt telepíteni kell a támogatott Windows rendszerű virtuális gépekre | Telepítse a vendégigazolási bővítményt a támogatott virtuális gépekre, hogy lehetővé tegye Azure Security Center számára a rendszerindítási integritás proaktív igazolását és monitorozását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés csak a megbízható indításra engedélyezett virtuális gépekre vonatkozik. | AuditIfNotExists, Letiltva | 3.0.0-s előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt telepíteni kell a támogatott Windows rendszerű virtuálisgép-méretezési csoportokra | Telepítse a Vendégigazolás bővítményt a támogatott virtuálisgép-méretezési csoportokra, hogy lehetővé tegye Azure Security Center számára a rendszerindítási integritás proaktív igazolását és monitorozását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés csak a megbízható indításra engedélyezett virtuálisgép-méretezési csoportokra vonatkozik. | AuditIfNotExists, Letiltva | 2.0.0-s előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürtöknek meg kell akadályoznia a sebezhető rendszerképek üzembe helyezését | A kubernetes-fürtök és a tárolók számítási feladatainak védelme a potenciális fenyegetésekkel szemben a tárolólemezképek sebezhető szoftverösszetevőkkel való telepítésének korlátozásával. Az Üzembe helyezés előtt használja az Azure Defender CI/CD-szkennelést (https://aka.ms/AzureDefenderCICDscanning) és az Azure Defender tárolóregisztrációs adatbázisokhoz (https://aka.ms/AzureDefenderForContainerRegistries) a biztonsági rések azonosításához és javításához. Értékelési előfeltétel: Szabályzat hozzáadása és Azure Defender-profil. Csak privát előzetes verziós ügyfelek esetén alkalmazható. | Naplózás, megtagadás, letiltva | 1.0.3-preview |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre | Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Letiltva | 1.0.1-preview |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre | Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Letiltva | 1.0.1-preview |
| [Előzetes verzió]: A hálózati forgalom adatgyűjtési ügynökét Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft függőségi ügynökével gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről olyan fejlett hálózatvédelmi funkciók engedélyezéséhez, mint a forgalomvizualizáció a hálózati térképen, a hálózatmegszűrési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Letiltva | 1.0.2-preview |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Windows rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft függőségi ügynökével gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről olyan fejlett hálózatvédelmi funkciók engedélyezéséhez, mint a forgalomvizualizáció a hálózati térképen, a hálózatmegszűrési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Letiltva | 1.0.2-preview |
| [Előzetes verzió]: A privát végpontot konfigurálni kell Key Vault | A privát kapcsolat lehetővé teszi Key Vault Azure-erőforrásokhoz való csatlakoztatását anélkül, hogy a forgalmat a nyilvános interneten keresztül küldené el. A privát kapcsolat mélységi védelmet nyújt az adatok kiszűrése ellen. | Naplózás, megtagadás, letiltva | 1.1.0-preview |
| [Előzetes verzió]: A biztonságos rendszerindítást engedélyezni kell a támogatott Windows rendszerű virtuális gépeken | Engedélyezze a biztonságos rendszerindítást a támogatott Windows rendszerű virtuális gépeken, hogy elhárítsa a rendszerindítási lánc rosszindulatú és jogosulatlan módosításait. Az engedélyezés után csak megbízható rendszerindítók, kernel- és kernelillesztők futhatnak. Ez az értékelés csak a megbízható indítást engedélyező Windows rendszerű virtuális gépekre vonatkozik. | Naplózás, letiltva | 3.0.0-s előzetes verzió |
| [Előzetes verzió]: A tárfiók nyilvános hozzáférését le kell tiltani | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatszivárgások megelőzése érdekében a Microsoft azt javasolja, hogy a tárfiókhoz való nyilvános hozzáférést tiltsa le, hacsak az Ön forgatókönyve nem követeli meg. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 3.1.0-s előzetes verzió |
| [Előzetes verzió]: a vTPM-et engedélyezni kell a támogatott virtuális gépeken | Engedélyezze a virtuális TPM-eszközt a támogatott virtuális gépeken, hogy megkönnyítse a mért rendszerindítást és az operációs rendszer egyéb, TPM-et igénylő biztonsági funkcióit. Az engedélyezés után a vTPM használható a rendszerindítás integritásának igazolására. Ez az értékelés csak a megbízható indításra engedélyezett virtuális gépekre vonatkozik. | Naplózás, letiltva | 2.0.0-s előzetes verzió |
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy jelöljön ki legfeljebb 3 előfizetés-tulajdonost, hogy csökkentse a feltört tulajdonos általi illetéktelen behatolás lehetőségét. | AuditIfNotExists, Letiltva | 3.0.0 |
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | Naplóz virtuális gépeket annak észleléséhez, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek sebezhetőségi vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Letiltva | 3.0.0 |
| A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Az alkalmazásvezérlők lehetővé teszik a gépeken futó ismert biztonságos alkalmazások listájának meghatározását, és riasztást küldenek, ha más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Letiltva | 3.0.0 |
| Adaptív hálózatmegszűkítési javaslatokat kell alkalmazni az internetkapcsolattal rendelkező virtuális gépeken | Azure Security Center elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és javaslatot tesz a hálózati biztonsági csoportra vonatkozó szabályokra, amelyek csökkentik a potenciális támadási felületet | AuditIfNotExists, Letiltva | 3.0.0 |
| Az összes hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Azure Security Center azt észlelte, hogy a hálózati biztonsági csoportok bejövő szabályai közül néhány túl megengedő. A bejövő szabályok nem engedélyezhetik a "Bármely" vagy az "Internet" tartományból való hozzáférést. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Letiltva | 3.0.0 |
| Frissíteni kell az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályait | Figyelheti a Azure Security Center adaptív alkalmazásvezérlői által naplózásra konfigurált gépcsoportok viselkedésének változásait. A Security Center gépi tanulással elemzi a gépeken futó folyamatokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. Ezek ajánlott alkalmazásokként jelennek meg, amelyek lehetővé teszik az adaptív alkalmazásvezérlési szabályzatok használatát. | AuditIfNotExists, Letiltva | 3.0.0 |
| Azure Active Directory-rendszergazdát kell kiépíteni az SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda kiépítésének naplózása az SQL Serverhez Azure AD hitelesítés engedélyezéséhez. Azure AD hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások egyszerűsített engedélykezelését és központosított identitáskezelését | AuditIfNotExists, Letiltva | 1.0.0 |
| API Management szolgáltatásoknak virtuális hálózatot kell használniuk | Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy a API Management szolgáltatást egy nem internetes, irányítható hálózatba helyezze, amelybe ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró konfigurálható úgy, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. | Naplózás, letiltva | 1.0.1 |
| App Configuration privát kapcsolatot kell használnia | Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha privát végpontokat társít az alkalmazáskonfigurációs példányokhoz a teljes szolgáltatás helyett, az adatszivárgási kockázatokkal szemben is védelmet kap. További információ: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| App Service alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, letiltva | 2.0.0 |
| Egyéni RBAC-szabályok használatának naplózása | Az egyéni RBAC-szerepkörök helyett olyan beépített szerepköröket naplóz, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételként van kezelve, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Naplózás, letiltva | 1.0.0 |
| Engedélyezni kell a naplózást az SQL Serveren | A SQL Server naplózását engedélyezni kell az adatbázis-tevékenységek nyomon követéséhez a kiszolgálón található összes adatbázison, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek | Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadásokkal szemben. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és titkos kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.0.0 |
| Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy csak adott tartományokBAN lévő IP-címekhez biztosít API-hozzáférést. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokról származó alkalmazások férhessenek hozzá a fürthöz. | Naplózás, letiltva | 2.0.1 |
| A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésben | A biztonsági rések és fenyegetések monitorozásához Azure Security Center adatokat gyűjt az Azure-beli virtuális gépekről. Az adatokat a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) gyűjti, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Javasoljuk, hogy engedélyezze az automatikus kiépítést, hogy az ügynök automatikusan üzembe legyen helyezve az összes támogatott Azure-beli virtuális gépen és minden újonnan létrehozott gépen. | AuditIfNotExists, Disabled | 1.0.1 |
| Az Automation-fiók változóit titkosítva kell megadni | Fontos engedélyezni az Automation-fiók változóeszközeinek titkosítását bizalmas adatok tárolásakor | Naplózás, megtagadás, letiltva | 1.1.0 |
| Azure Backup engedélyezni kell Virtual Machines | Az Azure Virtual Machines védelmének biztosítása a Azure Backup engedélyezésével. A Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 3.0.0 |
| Azure Cache for Redis privát kapcsolatot kell használnia | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát végpontok Azure Cache for Redis példányokhoz való leképezésével csökkennek az adatszivárgási kockázatok. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Cosmos DB-fiókoknak tűzfalszabályokkal kell rendelkezniük | Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. Azoknak a fiókoknak, amelyeknek legalább egy IP-szabálya engedélyezve van a virtuális hálózati szűrővel, megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az Azure Cosmos DB többi részén az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsok általában szükségesek a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault kulccsal. Teljes körű irányítással és felelősséggel rendelkezik a kulcsfontosságú életciklusért, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/cosmosdb-cmk. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 1.1.0 |
| Engedélyezni kell az Azure DDoS Protection Standardot | A DDoS protection szabványt minden olyan alhálózattal rendelkező virtuális hálózat esetében engedélyezni kell, amely egy nyilvános IP-címmel rendelkező Application Gateway része. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatóként való láthatóságát használja a gyakori webalkalmazás-támadások monitorozásához. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defendert Azure SQL adatbázis-kiszolgálókhoz | Az Azure Defender for SQL olyan funkciókat biztosít, amelyekkel feltárhatja és enyhítheti az adatbázisok lehetséges biztonsági réseit, észlelheti az SQL-adatbázisokat fenyegető rendellenes tevékenységeket, valamint felderítheti és osztályozhatja a bizalmas adatokat. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for DNS-t | A DNS-hez készült Azure Defender további védelmi réteget biztosít a felhőbeli erőforrások számára azáltal, hogy folyamatosan figyeli az Azure-erőforrásokból érkező ÖSSZES DNS-lekérdezést. Az Azure Defender riasztást küld a DNS-réteg gyanús tevékenységeiről. További információ a DNS-hez készült Azure Defender funkcióiról itt https://aka.ms/defender-for-dns : . Az Azure Defender-csomag engedélyezése díjakat eredményez. További információ a régiónkénti díjszabás részleteiről a Security Center díjszabási oldalán: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defender for Key Vault-t | Az Azure Defender for Key Vault további védelmi és biztonsági intelligenciát biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a nyílt forráskódú relációs adatbázisokhoz készült Azure Defendert | A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására. További információ az Azure Defender nyílt forráskódú relációs adatbázisokhoz való képességeiről a következő helyen https://aka.ms/AzDforOpenSourceDBsDocu: . Fontos: A terv engedélyezése költségekkel jár a nyílt forráskódú relációs adatbázisok védelméért. További információ a Security Center díjszabási oldalán található díjszabásról: https://aka.ms/pricing-security-center | AuditIfNotExists, Letiltva | 1.0.0 |
| Engedélyezni kell az Azure Defender for Resource Manager-t | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a fenyegetéseket, és riasztást küld a gyanús tevékenységekről. Az Azure Defender for Resource Manager funkcióiról itt olvashat bővebben https://aka.ms/defender-for-resource-manager . Az Azure Defender-csomag engedélyezése díjakat eredményez. További információ a régiónkénti díjszabásról a Security Center díjszabási oldalán: https://aka.ms/pricing-security-center . | AuditIfNotExists, Letiltva | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatok számára, és megerősítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Letiltva | 1.0.3 |
| A gépeken futó SQL-kiszolgálókhoz készült Azure Defendert engedélyezni kell | Az Azure Defender for SQL olyan funkciókat biztosít, amelyekkel feltárhatja és enyhítheti az adatbázisok lehetséges biztonsági réseit, észlelheti az SQL-adatbázisokat fenyegető rendellenes tevékenységeket, valamint felderítheti és osztályozhatja a bizalmas adatokat. | AuditIfNotExists, Letiltva | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | Az Advanced Data Security nélküli SQL-kiszolgálók naplózása | AuditIfNotExists, Letiltva | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokon | Minden SQL Managed Instance speciális adatbiztonság nélkül naplóz. | AuditIfNotExists, Letiltva | 1.0.2 |
| Engedélyezni kell az Azure Defender for Storage-t | Az Azure Defender for Storage észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | AuditIfNotExists, Letiltva | 1.0.3 |
| Azure Event Grid tartományoknak privát kapcsolatot kell használniuk | Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-cím lenne. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha privát végpontokat társít az Event Grid-tartományhoz a teljes szolgáltatás helyett, azzal az adatszivárgási kockázatokkal szemben is védve lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Azure Event Grid témaköröknek privát kapcsolatot kell használniuk | Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-cím lenne. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha privát végpontokat társít az Event Grid-témakörhöz a teljes szolgáltatás helyett, azzal az adatszivárgási kockázatokkal szemben is védve lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure Machine Learning-munkaterületeket ügyfél által felügyelt kulccsal kell titkosítani | Az Azure Machine Learning-munkaterület többi adatának titkosítása ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által kezelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault kulccsal. A kulcs életciklusa teljes körű vezérléssel és felelősségsel rendelkezik, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/azureml-workspaces-cmk. | Naplózás, megtagadás, letiltva | 1.0.3 |
| Az Azure Machine Learning-munkaterületeknek privát kapcsolatot kell használniuk | Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-cím lenne. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökkennek az adatszivárgási kockázatok. További információ a privát kapcsolatokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Azure Policy Kubernetes Service-bővítményt (AKS) telepíteni és engedélyezni kell a fürtökön | Azure Policy Kubernetes Service-hez (AKS) készült bővítmény kibővíti a Gatekeeper v3-at, az Open Policy Agent (OPA) belépésvezérlő webhookját, hogy központosított, konzisztens módon alkalmazza a fürtökön a nagy léptékű kényszerítéseket és biztosítékokat. | Naplózás, letiltva | 1.0.2 |
| Azure SignalR Service privát kapcsolatot kell használnia | Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-cím lenne. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha privát végpontokat társít a Azure SignalR Service-erőforráshoz a teljes szolgáltatás helyett, csökkentheti az adatszivárgási kockázatokat. További információ a privát kapcsolatokról: https://aka.ms/asrs/privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Spring Cloudnak hálózati injektálást kell használnia | Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internettől. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy más virtuális hálózatokon futó Azure-szolgáltatásban lévő rendszerekkel kommunikáljon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának szabályozását. | Naplózás, Letiltva, Megtagadás | 1.1.0 |
| Engedélyezni kell az Azure Web Application Firewall az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A Web Application Firewall (WAF) központosított védelmet biztosít a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti parancsfájl-kezelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országok, IP-címtartományok és más HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A Cognitive Services-fiókoknak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy a Cognitive Services-fiók nem érhető el a nyilvános interneten. A privát végpontok létrehozása korlátozhatja a Cognitive Services-fiók kitettségét. További információ: https://go.microsoft.com/fwlink/?linkid=2129800. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A Cognitive Services-fiókoknak engedélyeznie kell az adattitkosítást egy ügyfél által felügyelt kulccsal | Az ügyfél által kezelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által kezelt kulcsok lehetővé teszik a Cognitive Servicesben tárolt adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault kulccsal. A kulcs életciklusa teljes körű vezérléssel és felelősségsel rendelkezik, beleértve a rotációt és a felügyeletet is. További információ az ügyfél által kezelt kulcsokról itt https://go.microsoft.com/fwlink/?linkid=2121321: . | Naplózás, megtagadás, letiltva | 2.0.0 |
| A Cognitive Services-fiókoknak korlátozniuk kell a hálózati hozzáférést | Korlátozni kell a Cognitive Services-fiókokhoz való hálózati hozzáférést. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a Cognitive Services-fiókhoz. Adott internetes vagy helyszíni ügyfelek kapcsolatainak engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokról vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsok általában szükségesek a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault kulccsal. Teljes körű irányítással és felelősséggel rendelkezik a kulcsfontosságú életciklusért, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/acr/CMK. | Naplózás, megtagadás, letiltva | 1.1.2 |
| A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure tárolóregisztrációs adatbázisai alapértelmezés szerint fogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. A regisztrációs adatbázisok potenciális fenyegetésekkel szembeni védelme érdekében csak bizonyos nyilvános IP-címekről vagy címtartományokból engedélyezze a hozzáférést. Ha a beállításjegyzék nem rendelkezik IP-/tűzfalszabálysal vagy konfigurált virtuális hálózatokkal, az a nem megfelelő állapotú erőforrásokban fog megjelenni. További információ a Container Registry hálózati szabályairól itt és https://aka.ms/acr/portal/public-network itt https://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A tárolóregisztrációs adatbázisoknak privát kapcsolatot kell használniuk | Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz a teljes szolgáltatás helyett, az adatszivárgási kockázatokkal szemben is védelmet kap. További információ: https://aka.ms/acr/private-link. | Naplózás, letiltva | 1.0.1 |
| A tárolóregisztrációs adatbázis lemezképeinek biztonsági résekkel kapcsolatos megállapításait meg kell oldani | A tárolórendszerkép biztonsági réseinek felmérése biztonsági réseket keres a beállításjegyzékben, és részletes eredményeket tesz közzé az egyes rendszerképekhez. A biztonsági rések megoldása nagyban javíthatja a tárolók biztonsági helyzetét, és megvédheti őket a támadásoktól. | AuditIfNotExists, Disabled | 2.0.1 |
| A CORS nem engedélyezheti minden erőforrás számára az API-alkalmazás elérését | Az eltérő eredetű erőforrások megosztásának (CORS) nem szabad engedélyeznie, hogy minden tartomány hozzáférjen az API-alkalmazáshoz. Csak a szükséges tartományoknak engedélyezi az API-alkalmazás használatát. | AuditIfNotExists, Disabled | 1.0.0 |
| A CORS nem engedélyezi minden erőforrás számára a függvényalkalmazások elérését | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | AuditIfNotExists, Disabled | 1.0.0 |
| A CORS nem engedélyezheti minden erőforrásnak, hogy hozzáférjen a webalkalmazásokhoz | Az eltérő eredetű erőforrások megosztása (CORS) nem engedélyezheti az összes tartomány számára a webalkalmazás elérését. Csak a szükséges tartományok használhatják a webalkalmazást. | AuditIfNotExists, Disabled | 1.0.0 |
| A Cosmos DB-adatbázisfiókokban le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy a Cosmos DB-adatbázisfiókok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az elavult fiókokat el kell távolítani az előfizetésből | Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem jelentkeztek be. | AuditIfNotExists, Disabled | 3.0.0 |
| A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem jelentkeztek be. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mailes értesítést a nagy súlyosságú riasztásokról | Ha gondoskodni szeretne arról, hogy az előfizetés tulajdonosai értesítést kapnak az előfizetésük esetleges biztonsági incidenséről, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 2.0.0 |
| Az Endpoint Protection állapotproblémáinak megoldása a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Az endpoint protection értékelése itt dokumentálva van – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Endpoint Protectiont telepíteni kell a gépekre | A gépek fenyegetésekkel és biztonsági résekkel szembeni védelméhez telepítsen egy támogatott végpontvédelmi megoldást. | AuditIfNotExists, Disabled | 1.0.0 |
| Az endpoint protection megoldást telepíteni kell a virtuálisgép-méretezési csoportokra | A virtuális gépek méretezési csoportjain található végpontvédelmi megoldás meglétének és állapotának naplózása a fenyegetések és a biztonsági rések elleni védelem érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| Az SSL-kapcsolat kényszerítése engedélyezve kell legyen a MySQL-adatbáziskiszolgálókon | Azure Database for MySQL támogatja a Azure Database for MySQL-kiszolgáló ügyfélalkalmazásokhoz való csatlakoztatását a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít megvédeni az "ember a középső" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Azure Database for PostgreSQL támogatja a Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít megvédeni az "ember a középső" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Győződjön meg arról, hogy az API-alkalmazás "Ügyféltanúsítványok (Bejövő ügyféltanúsítványok)" értéke "Be" | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. | Naplózás, letiltva | 1.0.0 |
| Győződjön meg arról, hogy a "Java-verzió" a legújabb, ha az API-alkalmazás részeként használják | A Java-hoz rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók használata miatt. Az API-alkalmazások legújabb Python verziójának használata ajánlott, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. Ez a szabályzat jelenleg csak a Linux-webalkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 2.0.0 |
| Győződjön meg arról, hogy a "Java-verzió" a legújabb, ha a függvényalkalmazás részeként használják | A Java-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók miatt. A függvényalkalmazások legújabb Java-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javításokat, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat jelenleg csak a Linux-webalkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 2.0.0 |
| Győződjön meg arról, hogy a "Java-verzió" a legújabb, ha a webalkalmazás részeként használják | A Java-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók miatt. A webalkalmazásokhoz a legújabb Java-verzió használata ajánlott, hogy kihasználhassa a biztonsági javításokat, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat jelenleg csak a Linux-webalkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 2.0.0 |
| Győződjön meg arról, hogy a "PHP-verzió" a legújabb, ha az API-alkalmazás részeként használják | Rendszeres időközönként újabb verziók jelennek meg a PHP-szoftverekhez biztonsági hibák miatt, vagy további funkciókkal. Az API-alkalmazásokhoz a legújabb PHP-verzió használata ajánlott, hogy kihasználhassa a biztonsági javításokat, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat jelenleg csak a Linux-webalkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 2.1.0 |
| Győződjön meg arról, hogy a "PHP-verzió" a legújabb, ha a WEBalkalmazás részeként használják | Rendszeres időközönként újabb verziók jelennek meg a PHP-szoftverekhez biztonsági hibák miatt, vagy további funkciókkal. A webalkalmazások legújabb PHP-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javításokat, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat jelenleg csak a Linux-webalkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 2.2.0 |
| Győződjön meg arról, hogy a "Python verzió" a legújabb, ha az API-alkalmazás részeként használják | Rendszeres időközönként újabb verziók jelennek meg Python szoftverekhez biztonsági hibák vagy további funkciók használata miatt. Az API-alkalmazások legújabb Python verziójának használata ajánlott, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. Ez a szabályzat jelenleg csak a Linux-webalkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 3.0.0 |
| Győződjön meg arról, hogy a "Python verzió" a legújabb, ha a függvényalkalmazás részeként használják | Rendszeres időközönként újabb verziók jelennek meg Python szoftverekhez biztonsági hibák vagy további funkciók használata miatt. A függvényalkalmazások legújabb Python verziójának használata ajánlott, hogy kihasználhassa a biztonsági javításokat, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat jelenleg csak a Linux-webalkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 3.0.0 |
| Győződjön meg arról, hogy a "Python verzió" a legújabb, ha a webalkalmazás részeként használják | Rendszeres időközönként újabb verziók jelennek meg Python szoftverekhez biztonsági hibák vagy további funkciók használata miatt. A webalkalmazások legújabb Python verziójának használata ajánlott, hogy kihasználhassa a biztonsági javításokat, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat jelenleg csak a Linux-webalkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 3.0.0 |
| Győződjön meg arról, hogy a WEBalkalmazás "Ügyféltanúsítványok (bejövő ügyféltanúsítványok)" értéke "Be" | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. | Naplózás, letiltva | 1.0.0 |
| A tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből | A nem figyelt hozzáférés megakadályozása érdekében a tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből. | AuditIfNotExists, Disabled | 3.0.0 |
| Az olvasási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| Az írási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| Csak FTPS-nek kell lennie az API-alkalmazásban | FTPS-kényszerítés engedélyezése a fokozott biztonság érdekében | AuditIfNotExists, Disabled | 2.0.0 |
| Az FTPS-t csak a függvényalkalmazásban kell megadni | FTPS-kényszerítés engedélyezése a fokozott biztonság érdekében | AuditIfNotExists, Disabled | 2.0.0 |
| FTPS-t kell használni a webalkalmazásban | FTPS-kényszerítés engedélyezése a fokozott biztonság érdekében | AuditIfNotExists, Disabled | 2.0.0 |
| A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (bejövő ügyféltanúsítványok)" funkciót | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. | Naplózás, letiltva | 1.0.1 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, letiltva | 2.0.0 |
| A georedundáns biztonsági mentést engedélyezni kell Azure Database for MariaDB | Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban találhatók, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva van, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| A georedundáns biztonsági mentést engedélyezni kell Azure Database for MySQL | Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban találhatók, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva van, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| A georedundáns biztonsági mentést engedélyezni kell Azure Database for PostgreSQL | Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható egy georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban vannak tárolva, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A számítógép vendégen belüli beállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégen belüli beállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenléti beállítások, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetők lesznek, például a "Windows Exploit Guardot engedélyezni kell". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Letiltva | 1.0.2 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek hálózati biztonsági csoportokkal (NSG-vel) való korlátozásával megvédheti virtuális gépeit a lehetséges fenyegetésektől. További információ a forgalom NSG-kkel való szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Letiltva | 3.0.0 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése egy virtuális gép hálózati adapterén lehetővé teszi, hogy a gép fogadja a más célhelyekre címzett forgalmat. Az IP-továbbítás ritkán szükséges (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Letiltva | 3.0.0 |
| Key Vault kulcsoknak lejárati dátummal kell rendelkezniük | A titkosítási kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes kulcsok több időt biztosítanak a potenciális támadóknak a kulcs feltörésére. Ajánlott biztonsági eljárás a titkosítási kulcsok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Key Vault titkos kulcsoknak lejárati dátummal kell rendelkezniük | A titkos kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes titkos kódok több időt biztosítanak a potenciális támadóknak, hogy feltörjék őket. Ajánlott biztonsági eljárás a titkos kódok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A kulcstartókban engedélyezni kell a végleges törlés elleni védelmet | A kulcstartók rosszindulatú törlése állandó adatvesztéshez vezethet. A szervezet egy rosszindulatú belső felhasználója potenciálisan törölheti és törölheti a kulcstartókat. A végleges törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlés megőrzési időszaka alatt a szervezeten vagy a Microsofton belül senki sem fogja tudni véglegesen törölni a kulcstartókat. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A kulcstartók helyreállítható törlésének engedélyezve kell lennie | Ha helyreállítható törlés nélkül töröl egy kulcstartót, az véglegesen törli a kulcstartóban tárolt összes titkos kulcsot, kulcsot és tanúsítványt. A kulcstartó véletlen törlése állandó adatvesztéshez vezethet. A helyreállítható törlés lehetővé teszi egy véletlenül törölt kulcstartó helyreállítását egy konfigurálható megőrzési időszakra. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A Kubernetes-fürttárolók cpu- és memória-erőforráskorlátai nem haladhatják meg a megadott korlátokat | A tárolók cpu- és memória-erőforráskorlátainak kényszerítése a Kubernetes-fürtök erőforrás-kimerülési támadásainak megelőzése érdekében. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az AKS Engine és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 7.2.0 |
| A Kubernetes-fürttárolók nem oszthatják meg a gazdagép folyamatazonosítóját vagy a gazdagép IPC-névterét | A podtárolók nem oszthatják meg a gazdagép folyamatazonosítójának névterét és a gazdagép IPC-névterét egy Kubernetes-fürtben. Ez a javaslat a CIS 5.2.2 és a CIS 5.2.3 részét képezi, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az AKS Engine és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 3.2.0 |
| A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | A tárolók csak engedélyezett AppArmor-profilokat használhatnak egy Kubernetes-fürtben. Ez a javaslat a Pod biztonsági szabályzatainak része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az AKS Engine és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 4.2.0 |
| A Kubernetes-fürttárolók csak az engedélyezett képességeket használhatják | Korlátozza a kubernetes-fürtök tárolóinak támadási felületét csökkentő képességeket. Ez a javaslat a CIS 5.2.8 és a CIS 5.2.9 részét képezi, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az AKS Engine és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 4.2.0 |
| A Kubernetes-fürttárolók csak engedélyezett rendszerképeket használhatnak | Megbízható beállításjegyzékekből származó rendszerképek használatával csökkentheti a Kubernetes-fürt ismeretlen biztonsági résekkel, biztonsági problémákkal és rosszindulatú rendszerképekkel szembeni kitettségét. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az AKS Engine és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 7.1.0 |
| A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | Futtasson csak olvasható legfelső szintű fájlrendszerrel rendelkező tárolókat, hogy védve legyenek a módosításoktól futásidőben, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az AKS Engine és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 4.2.0 |
| A Kubernetes-fürt podjának hostPath-kötetei csak engedélyezett gazdagépútvonalakat használhatnak | Korlátozza a pod HostPath-kötetcsatlakoztatásait a Kubernetes-fürtök engedélyezett gazdagépútvonalaira. Ez a javaslat a Pod biztonsági szabályzatainak része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az AKS Engine és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 5.0.0 |
| A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | Szabályozhatja a felhasználók, elsődleges csoportok, kiegészítő csoportok és fájlrendszercsoportok azonosítóit, amelyeket a podok és tárolók a Kubernetes-fürtben való futtatáshoz használhatnak. Ez a javaslat a Pod biztonsági szabályzatainak része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az AKS Engine és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 5.0.0 |
| A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | Korlátozza a podok hozzáférését a gazdagéphálózathoz és a kubernetes-fürtök engedélyezett gazdagépport-tartományához. Ez a javaslat a CIS 5.2.4 része, amely a Kubernetes-környezetek biztonságának javítását szolgálja. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az AKS Engine és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 4.2.0 |
| A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | Korlátozza a szolgáltatásokat, hogy csak az engedélyezett portokon figyeljenek a Kubernetes-fürthöz való hozzáférés biztonságossá tételéhez. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az AKS Engine és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 6.2.0 |
| A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat | Ne engedélyezze a kiemelt tárolók létrehozását Kubernetes-fürtön. Ez a javaslat a CIS 5.2.1 része, amely a Kubernetes-környezetek biztonságának javítását szolgálja. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az AKS Engine és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 7.2.0 |
| A Kubernetes-fürtök csak HTTPS-en keresztül legyenek elérhetők | A HTTPS használata biztosítja a hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg lehallgatási támadásaitól. Ez a képesség jelenleg általánosan elérhető a Kubernetes Service -hez (AKS), valamint előzetes verzióban az AKS Engine-hez és az Azure Arc-kompatibilis Kuberneteshez. További információért látogasson el ide: https://aka.ms/kubepolicydoc | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 6.1.0 |
| A Kubernetes-fürtöknek le kell tiltania az api-k automatikus leválasztási hitelesítő adatait | Tiltsa le az API-hitelesítő adatok automatikus leválasztását, hogy megakadályozza, hogy egy potenciálisan feltört poderőforrás API-parancsokat futtasson a Kubernetes-fürtökön. További információ: https://aka.ms/kubepolicydoc. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 2.1.0 |
| A Kubernetes-fürtök nem engedélyezhetik a tárolók jogosultságának emelését | Ne engedélyezze, hogy a tárolók jogosultsági eszkalálással fussanak a Kubernetes-fürtön. Ez a javaslat a CIS 5.2.5 része, amely a Kubernetes-környezetek biztonságának javítását szolgálja. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az AKS Engine és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 4.2.0 |
| A Kubernetes-fürtök nem biztosíthatnak CAP_SYS_ADMIN biztonsági képességeket | A tárolók támadási felületének csökkentése érdekében korlátozza CAP_SYS_ADMIN Linux-képességeket. További információ: https://aka.ms/kubepolicydoc. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 3.3.0 |
| A Kubernetes-fürtök nem használhatják az alapértelmezett névteret | A Kubernetes-fürtök alapértelmezett névterének használatának megakadályozása a ConfigMap, Pod, Secret, Service és ServiceAccount erőforrástípusok jogosulatlan hozzáférése elleni védelem érdekében. További információ: https://aka.ms/kubepolicydoc. | naplózás, naplózás, megtagadás, megtagadás, letiltva, letiltva | 3.0.0 |
| A legújabb TLS-verziót kell használni az API-alkalmazásban | Frissítés a legújabb TLS-verzióra | AuditIfNotExists, Letiltva | 1.0.0 |
| A legújabb TLS-verziót kell használni a függvényalkalmazásban | Frissítés a legújabb TLS-verzióra | AuditIfNotExists, Letiltva | 1.0.0 |
| A legújabb TLS-verziót kell használni a webalkalmazásban | Frissítés a legújabb TLS-verzióra | AuditIfNotExists, Letiltva | 1.0.0 |
| A Linux rendszerű gépeken telepítve kell lennie a Log Analytics-ügynöknek az Azure Arcon | A gépek nem megfelelőek, ha a Log Analytics-ügynök nincs telepítve az Azure Arc-kompatibilis Linux-kiszolgálón. | AuditIfNotExists, Letiltva | 1.1.0 |
| A Linux rendszerű gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Letiltva | 2.0.0 |
| A Log Analytics-ügynököt telepíteni kell a virtuális gépre Azure Security Center monitorozáshoz | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket (VM-eket), ha a Log Analytics-ügynök nincs telepítve, amelyet a Security Center a biztonsági rések és fenyegetések figyelésére használ | AuditIfNotExists, Letiltva | 1.0.0 |
| A Log Analytics-ügynököt telepíteni kell a virtuálisgép-méretezési csoportokra Azure Security Center monitorozáshoz | A Security Center adatokat gyűjt az Azure-beli virtuális gépekről a biztonsági rések és fenyegetések monitorozása érdekében. | AuditIfNotExists, Letiltva | 1.0.0 |
| A felügyelt identitást az API-alkalmazásban kell használni | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Letiltva | 2.0.0 |
| A felügyelt identitást a függvényalkalmazásban kell használni | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Letiltva | 2.0.0 |
| A felügyelt identitást a webalkalmazásban kell használni | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Letiltva | 2.0.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell védeni | Az Azure Security Center ajánlásként figyeli a lehetséges igény szerinti hálózati (JIT) hozzáférést | AuditIfNotExists, Letiltva | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások találgatásos hitelesítő adatokkal próbálnak rendszergazdai hozzáférést szerezni a géphez. | AuditIfNotExists, Letiltva | 3.0.0 |
| Az MFA-t engedélyezni kell az előfizetés minden írási engedéllyel rendelkező fiókjában | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiókhoz engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Letiltva | 3.0.0 |
| Az MFA-t engedélyezni kell az előfizetésben tulajdonosi engedélyekkel rendelkező fiókokon | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiókhoz engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Letiltva | 3.0.0 |
| Az MFA-t engedélyezni kell az előfizetésen olvasási engedélyekkel rendelkező fiókokon | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiókhoz engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Letiltva | 3.0.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers védelmet, sebezhetőség-felmérést és futásidejű védelmet biztosít az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez. | AuditIfNotExists, Letiltva | 1.0.0 |
| Hiányzó Endpoint Protection monitorozása Azure Security Center | A telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat Azure Security Center figyeli javaslatként | AuditIfNotExists, Letiltva | 3.0.0 |
| A MySQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által kezelt kulcsokkal kezelheti a Titkosítást a MySQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által kezelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault kulccsal. A kulcs életciklusa teljes körű vezérléssel és felelősségsel rendelkezik, beleértve a rotációt és a felügyeletet is. | AuditIfNotExists, Letiltva | 1.0.4 |
| Network Watcher engedélyezni kell | Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálása végpontok közötti hálózati szintű nézetben. Minden olyan régióban létre kell hozni egy Network Watcher-erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor van engedélyezve, ha egy Network Watcher-erőforráscsoport nem érhető el egy adott régióban. | AuditIfNotExists, Letiltva | 3.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti a nem internetkapcsolattal rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ a forgalom NSG-kkel való szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Letiltva | 3.0.0 |
| Csak a Azure Cache for Redis biztonságos kapcsolatait szabad engedélyezni | Csak SSL-kapcsolat Azure Cache for Redis való engedélyezésének naplózása. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati rétegbeli támadásoktól, például a közbeékeldeléstől, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 1.0.0 |
| A PostgreSQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A PostgreSQL-kiszolgálók többi részén lévő titkosítás kezeléséhez használjon ügyfél által kezelt kulcsokat. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által kezelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault kulccsal. A kulcs életciklusa teljes körű vezérléssel és felelősségsel rendelkezik, beleértve a rotációt és a felügyeletet is. | AuditIfNotExists, Letiltva | 1.0.4 |
| Engedélyezni kell Azure SQL Database privát végpontkapcsolatait | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database privát kapcsolatainak engedélyezésével. | Naplózás, letiltva | 1.1.0 |
| A privát végpontot engedélyezni kell MariaDB-kiszolgálókon | A privát végponti kapcsolatok biztonságos kommunikációt kényszerítenek ki a Azure Database for MariaDB privát kapcsolatainak engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak az ismert hálózatokról érkező forgalomhoz engedélyezze a hozzáférést, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Letiltva | 1.0.2 |
| A privát végpontot engedélyezni kell a MySQL-kiszolgálókon | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki a Azure Database for MySQL privát kapcsolatának engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak az ismert hálózatokról érkező forgalomhoz engedélyezze a hozzáférést, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Letiltva | 1.0.2 |
| A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókon | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki a Azure Database for PostgreSQL privát kapcsolatának engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak az ismert hálózatokról érkező forgalomhoz engedélyezze a hozzáférést, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Letiltva | 1.0.2 |
| Le kell tiltani Azure SQL-adatbázis nyilvános hálózati hozzáférését | A nyilvános hálózati hozzáférési tulajdonság letiltása azáltal javítja a biztonságot, hogy az Azure SQL-adatbázis csak privát végpontról érhető el. Ez a konfiguráció letilt minden olyan bejelentkezést, amely megfelel az IP- vagy virtuálishálózat-alapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózat hozzáférési tulajdonságát, és győződjön meg arról, hogy a Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon | A biztonság javítása érdekében tiltsa le a nyilvános hálózat hozzáférési tulajdonságát, és győződjön meg arról, hogy a Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózat hozzáférési tulajdonságát, és győződjön meg arról, hogy a Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP-címnek vagy a virtuális hálózatra vonatkozó tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az API Apps esetében ki kell kapcsolni a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat az API-alkalmazásokban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Letiltva | 1.0.0 |
| A távoli hibakeresést ki kell kapcsolni a függvényalkalmazások esetében | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Letiltva | 1.0.0 |
| A webalkalmazások esetében ki kell kapcsolni a távoli hibakeresést | A távoli hibakereséshez bejövő portokat kell megnyitni egy webalkalmazáson. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az erőforrásnaplókat az App Servicesben | Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik vagy a hálózat biztonsága sérül. | AuditIfNotExists, Disabled | 2.0.0 |
| Engedélyezni kell az Erőforrásnaplókat az Azure Data Lake Store-ban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységnaplókat; biztonsági incidens bekövetkezésekor vagy a hálózat feltörésekor | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat Azure Kubernetes Service | Azure Kubernetes Service erőforrásnaplói segíthetnek újra létrehozni a tevékenységnaplókat a biztonsági incidensek kivizsgálásakor. Engedélyezze annak biztosításához, hogy a naplók szükség esetén létezni fognak | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Erőforrásnaplókat az Azure Stream Analyticsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységnaplókat; biztonsági incidens bekövetkezésekor vagy a hálózat feltörésekor | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységnaplókat; biztonsági incidens bekövetkezésekor vagy a hálózat feltörésekor | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat Data Lake Analytics | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységnaplókat; biztonsági incidens bekövetkezésekor vagy a hálózat feltörésekor | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az Event Hubban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységnaplókat; biztonsági incidens bekövetkezésekor vagy a hálózat feltörésekor | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a IoT Hub | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységnaplókat; biztonsági incidens bekövetkezésekor vagy a hálózat feltörésekor | AuditIfNotExists, Disabled | 3.0.1 |
| Engedélyezni kell az erőforrásnaplókat Key Vault | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra szolgáló tevékenységnaplókat, amikor biztonsági incidens történik, vagy ha a hálózat biztonsága sérül | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Logic Appsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységnaplókat; biztonsági incidens bekövetkezésekor vagy a hálózat feltörésekor | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Keresési szolgáltatásokban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységnaplókat; biztonsági incidens bekövetkezésekor vagy a hálózat feltörésekor | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Service Busban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységnaplókat; biztonsági incidens bekövetkezésekor vagy a hálózat feltörésekor | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Virtual Machine Scale Sets | Javasoljuk, hogy engedélyezze a naplókat, hogy újra létre lehessen hozni a tevékenységnaplót, ha incidens vagy biztonsági sérülés esetén vizsgálatra van szükség. | AuditIfNotExists, Disabled | 2.1.0 |
| Szerepköralapú Access Control (RBAC) kell használni a Kubernetes Servicesben | A felhasználók által végrehajtható műveletek részletes szűréséhez használja a Role-Based Access Control (RBAC) szolgáltatást a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.2 |
| A tárolólemezképek futtatásához meg kell oldani a biztonságirés-megállapításokat | A tárolólemezkép biztonsági réseinek felmérése biztonsági réseket keres a Kubernetes-fürtökön futó tárolórendszerképeken, és részletes eredményeket tesz közzé az egyes rendszerképekhez. A biztonsági rések megoldása nagyban javíthatja a tárolók biztonsági helyzetét, és megvédheti őket a támadásoktól. | AuditIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell a tárfiókokba történő biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelményei. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokról (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati rétegbeli támadásoktól, például a közbeékeléssel, a lehallgatással és a munkamenet-eltérítéssel szemben. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A Service Fabric-fürtök ClusterProtectionLevel tulajdonságának EncryptAndSign értékűnek kell lennie | A Service Fabric három védelmi szintet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet annak biztosítására, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen | Naplózás, megtagadás, letiltva | 1.1.0 |
| A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez | Ügyfél-hitelesítés naplózása csak az Azure Active Directoryn keresztül a Service Fabricben | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az SQL-adatbázisok biztonsági résekkel kapcsolatos megállapításait meg kell oldani | A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok monitorozása. | AuditIfNotExists, Disabled | 4.0.0 |
| A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és irányítást biztosít a TDE Protector felett, nagyobb biztonságot nyújt egy HSM-alapú külső szolgáltatással, valamint előlépteti a feladatok elkülönítését. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A gépeken futó SQL-kiszolgálók biztonsági résekkel kapcsolatos megállapításait meg kell oldani | Az SQL sebezhetőségi felmérése biztonsági réseket keres az adatbázisban, és felfedi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések elhárítása nagyban javíthatja az adatbázis biztonsági helyzetét. | AuditIfNotExists, Disabled | 1.0.0 |
| Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és irányítást biztosít a TDE Protector felett, nagyobb biztonságot nyújt egy HSM-alapú külső szolgáltatással, valamint előlépteti a feladatok elkülönítését. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.1 |
| A tárfiók célhelyének naplózásával rendelkező SQL-kiszolgálókat 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni | Incidensvizsgálati célokból javasoljuk, hogy a SQL Server naplózásának adatmegőrzését állítsa a tárfiók célhelyére legalább 90 napra. Győződjön meg arról, hogy megfelel azoknak a régióknak a szükséges adatmegőrzési szabályainak, amelyeken üzemel. Ez néha szükséges a szabályozási szabványoknak való megfeleléshez. | AuditIfNotExists, Disabled | 3.0.0 |
| A tárfiókokat új Azure-Resource Manager-erőforrásokra kell migrálni | Új Azure-Resource Manager használata tárfiókjaihoz olyan biztonsági fejlesztések biztosításához, mint a következők: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Kezelése | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókok korlátozhatják a hálózati hozzáférést | Korlátozni kell a tárfiókokhoz való hálózati hozzáférést. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Adott internetes vagy helyszíni ügyfelek kapcsolatainak engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatok vagy nyilvános internetes IP-címtartományok forgalmához | Naplózás, megtagadás, letiltva | 1.1.1 |
| A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést | Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A tárfiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | Az ügyfél által felügyelt kulcsok használatával nagyobb rugalmassággal védheti blob- és fájltároló fiókját. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs rotálásának szabályozására vagy az adatok kriptográfiai törlésére. | Naplózás, letiltva | 1.0.3 |
| A tárfiókok privát kapcsolatot használnak | Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha privát végpontokat társít a tárfiókhoz, csökkennek az adatszivárgási kockázatok. További információ a privát hivatkozásokról itt: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Egy hálózati biztonsági csoporttal (NSG- vel) megvédheti az alhálózatot a potenciális fenyegetésektől. Az NSG-k Access Control listára (ACL) vonatkozó szabályokat tartalmaznak, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha meg szeretné győződni arról, hogy a szervezet megfelelő tagjai értesítést kapnak az egyik előfizetésében esetleges biztonsági incidensről, állítson be egy biztonsági kapcsolattartót, hogy e-mailes értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
| Telepíteni kell a virtuálisgép-méretezési csoportok rendszerfrissítéseit | Ellenőrizze, hogy vannak-e hiányzó rendszerbiztonsági frissítések és kritikus frissítések, amelyeket telepíteni kell annak érdekében, hogy a Windows és Linux rendszerű virtuálisgép-méretezési csoportok biztonságosak legyenek. | AuditIfNotExists, Disabled | 3.0.0 |
| A rendszerfrissítéseket telepíteni kell a gépeken | A kiszolgálók hiányzó biztonsági rendszerfrissítéseit a Azure Security Center figyeli javaslatként | AuditIfNotExists, Disabled | 4.0.0 |
| Az előfizetéshez egynél több tulajdonosnak kell tartoznia | Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki a rendszergazdai hozzáférési redundancia érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az SQL-adatbázisok transzparens adattitkosítását | Engedélyezni kell a transzparens adattitkosítást az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
| A virtuális gépeket új Azure-Resource Manager-erőforrásokra kell migrálni | Új Azure-Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, kulcstartó-hozzáférés titkos kódokhoz, Azure AD-alapú hitelesítés, valamint címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Kezelése | Naplózás, megtagadás, letiltva | 1.0.0 |
| A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítási és tárolási adatok nem titkosítva lesznek. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. A Managed Disks kiszolgálóoldali titkosítása megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A vendégkonfigurációs bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek megfelelők, ha telepítve van a vendégkonfigurációs bővítmény, de nem rendelkeznek rendszer által hozzárendelt felügyelt identitással. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| A VM Image Builder-sablonoknak privát hivatkozást kell használniuk | Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, csökkennek az adatszivárgási kockázatok. További információ a privát hivatkozásokról a következő címen: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Naplózás, letiltás, megtagadás | 1.1.0 |
| A tárolóbiztonsági konfigurációk biztonsági réseit orvosolni kell | A biztonsági konfiguráció biztonsági réseinek naplózása olyan gépeken, amelyeken telepítve van a Docker, és javaslatokként jelennek meg Azure Security Center. | AuditIfNotExists, Disabled | 3.0.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit ki kell javítanod | Azokat a kiszolgálókat, amelyek nem felelnek meg a konfigurált alapkonfigurációnak, javaslatként figyeli Azure Security Center | AuditIfNotExists, Letiltva | 3.0.0 |
| A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell | A virtuálisgép-méretezési csoportok operációsrendszer-biztonsági réseinek naplózása a támadások elleni védelem érdekében. | AuditIfNotExists, Letiltva | 3.0.0 |
| A sebezhetőségi felmérést engedélyezni kell a SQL Managed Instance | Minden olyan SQL Managed Instance naplózása, amelyen nincs engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatok. A sebezhetőségi felmérés felderítheti, nyomon követheti és elháríthatja az adatbázisok lehetséges biztonsági réseit. | AuditIfNotExists, Letiltva | 1.0.1 |
| A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Naplózhatók Azure SQL olyan kiszolgálók, amelyeken nincs engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatok. A sebezhetőségi felmérés felderítheti, nyomon követheti és elháríthatja az adatbázisok lehetséges biztonsági réseit. | AuditIfNotExists, Letiltva | 2.0.0 |
| Web Application Firewall (WAF) engedélyezve kell lennie a Application Gateway | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A Web Application Firewall (WAF) központosított védelmet biztosít a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti parancsfájl-kezelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országok, IP-címtartományok és más HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Windows Defender Exploit Guardot engedélyezni kell a gépeken | Windows Defender Exploit Guard a Azure Policy Vendégkonfigurációs ügynököt használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek célja az eszközök számos különböző támadási vektor elleni zárolása és a kártevők elleni támadásokban gyakran használt viselkedés blokkolása, miközben lehetővé teszi a vállalatok számára a biztonsági kockázatok és a termelékenységi követelmények egyensúlyát (csak Windows). | AuditIfNotExists, Letiltva | 2.0.0 |
| A Windows-gépeken telepítve kell lennie a Log Analytics-ügynöknek az Azure Arcon | A gépek nem megfelelőek, ha a Log Analytics-ügynök nincs telepítve az Azure Arc-kompatibilis Windows Serveren. | AuditIfNotExists, Letiltva | 2.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. További részletekért lásd: https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Letiltva | 2.0.0 |
| A Windows-webkiszolgálókat biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül közölt információk védelméhez a webkiszolgálóknak az iparági szabványnak megfelelő titkosítási protokoll, a Transport Layer Security (TLS) legújabb verzióját kell használniuk. A TLS biztonsági tanúsítványokkal védi a hálózaton keresztüli kommunikációt a gépek közötti kapcsolat titkosításához. | AuditIfNotExists, Letiltva | 4.0.0 |
Microsoft Defender felhőhöz kategória
| Name (Azure Portal) |
Leírás | Effektus(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Linux Arc-gépekre | Telepítse az Azure Security-ügynököt a Linux Arc-gépekre a gépek biztonsági konfigurációinak és biztonsági réseinek figyeléséhez. Az értékelések eredményei megtekinthetők és kezelhetők Azure Security Center. | AuditIfNotExists, Letiltva | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Linux rendszerű virtuálisgép-méretezési csoportokra | Telepítse az Azure Security-ügynököt a Linux rendszerű virtuálisgép-méretezési csoportokra a gépek biztonsági konfigurációinak és biztonsági réseinek figyeléséhez. Az értékelések eredményei megtekinthetők és kezelhetők Azure Security Center. | AuditIfNotExists, Letiltva | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Linux rendszerű virtuális gépekre | Telepítse az Azure Security-ügynököt a Linux rendszerű virtuális gépekre a gépek biztonsági konfigurációinak és biztonsági réseinek figyeléséhez. Az értékelések eredményei megtekinthetők és kezelhetők Azure Security Center. | AuditIfNotExists, Letiltva | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Windows Arc-gépekre | Telepítse az Azure Security-ügynököt a Windows Arc-gépekre a gépek biztonsági konfigurációinak és biztonsági réseinek figyeléséhez. Az értékelések eredményei megtekinthetők és kezelhetők Azure Security Center. | AuditIfNotExists, Letiltva | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Windows rendszerű virtuálisgép-méretezési csoportokra | Telepítse az Azure Security-ügynököt a Windows rendszerű virtuálisgép-méretezési csoportokra a gépek biztonsági konfigurációinak és biztonsági réseinek figyeléséhez. Az értékelések eredményei megtekinthetők és kezelhetők Azure Security Center. | AuditIfNotExists, Letiltva | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Windows rendszerű virtuális gépekre | Telepítse az Azure Security-ügynököt a Windows rendszerű virtuális gépekre a gépek biztonsági konfigurációinak és biztonsági réseinek figyeléséhez. Az értékelések eredményei megtekinthetők és kezelhetők Azure Security Center. | AuditIfNotExists, Letiltva | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Linux Arc-gépen | Telepítse a ChangeTracking bővítményt Linux Arc-gépeken a fájlintegritási monitorozás (FIM) engedélyezéséhez Azure Security Center. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux-rendszerfájlokat és egyebeket, hogy a változások támadásra utalhatnak-e. A bővítmény az Azure Monitoring Agent által támogatott virtuális gépeken és helyeken telepíthető. | AuditIfNotExists, Letiltva | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Linux rendszerű virtuális gépen | Telepítse a ChangeTracking bővítményt Linux rendszerű virtuális gépeken a fájlintegritási monitorozás (FIM) engedélyezéséhez Azure Security Center. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux-rendszerfájlokat és egyebeket, hogy a változások támadásra utalhatnak-e. A bővítmény az Azure Monitoring Agent által támogatott virtuális gépeken és helyeken telepíthető. | AuditIfNotExists, Letiltva | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Linux rendszerű virtuálisgép-méretezési csoportokra | Telepítse a ChangeTracking bővítményt Linux rendszerű virtuálisgép-méretezési csoportokra a fájlintegritási monitorozás (FIM) engedélyezéséhez Azure Security Center. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux-rendszerfájlokat és egyebeket, hogy a változások támadásra utalhatnak-e. A bővítmény az Azure Monitoring Agent által támogatott virtuális gépeken és helyeken telepíthető. | AuditIfNotExists, Letiltva | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Windows Arc-számítógépre | Telepítse a ChangeTracking bővítményt Windows Arc-gépekre a fájlintegritási monitorozás (FIM) engedélyezéséhez Azure Security Center. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux-rendszerfájlokat és egyebeket, hogy a módosítások támadásra utalhatnak-e. A bővítmény az Azure Monitoring Agent által támogatott virtuális gépeken és helyeken telepíthető. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Windows rendszerű virtuális gépen | Telepítse a ChangeTracking bővítményt Windows rendszerű virtuális gépekre a fájlintegritási monitorozás (FIM) engedélyezéséhez Azure Security Center. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux-rendszerfájlokat és egyebeket, hogy a módosítások támadásra utalhatnak-e. A bővítmény az Azure Monitoring Agent által támogatott virtuális gépeken és helyeken telepíthető. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Windows rendszerű virtuálisgép-méretezési csoportokra | Telepítse a ChangeTracking bővítményt Windows rendszerű virtuálisgép-méretezési csoportokra a fájlintegritási monitorozás (FIM) engedélyezéséhez Azure Security Center. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux-rendszerfájlokat és egyebeket, hogy a módosítások támadásra utalhatnak-e. A bővítmény az Azure Monitoring Agent által támogatott virtuális gépeken és helyeken telepíthető. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Arc-gépek konfigurálása az Azure Monitor Agent Security Center-folyamatának automatikus létrehozásához | Konfigurálja az Arc-gépeket az Azure Monitor-ügynök Azure Security Center folyamatának automatikus létrehozásához. A Security Center eseményeket gyűjt az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Hozzon létre egy erőforráscsoportot és egy Log Analytics-munkaterületet ugyanabban a régióban, ahol a gép naplórekordokat tárol. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Arc-gépek konfigurálása a Security Center felhasználó által definiált folyamatának automatikus létrehozásához az Azure Monitor-ügynökhöz | Konfigurálja az Arc-gépeket úgy, hogy automatikusan létrehozzák a Azure Security Center felhasználó által definiált folyamatot az Azure Monitor-ügynökhöz. A Security Center eseményeket gyűjt az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Hozzon létre egy erőforráscsoportot és egy Log Analytics-munkaterületet ugyanabban a régióban, ahol a gép naplórekordokat tárol. A cél Arc-gépeknek támogatott helyen kell lenniük | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Társítás konfigurálása az Arc-gépek alapértelmezett Azure Security Center adatgyűjtési szabályhoz való csatolásához | Konfigurálja az Arc-gépeket úgy, hogy automatikusan létrehozzák a társításokat a Azure Security Center alapértelmezett adatgyűjtési szabályával. A társítás törlése megszakítja az Arc-gép biztonsági réseinek észlelését. A cél Arc-gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Társítás konfigurálása az Arc-gépek felhasználó által definiált Azure Security Center adatgyűjtési szabályhoz való csatolásához | Konfigurálja az Arc-gépeket úgy, hogy automatikusan létrehozzák a társításokat a felhasználó által definiált adatgyűjtési szabmánnyal Azure Security Center. A társítás törlése megszakítja az Arc-gép biztonsági réseinek észlelését. A cél Arc-gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Társítás konfigurálása virtuális gépek alapértelmezett Azure Security Center adatgyűjtési szabályhoz való csatolásához | Konfigurálja a gépeket úgy, hogy automatikusan létrehozzák a társításokat a Azure Security Center alapértelmezett adatgyűjtési szabályával. A társítás törlése megszakítja a virtuális gép biztonsági réseinek észlelését. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 2.1.0-előzetes verzió |
| [Előzetes verzió]: [Előzetes verzió]: Társítás konfigurálása a virtuális gépek felhasználó által definiált Azure Security Center adatgyűjtési szabályhoz való csatolásához | Konfigurálja a gépeket úgy, hogy automatikusan létrehozzák a Azure Security Center felhasználó által meghatározott adatgyűjtési szabályával való társításokat. A társítás törlése megszakítja a virtuális gép biztonsági réseinek észlelését. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Az Azure Defender for SQL Agent konfigurálása virtuális gépen | Konfigurálja a Windows rendszerű gépeket az Azure Defender for SQL-ügynök automatikus telepítéséhez, ahol az Azure Monitor-ügynök telepítve van. A Security Center eseményeket gyűjt az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Létrehoz egy erőforráscsoportot és egy Log Analytics-munkaterületet a géppel azonos régióban. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Linux Arc-gépekhez | Linux Arc-gépek konfigurálása a ChangeTracking-bővítmény automatikus telepítéséhez a fájlintegritási monitorozás (FIM) engedélyezéséhez Azure Security Center. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux-rendszerfájlokat és egyebeket, hogy a módosítások támadásra utalhatnak-e. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Linux rendszerű virtuálisgép-méretezési csoportokhoz | Konfigurálja a Linux rendszerű virtuálisgép-méretezési csoportokat a ChangeTracking-bővítmény automatikus telepítéséhez a fájlintegritási monitorozás (FIM) engedélyezéséhez Azure Security Center. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux-rendszerfájlokat és egyebeket, hogy a módosítások támadásra utalhatnak-e. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Linux rendszerű virtuális gépekhez | Konfigurálja a Linux rendszerű virtuális gépeket a ChangeTracking-bővítmény automatikus telepítéséhez a fájlintegritási monitorozás (FIM) engedélyezéséhez Azure Security Center. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux-rendszerfájlokat és egyebeket, hogy a módosítások támadásra utalhatnak-e. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Windows Arc-gépekhez | Konfigurálja a Windows Arc-gépeket a ChangeTracking-bővítmény automatikus telepítéséhez a fájlintegritási monitorozás (FIM) engedélyezéséhez Azure Security Center. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux-rendszerfájlokat és egyebeket, hogy a módosítások támadásra utalhatnak-e. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Windows rendszerű virtuálisgép-méretezési csoportokhoz | Konfigurálja a Windows rendszerű virtuálisgép-méretezési csoportokat úgy, hogy automatikusan telepítse a ChangeTracking-bővítményt a fájlintegritási monitorozás (FIM) engedélyezéséhez Azure Security Center. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux-rendszerfájlokat és egyebeket, hogy a módosítások támadásra utalhatnak-e. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Windows rendszerű virtuális gépekhez | Konfigurálja a Windows rendszerű virtuális gépeket a ChangeTracking-bővítmény automatikus telepítéséhez a fájlintegritási monitorozás (FIM) engedélyezéséhez Azure Security Center. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux-rendszerfájlokat és egyebeket, hogy a módosítások támadásra utalhatnak-e. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Gépek konfigurálása az Azure Monitor-ügynök Azure Security Center folyamatának automatikus létrehozásához | Konfigurálja a gépeket úgy, hogy automatikusan létrehozzák a Azure Security Center folyamatot az Azure Monitor-ügynökhöz. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott korlátozási feladatok (javaslatok) biztosítására használja őket. Hozzon létre egy erőforráscsoportot és egy Log Analytics-munkaterületet ugyanabban a régióban, ahol a gép tárolja a naplórekordokat. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 5.1.1-preview |
| [Előzetes verzió]: [Előzetes verzió]: Gépek konfigurálása a Microsoft Defender for Cloud felhasználó által definiált folyamatának létrehozásához az Azure Monitor Agenthez | Konfigurálja a gépeket a Microsoft Defender for Cloud felhasználó által definiált folyamatának létrehozásához az Azure Monitor Agenthez. A Microsoft Defender for Cloud összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott korlátozási feladatok (javaslatok) biztosítására használja őket. A felhasználó által biztosított Log Analytics-munkaterületen tárolhatja a naplórekordokat. Létrehoz egy erőforráscsoportot és egy adatgyűjtési szabályt ugyanabban a régióban, mint a felhasználó által biztosított Log Analytics-munkaterület. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.1.1-preview |
| [Előzetes verzió]: [Előzetes verzió]: Támogatott Linux Arc-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez | A támogatott Linux Arc-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott korlátozási feladatok (javaslatok) biztosítására használja őket. A cél Linux Arc-gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Támogatott Linux rendszerű virtuálisgép-méretezési csoportok konfigurálása az Azure Security-ügynök automatikus telepítéséhez | Konfigurálja a támogatott Linux rendszerű virtuálisgép-méretezési csoportokat az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott korlátozási feladatok (javaslatok) biztosítására használja őket. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: A támogatott Linux rendszerű virtuálisgép-méretezési csoportok konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez | Konfigurálja a támogatott Linux rendszerű virtuálisgép-méretezési csoportokat a vendégigazolási bővítmény automatikus telepítéséhez, hogy lehetővé tegye Azure Security Center a rendszerindítási integritás proaktív ellenőrzését és monitorozását. A rendszerindítás integritását a távoli igazolás igazolja. | DeployIfNotExists, Disabled | 5.0.0-s előzetes verzió |
| [Előzetes verzió]: [Előzetes verzió]: Támogatott Linux rendszerű virtuális gépek konfigurálása a biztonságos rendszerindítás automatikus engedélyezéséhez | A támogatott Linux rendszerű virtuális gépek konfigurálása a biztonságos rendszerindítás automatikus engedélyezéséhez a rendszerindítási lánc rosszindulatú és jogosulatlan módosításainak elkerülése érdekében. Az engedélyezés után csak megbízható rendszerindítók, kernel- és kernelillesztők futhatnak. | DeployIfNotExists, Disabled | 5.0.0-s előzetes verzió |
| [Előzetes verzió]: [Előzetes verzió]: Támogatott Linux rendszerű virtuális gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez | Konfigurálja a támogatott Linux rendszerű virtuális gépeket az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott korlátozási feladatok (javaslatok) biztosítására használja őket. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 6.0.0-s előzetes verzió |
| [Előzetes verzió]: [Előzetes verzió]: A támogatott Linux rendszerű virtuális gépek konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez | Konfigurálja a támogatott Linux rendszerű virtuális gépeket a vendégigazolási bővítmény automatikus telepítésére, hogy lehetővé tegye Azure Security Center számára a rendszerindítási integritás proaktív igazolását és monitorozását. A rendszerindítás integritását a távoli igazolás igazolja. | DeployIfNotExists, Disabled | 6.0.0-s előzetes verzió |
| [Előzetes verzió]: [Előzetes verzió]: A támogatott virtuális gépek konfigurálása a vTPM automatikus engedélyezéséhez | Konfigurálja a támogatott virtuális gépeket úgy, hogy automatikusan engedélyezhessék a vTPM-et a mért rendszerindítás és egyéb, TPM-et igénylő operációsrendszer-biztonsági funkciók megkönnyítése érdekében. Az engedélyezés után a vTPM használható a rendszerindítás integritásának igazolására. | DeployIfNotExists, Disabled | 2.0.0-s előzetes verzió |
| [Előzetes verzió]: [Előzetes verzió]: Támogatott Windows Arc-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez | A támogatott Windows Arc-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott korlátozási feladatok (javaslatok) biztosítására használja őket. A cél Windows Arc-gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Támogatott Windows-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez | A támogatott Windows-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott korlátozási feladatok (javaslatok) biztosítására használja őket. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 4.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Támogatott Windows rendszerű virtuálisgép-méretezési csoportok konfigurálása az Azure Security-ügynök automatikus telepítéséhez | Konfigurálja a támogatott Windows rendszerű virtuálisgép-méretezési csoportokat az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott korlátozási feladatok (javaslatok) biztosítására használja őket. A cél Windows rendszerű virtuálisgép-méretezési csoportoknak támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Támogatott Windows rendszerű virtuálisgép-méretezési csoportok konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez | Konfigurálja a támogatott Windows rendszerű virtuálisgép-méretezési csoportokat a Vendégigazolás bővítmény automatikus telepítéséhez, hogy lehetővé tegye Azure Security Center számára a rendszerindítási integritás proaktív igazolását és monitorozását. A rendszerindítás integritását a távoli igazolás igazolja. | DeployIfNotExists, Disabled | 3.0.0-s előzetes verzió |
| [Előzetes verzió]: [Előzetes verzió]: A támogatott Windows rendszerű virtuális gépek konfigurálása a biztonságos rendszerindítás automatikus engedélyezéséhez | Konfigurálja a támogatott Windows rendszerű virtuális gépeket úgy, hogy automatikusan engedélyezhessék a biztonságos rendszerindítást a rendszerindítási lánc rosszindulatú és jogosulatlan módosításainak elkerülése érdekében. Az engedélyezés után csak megbízható rendszerindítók, kernel- és kernelillesztők futhatnak. | DeployIfNotExists, Disabled | 3.0.0-s előzetes verzió |
| [Előzetes verzió]: [Előzetes verzió]: A támogatott Windows rendszerű virtuális gépek konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez | Konfigurálja a támogatott Windows rendszerű virtuális gépeket a vendégigazolási bővítmény automatikus telepítésére, hogy lehetővé tegye Azure Security Center számára a rendszerindítási integritás proaktív igazolását és monitorozását. A rendszerindítás integritását a távoli igazolás igazolja. | DeployIfNotExists, Disabled | 4.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: Konfigurálja a Shared Image Gallery rendszerképekkel létrehozott virtuális gépeket a vendégigazolási bővítmény telepítéséhez | Konfigurálja a Shared Image Gallery rendszerképekkel létrehozott virtuális gépeket a Vendégigazolás bővítmény automatikus telepítéséhez, hogy lehetővé tegye Azure Security Center számára a rendszerindítási integritás proaktív igazolását és monitorozását. A rendszerindítás integritását a távoli igazolás igazolja. | DeployIfNotExists, Disabled | 2.0.0-s előzetes verzió |
| [Előzetes verzió]: [Előzetes verzió]: Konfigurálja a Shared Image Gallery rendszerképekkel létrehozott VMSS-t a vendégigazolási bővítmény telepítéséhez | Konfigurálja a Shared Image Gallery rendszerképekkel létrehozott VMSS-t a vendégigazolási bővítmény automatikus telepítéséhez, hogy lehetővé tegye Azure Security Center számára a rendszerindítási integritás proaktív igazolását és monitorozását. A rendszerindítás integritását a távoli igazolás igazolja. | DeployIfNotExists, Disabled | 2.0.0-s előzetes verzió |
| [Előzetes verzió]: [Előzetes verzió]: Végponthoz készült Microsoft Defender ügynök üzembe helyezése Linux rendszerű hibrid gépeken | Végponthoz készült Microsoft Defender ügynök üzembe helyezése Linux rendszerű hibrid gépeken | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Előzetes verzió]: [Előzetes verzió]: Végponthoz készült Microsoft Defender ügynök üzembe helyezése Linux rendszerű virtuális gépeken | Üzembe helyezi Végponthoz készült Microsoft Defender ügynököt a megfelelő Linux rendszerű virtuálisgép-rendszerképeken. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Előzetes verzió]: [Előzetes verzió]: Végponthoz készült Microsoft Defender-ügynök üzembe helyezése Windows Azure Arc-gépeken | Üzembe helyezi Végponthoz készült Microsoft Defender Windows Azure Arc-gépeken. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Előzetes verzió]: [Előzetes verzió]: Végponthoz készült Microsoft Defender ügynök üzembe helyezése Windows rendszerű virtuális gépeken | Üzembe helyezi Végponthoz készült Microsoft Defender a megfelelő Windows rendszerű virtuálisgép-lemezképeken. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Előzetes verzió]: [Előzetes verzió]: A vendégigazolási bővítményt telepíteni kell a támogatott Linux rendszerű virtuális gépekre | Telepítse a Vendégigazolás bővítményt a támogatott Linux rendszerű virtuális gépekre, hogy lehetővé tegye Azure Security Center számára a rendszerindítási integritás proaktív igazolását és monitorozását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés csak a megbízható indítást engedélyező Linux rendszerű virtuális gépekre vonatkozik. | AuditIfNotExists, Letiltva | 5.0.0-s előzetes verzió |
| [Előzetes verzió]: [Előzetes verzió]: A vendégigazolási bővítményt telepíteni kell a támogatott Linux rendszerű virtuálisgép-méretezési csoportokra | Telepítse a Vendégigazolás bővítményt a támogatott Linux rendszerű virtuálisgép-méretezési csoportokra, hogy lehetővé tegye Azure Security Center számára a rendszerindítás integritásának proaktív igazolását és monitorozását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés csak a megbízható indításra engedélyezett Linux rendszerű virtuálisgép-méretezési csoportokra vonatkozik. | AuditIfNotExists, Letiltva | 4.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: A vendégigazolási bővítményt telepíteni kell a támogatott Windows rendszerű virtuális gépekre | Telepítse a vendégigazolási bővítményt a támogatott virtuális gépekre, hogy lehetővé tegye Azure Security Center számára a rendszerindítási integritás proaktív igazolását és monitorozását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés csak a megbízható indításra engedélyezett virtuális gépekre vonatkozik. | AuditIfNotExists, Letiltva | 3.0.0-s előzetes verzió |
| [Előzetes verzió]: [Előzetes verzió]: A vendégigazolási bővítményt telepíteni kell a támogatott Windows rendszerű virtuálisgép-méretezési csoportokra | Telepítse a Vendégigazolás bővítményt a támogatott virtuálisgép-méretezési csoportokra, hogy lehetővé tegye Azure Security Center számára a rendszerindítási integritás proaktív igazolását és monitorozását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés csak a megbízható indításra engedélyezett virtuálisgép-méretezési csoportokra vonatkozik. | AuditIfNotExists, Letiltva | 2.0.0-s előzetes verzió |
| [Előzetes verzió]: [Előzetes verzió]: A Linux rendszerű virtuális gépeknek biztonságos rendszerindítást kell használniuk | A kártevőalapú rootkitek és rendszerindító készletek telepítése elleni védelem érdekében engedélyezze a biztonságos rendszerindítást a támogatott Linux rendszerű virtuális gépeken. A biztonságos rendszerindítás biztosítja, hogy csak az aláírt operációs rendszerek és illesztőprogramok fussanak. Ez az értékelés csak azokra a Linux rendszerű virtuális gépekre vonatkozik, amelyeken telepítve van az Azure Monitor-ügynök. | AuditIfNotExists, Letiltva | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: A gépeken le kell zárni a portokat, amelyek támadási vektorokat tehetnek közzé | Az Azure használati feltételei tiltják az Azure-szolgáltatások használatát olyan módon, amely kárt tehet, letilthat, túlterhelhet vagy károsíthat bármely Microsoft-kiszolgálót vagy hálózatot. A javaslat által azonosított portokat be kell zárni a folyamatos biztonság érdekében. Az ajánlás minden azonosított port esetében magyarázatot is ad a lehetséges fenyegetésre. | AuditIfNotExists, Letiltva | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: A biztonságos rendszerindítást engedélyezni kell a támogatott Windows rendszerű virtuális gépeken | Engedélyezze a biztonságos rendszerindítást a támogatott Windows rendszerű virtuális gépeken, hogy elhárítsa a rendszerindítási lánc rosszindulatú és jogosulatlan módosításait. Az engedélyezés után csak megbízható rendszerindítók, kernel- és kernelillesztők futhatnak. Ez az értékelés csak a megbízható indítást engedélyező Windows rendszerű virtuális gépekre vonatkozik. | Naplózás, letiltva | 3.0.0-s előzetes verzió |
| [Előzetes verzió]: [Előzetes verzió]: A virtuális gépek vendégigazolási állapotának kifogástalannak kell lennie | A vendégigazolás egy megbízható napló (TCGLog) egy igazolási kiszolgálóra való elküldésével történik. A kiszolgáló ezeket a naplókat használja annak meghatározására, hogy a rendszerindítási összetevők megbízhatóak-e. Ez az értékelés a rendszerindítási lánc olyan sérüléseinek észlelésére szolgál, amelyek egy bootkit vagy rootkit fertőzés eredményeként keletkezhetnek. Ez az értékelés csak azokra a megbízható indításra képes virtuális gépekre vonatkozik, amelyeken vendégigazolási bővítmény van telepítve. | AuditIfNotExists, Letiltva | 1.0.0-preview |
| [Előzetes verzió]: [Előzetes verzió]: a vTPM-et engedélyezni kell a támogatott virtuális gépeken | Engedélyezze a virtuális TPM-eszközt a támogatott virtuális gépeken, hogy megkönnyítse a mért rendszerindítást és az operációs rendszer egyéb, TPM-et igénylő biztonsági funkcióit. Az engedélyezés után a vTPM használható a rendszerindítás integritásának igazolására. Ez az értékelés csak a megbízható indításra engedélyezett virtuális gépekre vonatkozik. | Naplózás, letiltva | 2.0.0-s előzetes verzió |
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy jelöljön ki legfeljebb 3 előfizetés-tulajdonost, hogy csökkentse a feltört tulajdonos általi illetéktelen behatolás lehetőségét. | AuditIfNotExists, Letiltva | 3.0.0 |
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | Naplóz virtuális gépeket annak észleléséhez, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek sebezhetőségi vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Letiltva | 3.0.0 |
| A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Az alkalmazásvezérlők lehetővé teszik a gépeken futó ismert biztonságos alkalmazások listájának meghatározását, és riasztást küldenek, ha más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Letiltva | 3.0.0 |
| Adaptív hálózatmegszűkítési javaslatokat kell alkalmazni az internetkapcsolattal rendelkező virtuális gépeken | Azure Security Center elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és javaslatot tesz a hálózati biztonsági csoportra vonatkozó szabályokra, amelyek csökkentik a potenciális támadási felületet | AuditIfNotExists, Letiltva | 3.0.0 |
| Az összes hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Azure Security Center azt észlelte, hogy a hálózati biztonsági csoportok bejövő szabályai közül néhány túl megengedő. A bejövő szabályok nem engedélyezhetik a "Bármely" vagy az "Internet" tartományból való hozzáférést. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Letiltva | 3.0.0 |
| Frissíteni kell az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályait | Figyelheti a Azure Security Center adaptív alkalmazásvezérlői által naplózásra konfigurált gépcsoportok viselkedésének változásait. A Security Center gépi tanulással elemzi a gépeken futó folyamatokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. Ezek ajánlott alkalmazásokként jelennek meg, amelyek lehetővé teszik az adaptív alkalmazásvezérlési szabályzatok használatát. | AuditIfNotExists, Letiltva | 3.0.0 |
| Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címeihez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokról származó alkalmazások férhessenek hozzá a fürthöz. | Naplózás, letiltva | 2.0.1 |
| A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésben | A biztonsági rések és fenyegetések monitorozásához Azure Security Center adatokat gyűjt az Azure-beli virtuális gépekről. Az adatokat a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) gyűjti, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Javasoljuk, hogy engedélyezze az automatikus kiépítést, hogy az ügynök automatikusan üzembe legyen helyezve az összes támogatott Azure-beli virtuális gépen és minden újonnan létrehozott gépen. | AuditIfNotExists, Letiltva | 1.0.1 |
| Engedélyezni kell az Azure DDoS Protection Standardot | A DDoS Protection szabványt minden olyan alhálózattal rendelkező virtuális hálózathoz engedélyezni kell, amely egy nyilvános IP-címmel rendelkező Application Gateway része. | AuditIfNotExists, Letiltva | 3.0.0 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatóként való láthatóságát használja a gyakori webalkalmazás-támadások monitorozásához. | AuditIfNotExists, Letiltva | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL olyan funkciókat biztosít, amelyekkel feltárhatja és enyhítheti az adatbázisok lehetséges biztonsági réseit, észlelheti az SQL-adatbázisokat fenyegető rendellenes tevékenységeket, valamint felderítheti és osztályozhatja a bizalmas adatokat. | AuditIfNotExists, Letiltva | 1.0.2 |
| Engedélyezni kell az Azure Defender for DNS-t | A DNS-hez készült Azure Defender további védelmi réteget biztosít a felhőbeli erőforrások számára az Azure-erőforrásokból érkező összes DNS-lekérdezés folyamatos figyelésével. Az Azure Defender riasztást küld a DNS-réteg gyanús tevékenységeiről. További információ a DNS-hez készült Azure Defender funkcióiról itt https://aka.ms/defender-for-dns : . Az Azure Defender-csomag engedélyezése díjakat eredményez. További információ a régiónkénti díjszabásról a Security Center díjszabási oldalán: https://aka.ms/pricing-security-center . | AuditIfNotExists, Letiltva | 1.0.0 |
| Engedélyezni kell az Azure Defender for Key Vault-t | Az Azure Defender for Key Vault további védelmi és biztonsági intelligenciát biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Letiltva | 1.0.3 |
| Engedélyezni kell az Azure Defendert a nyílt forráskódú relációs adatbázisokhoz | A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender észleli az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. További információ az Azure Defender nyílt forráskódú relációs adatbázisokhoz való képességeiről: https://aka.ms/AzDforOpenSourceDBsDocu. Fontos: A terv engedélyezése költségekkel jár a nyílt forráskódú relációs adatbázisok védelméért. További információ a Security Center díjszabási oldalán található díjszabásról: https://aka.ms/pricing-security-center | AuditIfNotExists, Letiltva | 1.0.0 |
| Engedélyezni kell az Azure Defender for Resource Manager-t | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a fenyegetéseket, és riasztást küld a gyanús tevékenységekről. Az Azure Defender for Resource Manager funkcióiról itt olvashat bővebben https://aka.ms/defender-for-resource-manager . Az Azure Defender-csomag engedélyezése díjakat eredményez. További információ a régiónkénti díjszabásról a Security Center díjszabási oldalán: https://aka.ms/pricing-security-center . | AuditIfNotExists, Letiltva | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatok számára, és megerősítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Letiltva | 1.0.3 |
| A gépeken futó SQL-kiszolgálókhoz készült Azure Defendert engedélyezni kell | Az Azure Defender for SQL olyan funkciókat biztosít, amelyekkel feltárhatja és enyhítheti az adatbázisok lehetséges biztonsági réseit, észlelheti az SQL-adatbázisokat fenyegető rendellenes tevékenységeket, valamint felderítheti és osztályozhatja a bizalmas adatokat. | AuditIfNotExists, Letiltva | 1.0.2 |
| Engedélyezni kell az Azure Defender for Storage-t | Az Azure Defender for Storage észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | AuditIfNotExists, Letiltva | 1.0.3 |
| Cloud Services (kiterjesztett támogatás) szerepkörpéldányokat biztonságosan kell konfigurálni | A Cloud Service (kiterjesztett támogatás) szerepkörpéldányainak védelme a támadások ellen annak biztosításával, hogy az operációs rendszer biztonsági rései ne merüljenek fel. | AuditIfNotExists, Letiltva | 1.0.0 |
| Cloud Services (kiterjesztett támogatás) szerepkörpéldányokon telepítve kell lennie egy végpontvédelmi megoldásnak | A Cloud Services (kiterjesztett támogatás) szerepkörpéldányok védelme a fenyegetések és a biztonsági rések ellen azáltal, hogy biztosítja, hogy telepítve van rájuk egy végpontvédelmi megoldás. | AuditIfNotExists, Letiltva | 1.0.0 |
| Cloud Services (kiterjesztett támogatás) szerepkörpéldányokon telepítve kell lenniük a rendszerfrissítéseknek | A Cloud Services (kiterjesztett támogatás) szerepkörpéldányok biztonságossá tételéhez gondoskodjon arról, hogy a legújabb biztonsági és kritikus frissítések telepítve legyenek rajtuk. | AuditIfNotExists, Letiltva | 1.0.0 |
| Az Azure Defender for App Service engedélyezése | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatóként való láthatóságát használja a gyakori webalkalmazás-támadások monitorozásához. | DeployIfNotExists, Disabled | 1.0.1 |
| Az Azure Defender konfigurálása Azure SQL-adatbázis engedélyezéséhez | Az Azure Defender for SQL olyan funkciókat biztosít, amelyekkel feltárhatja és enyhítheti az adatbázisok lehetséges biztonsági réseit, észlelheti az SQL-adatbázisokat fenyegető rendellenes tevékenységeket, valamint felderítheti és osztályozhatja a bizalmas adatokat. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Defender konfigurálása DNS-hez az engedélyezéshez | A DNS-hez készült Azure Defender további védelmi réteget biztosít a felhőbeli erőforrások számára az Azure-erőforrásokból érkező összes DNS-lekérdezés folyamatos figyelésével. Az Azure Defender riasztást küld a DNS-réteg gyanús tevékenységeiről. További információ a DNS-hez készült Azure Defender funkcióiról itt https://aka.ms/defender-for-dns : . Az Azure Defender-csomag engedélyezése díjakat eredményez. További információ a régiónkénti díjszabásról a Security Center díjszabási oldalán: https://aka.ms/pricing-security-center . | DeployIfNotExists, Disabled | 1.0.1 |
| Az Azure Defender for Key Vault engedélyezése | Az Azure Defender for Key Vault további védelmi és biztonsági intelligenciát biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | DeployIfNotExists, Disabled | 1.0.1 |
| Az Azure Defender konfigurálása a nyílt forráskódú relációs adatbázisok engedélyezéséhez | A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender észleli az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. További információ az Azure Defender nyílt forráskódú relációs adatbázisokhoz való képességeiről: https://aka.ms/AzDforOpenSourceDBsDocu. Fontos: A terv engedélyezése költségekkel jár a nyílt forráskódú relációs adatbázisok védelméért. További információ a Security Center díjszabási oldalán található díjszabásról: https://aka.ms/pricing-security-center | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Defender for Resource Manager engedélyezése | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a fenyegetéseket, és riasztásokat küld a gyanús tevékenységekről. További információ az Azure Defender Resource Manager funkcióiról itt https://aka.ms/defender-for-resource-manager . Az Azure Defender-csomag engedélyezése díjakat eredményez. További információ a régiónkénti díjszabás részleteiről a Security Center díjszabási oldalán: https://aka.ms/pricing-security-center . | DeployIfNotExists, Disabled | 1.0.1 |
| Az Azure Defender konfigurálása a kiszolgálók engedélyezéséhez | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és megerősített javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Defender konfigurálása SQL-kiszolgálókhoz a gépeken az engedélyezéshez | Az Azure Defender for SQL olyan funkciókat biztosít, amelyekkel feltárhatja és enyhítheti az adatbázisok lehetséges biztonsági réseit, észlelheti az SQL-adatbázisokat fenyegető rendellenes tevékenységeket, valamint felderítheti és osztályozhatja a bizalmas adatokat. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Defender for Storage engedélyezése | Az Azure Defender for Storage észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | DeployIfNotExists, Disabled | 1.0.0 |
| Gépek konfigurálása biztonságirés-felmérési szolgáltató fogadására | Az Azure Defender további költségek nélkül tartalmazza a gépek biztonsági réseinek vizsgálatát. Nincs szüksége Qualys-licencre vagy akár Qualys-fiókra sem – minden zökkenőmentesen kezelhető a Security Centerben. Ha engedélyezi ezt a szabályzatot, az Azure Defender automatikusan üzembe helyezi a Qualys biztonságirés-felmérési szolgáltatót az összes olyan támogatott gépen, amely még nincs telepítve. | DeployIfNotExists, Disabled | 4.0.0 |
| Az Azure Cosmos DB-hez készült Microsoft Defender konfigurálása az engedélyezéshez | Az Azure Cosmos DB-hez készült Microsoft Defender egy natív Azure-alapú biztonsági réteg, amely észleli az Azure Cosmos DB-fiókokban lévő adatbázisok kihasználására tett kísérleteket. Az Azure Cosmos DB-hez készült Defender potenciális SQL-injektálásokat, a Microsoft Threat Intelligenceen alapuló ismert rossz szereplőket, gyanús hozzáférési mintákat és az adatbázis potenciális kihasználtságait észleli feltört identitásokon vagy rosszindulatú belső résztvevőkön keresztül. | DeployIfNotExists, Disabled | 1.0.0 |
| A Microsoft Defender for Containers engedélyezése | A Microsoft Defender for Containers megerősített, sebezhetőségi felmérési és futásidejű védelmet biztosít az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez. | DeployIfNotExists, Disabled | 1.0.0 |
| A tárolóregisztrációs adatbázis lemezképeinek biztonsági résekkel kapcsolatos megállapításait meg kell oldani | A tárolórendszerkép biztonsági réseinek felmérése biztonsági réseket keres a beállításjegyzékben, és részletes eredményeket tesz közzé az egyes rendszerképekhez. A biztonsági rések megoldása nagyban javíthatja a tárolók biztonsági helyzetét, és megvédheti őket a támadásoktól. | AuditIfNotExists, Disabled | 2.0.1 |
| Üzembe helyezés – Letiltási szabályok konfigurálása Azure Security Center riasztásokhoz | A Azure Security Center riasztások mellőzése a riasztások elfáradásának csökkentése érdekében letiltási szabályok üzembe helyezésével a felügyeleti csoportban vagy előfizetésben. | deployIfNotExists | 1.0.0 |
| Exportálás üzembe helyezése az Event Hubba Azure Security Center adatokhoz | Azure Security Center adatok eseményközpontba való exportálásának engedélyezése. Ez a szabályzat egy exportálást helyez üzembe az Event Hub-konfigurációba a feltételekkel és a cél eseményközponttal a hozzárendelt hatókörben. Ha ezt a szabályzatot újonnan létrehozott előfizetéseken szeretné üzembe helyezni, nyissa meg a Megfelelőség lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy javítási feladatot. | deployIfNotExists | 4.0.0 |
| Exportálás üzembe helyezése Log Analytics-munkaterületre Azure Security Center adatokhoz | Azure Security Center adatok Log Analytics-munkaterületre való exportálásának engedélyezése. Ez a szabályzat üzembe helyez egy exportálást a Log Analytics-munkaterület konfigurációjába a feltételekkel és a cél munkaterülettel a hozzárendelt hatókörben. Ha ezt a szabályzatot újonnan létrehozott előfizetéseken szeretné üzembe helyezni, nyissa meg a Megfelelőség lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy javítási feladatot. | deployIfNotExists | 4.0.0 |
| Azure Security Center-riasztásokat automatizáló munkafolyamat üzembe helyezése | Azure Security Center riasztások automatizálásának engedélyezése. Ez a szabályzat üzembe helyez egy munkafolyamat-automatizálást a feltételekkel és eseményindítókkal a hozzárendelt hatókörben. Ha ezt a szabályzatot újonnan létrehozott előfizetéseken szeretné üzembe helyezni, nyissa meg a Megfelelőség lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy javítási feladatot. | deployIfNotExists | 4.0.0 |
| Azure Security Center-javaslatokat automatizáló munkafolyamat üzembe helyezése | Azure Security Center javaslatok automatizálásának engedélyezése. Ez a szabályzat üzembe helyez egy munkafolyamat-automatizálást a feltételekkel és eseményindítókkal a hozzárendelt hatókörben. Ha ezt a szabályzatot újonnan létrehozott előfizetéseken szeretné üzembe helyezni, nyissa meg a Megfelelőség lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy javítási feladatot. | deployIfNotExists | 4.0.0 |
| Munkafolyamat-automatizálás üzembe helyezése Azure Security Center jogszabályi megfelelőség érdekében | Azure Security Center jogszabályi megfelelőség automatizálásának engedélyezése. Ez a szabályzat üzembe helyez egy munkafolyamat-automatizálást a feltételekkel és eseményindítókkal a hozzárendelt hatókörben. Ha ezt a szabályzatot újonnan létrehozott előfizetéseken szeretné üzembe helyezni, nyissa meg a Megfelelőség lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy javítási feladatot. | deployIfNotExists | 4.0.0 |
| Az elavult fiókokat el kell távolítani az előfizetésből | Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem jelentkeztek be. | AuditIfNotExists, Disabled | 3.0.0 |
| A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem jelentkeztek be. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mailes értesítést a nagy súlyosságú riasztásokról | Ha gondoskodni szeretne arról, hogy az előfizetés tulajdonosai értesítést kapnak az előfizetésük esetleges biztonsági incidenséről, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 2.0.0 |
| A Microsoft Defender for Cloud engedélyezése az előfizetésben | Azonosítja azokat a meglévő előfizetéseket, amelyeket a Microsoft Defender for Cloud nem figyel, és a Defender for Cloud ingyenes funkcióival védi őket. A már figyelt előfizetések megfelelőnek minősülnek. Az újonnan létrehozott előfizetések regisztrálásához nyissa meg a megfelelőségi lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy szervizelési feladatot. | deployIfNotExists | 1.0.1 |
| Engedélyezze a Security Center Log Analytics-ügynök automatikus kiépítését az előfizetéseken egyéni munkaterülettel. | Engedélyezze a Security Centernek, hogy automatikusan kiépíteni a Log Analytics-ügynököt az előfizetéseken a biztonsági adatok figyeléséhez és gyűjtéséhez egy egyéni munkaterület használatával. | DeployIfNotExists, Disabled | 1.0.0 |
| Engedélyezze a Security Center log analytics-ügynök automatikus kiépítését az előfizetéseken az alapértelmezett munkaterülettel. | Engedélyezze a Security Centernek, hogy automatikusan kiépíteni a Log Analytics-ügynököt az előfizetéseken a biztonsági adatok figyeléséhez és gyűjtéséhez az ASC alapértelmezett munkaterületén. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Endpoint Protection állapotproblémáinak megoldása a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Az endpoint protection értékelése itt dokumentálva van – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Endpoint Protectiont telepíteni kell a gépekre | A gépek fenyegetésekkel és biztonsági résekkel szembeni védelméhez telepítsen egy támogatott végpontvédelmi megoldást. | AuditIfNotExists, Disabled | 1.0.0 |
| Az endpoint protection megoldást telepíteni kell a virtuálisgép-méretezési csoportokra | A virtuális gépek méretezési csoportjain található végpontvédelmi megoldás meglétének és állapotának naplózása a fenyegetések és a biztonsági rések elleni védelem érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| A tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből | A nem figyelt hozzáférés megakadályozása érdekében a tulajdonosi engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből. | AuditIfNotExists, Disabled | 3.0.0 |
| Az olvasási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| Az írási engedélyekkel rendelkező külső fiókokat el kell távolítani az előfizetésből | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégen belüli beállításainak biztonságos konfigurációinak biztosításához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégen belüli beállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenléti beállítások, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok is elérhetők lesznek, például a "Windows Exploit Guard engedélyezve kell legyen". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek hálózati biztonsági csoportokkal (NSG) való korlátozásával védheti meg a virtuális gépeket a potenciális fenyegetésektől. További információ a forgalom NSG-kkel való szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Ritkán van szükség IP-továbbításra (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
| A Kubernetes Servicest nem sebezhető Kubernetes-verzióra kell frissíteni | Frissítse a Kubernetes-szolgáltatásfürtöt egy későbbi Kubernetes-verzióra, hogy megvédje az aktuális Kubernetes-verzió ismert biztonsági réseit. A CVE-2019-9946 biztonsági rés ki lett javítva a Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ és 1.14.0+ verzióiban | Naplózás, letiltva | 1.0.2 |
| A Log Analytics-ügynököt telepíteni kell a Cloud Services (kiterjesztett támogatási) szerepkörpéldányokra | A Security Center adatokat gyűjt a Cloud Services (kiterjesztett támogatási) szerepkörpéldányokról a biztonsági rések és fenyegetések monitorozásához. | AuditIfNotExists, Disabled | 2.0.0 |
| A Log Analytics-ügynököt telepíteni kell a virtuális gépre Azure Security Center monitorozáshoz | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket (VM-eket), ha a Log Analytics-ügynök nincs telepítve, amelyet a Security Center a biztonsági rések és fenyegetések monitorozására használ | AuditIfNotExists, Disabled | 1.0.0 |
| A Log Analytics-ügynököt telepíteni kell a virtuálisgép-méretezési csoportokra Azure Security Center monitorozáshoz | A Security Center adatokat gyűjt az Azure-beli virtuális gépekről a biztonsági rések és fenyegetések monitorozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell védeni | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyílt távfelügyeleti portok magas kockázatnak adták ki a virtuális gépet az internetes támadások miatt. Ezek a támadások találgatásos hitelesítő adatokkal próbálnak rendszergazdai hozzáférést szerezni a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
| Az MFA-t engedélyezni kell az előfizetés minden írási engedéllyel rendelkező fiókjában | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiókhoz engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 3.0.0 |
| Az MFA-t engedélyezni kell az előfizetés tulajdonosi engedélyekkel rendelkező fiókjaiban | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiókhoz engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 3.0.0 |
| Az MFA-t engedélyezni kell az előfizetés olvasási engedélyeivel rendelkező fiókokon | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiókhoz engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a Microsoft Defender for Azure Cosmos DB-t | Az Azure Cosmos DB-hez készült Microsoft Defender egy natív Azure-alapú biztonsági réteg, amely észleli az Azure Cosmos DB-fiókokban lévő adatbázisok kihasználására tett kísérleteket. Az Azure Cosmos DB-hez készült Defender potenciális SQL-injektálásokat, a Microsoft Threat Intelligenceen alapuló ismert rossz szereplőket, gyanús hozzáférési mintákat és az adatbázis potenciális kihasználtságait észleli feltört identitásokon vagy rosszindulatú belső résztvevőkön keresztül. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers megerősített, sebezhetőségi felmérési és futásidejű védelmet biztosít az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez. | AuditIfNotExists, Disabled | 1.0.0 |
| Hiányzó Endpoint Protection monitorozása Azure Security Center | A telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat a Azure Security Center figyeli javaslatként | AuditIfNotExists, Disabled | 3.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti a nem internetkapcsolattal rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ a forgalom NSG-kkel való szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Letiltva | 3.0.0 |
| Szerepköralapú Access Control (RBAC) kell használni a Kubernetes Servicesben | A felhasználók által végrehajtható műveletek részletes szűréséhez Role-Based Access Control (RBAC) használatával kezelheti a Kubernetes-szolgáltatásfürtök engedélyeit, és konfigurálhatja a vonatkozó engedélyezési szabályzatokat. | Naplózás, letiltva | 1.0.2 |
| A tárolólemezképek futtatásához meg kell oldani a biztonságirés-megállapításokat | A tárolórendszerkép sebezhetőségi felmérése biztonsági réseket keres a Kubernetes-fürtökön futó tárolórendszerképeken, és részletes eredményeket tesz közzé az egyes rendszerképekhez. A biztonsági rések elhárítása jelentősen javíthatja a tárolók biztonsági helyzetét, és megvédheti őket a támadásoktól. | AuditIfNotExists, Letiltva | 1.0.1 |
| A Security Center standard tarifacsomagját kell kiválasztani | A standard tarifacsomag lehetővé teszi a fenyegetések észlelését a hálózatok és virtuális gépek számára, így fenyegetésfelderítést, anomáliadetektálást és viselkedéselemzést biztosít Azure Security Center | Naplózás, letiltva | 1.0.0 |
| Az SQL-adatbázisok biztonsági résekkel kapcsolatos megállapításait meg kell oldani | A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok monitorozása. | AuditIfNotExists, Letiltva | 4.0.0 |
| A gépeken futó SQL-kiszolgálók biztonsági résekkel kapcsolatos megállapításait meg kell oldani | Az SQL sebezhetőségi felmérés biztonsági réseket keres az adatbázisban, és felfedi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések elhárítása jelentősen javíthatja az adatbázis biztonsági helyzetét. | AuditIfNotExists, Letiltva | 1.0.0 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Egy hálózati biztonsági csoporttal (NSG- vel) megvédheti az alhálózatot a lehetséges fenyegetésektől. Az NSG-k Access Control listára (ACL) vonatkozó szabályokat tartalmaznak, amelyek engedélyezik vagy letiltják az alhálózatra bejövő hálózati forgalmat. | AuditIfNotExists, Letiltva | 3.0.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel a biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapjanak egy esetleges biztonsági incidensről az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Letiltva | 1.0.1 |
| Telepíteni kell a virtuálisgép-méretezési csoportok rendszerfrissítéseit | Ellenőrizze, hogy vannak-e hiányzó rendszerbiztonsági frissítések és kritikus frissítések, amelyeket telepíteni kell a Windows és Linux rendszerű virtuálisgép-méretezési csoportok biztonságossá tételéhez. | AuditIfNotExists, Letiltva | 3.0.0 |
| A rendszerfrissítéseket telepíteni kell a gépeken | A kiszolgálókon hiányzó biztonságirendszer-frissítéseket Azure Security Center figyeli javaslatként | AuditIfNotExists, Letiltva | 4.0.0 |
| Az előfizetéshez egynél több tulajdonosnak kell tartoznia | Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki a rendszergazdai hozzáférés redundanciájának biztosításához. | AuditIfNotExists, Letiltva | 3.0.0 |
| A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva, platform által felügyelt kulcsok használatával. Az ideiglenes lemezek, az adatgyorsítótárak és a számítási és tárolási szolgáltatások közötti adatátvitel nem titkosított. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. A titkosítást használ a gazdagépen, vagy 2. Managed Disks kiszolgálóoldali titkosítása megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Letiltva | 2.0.3 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A vendégkonfigurációs bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatókörébe tartozó Azure-beli virtuális gépek nem lesznek megfelelőek, ha telepítve van a Vendégkonfiguráció bővítmény, de nem rendelkeznek rendszer által hozzárendelt felügyelt identitással. További információ: https://aka.ms/gcpol | AuditIfNotExists, Letiltva | 1.0.1 |
| A tárolóbiztonsági konfigurációk biztonsági réseit ki kell javítani | A biztonsági konfiguráció biztonsági réseinek naplózása olyan gépeken, amelyeken telepítve van a Docker, és javaslatokként jelennek meg Azure Security Center. | AuditIfNotExists, Letiltva | 3.0.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit ki kell javítanod | Azokat a kiszolgálókat, amelyek nem felelnek meg a konfigurált alapkonfigurációnak, javaslatként figyeli Azure Security Center | AuditIfNotExists, Letiltva | 3.0.0 |
| A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell | A virtuálisgép-méretezési csoportok operációsrendszer-biztonsági réseinek naplózása a támadások elleni védelem érdekében. | AuditIfNotExists, Letiltva | 3.0.0 |
Következő lépések
Ebben a cikkben megismerhette Azure Policy biztonsági szabályzatdefiníciókat a Defender for Cloudban. A kezdeményezésekről, szabályzatokról és azok a Defender for Cloud javaslataihoz való viszonyukról további információért lásd: Mik azok a biztonsági szabályzatok, kezdeményezések és javaslatok?