Beépített Azure Policy-definíciók az Azure hálózati szolgáltatásaihoz
Ez a lap az Azure Policy beépített szabályzatdefinícióinak indexe az Azure hálózati szolgáltatásokhoz. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatdefiníciók neve az Azure Portal szabályzatdefiníciójára hivatkozik. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Azure-beli hálózatkezelési szolgáltatások
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| [Előzetes verzió]: Az Application Gateway-átjáróknak zónarugalmasnak kell lenniük | Az Application Gateway-átjárók beállíthatók zónaeligazításra, zónaredundánsra vagy egyikre sem. Application Gatewaysmthat haveexactly one entry in their zone array is considered Zone Aligned. Ezzel szemben az application Gatmways withn3 vagy több bejegyzés a zónatömbben zónaredundánsként lesz felismerve. Ez a szabályzat segít azonosítani és kikényszeríteni ezeket a rugalmassági konfigurációkat. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Azure Recovery Services-tárolók konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz a Recovery Services-tárolókhoz való feloldás érdekében. További információ: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Recovery Services-tárolók konfigurálása privát DNS-zónák biztonsági mentéshez való használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz a Recovery Services-tárolóhoz való feloldás érdekében. További információ: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A tűzfalaknak zónarugalmasnak kell lenniük | A tűzfalak konfigurálhatók zónaeligazításra, zónaredundánsra vagy egyikre sem. Azok a tűzfalak, amelyek pontosan egy bejegyzéssel rendelkeznek a zónatömbben, zónaegyenlítettnek minősülnek. Ezzel szemben a zónatömbjében 3 vagy több bejegyzést tartalmazó tűzfalak zónaredundánsként vannak felismerve. Ez a szabályzat segít azonosítani és kikényszeríteni ezeket a rugalmassági konfigurációkat. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A terheléselosztóknak zónarugalmasnak kell lenniük | Az Alaptól eltérő termékváltozattal rendelkező Terheléselosztók öröklik a nyilvános IP-címek rugalmasságát az előtérben. Ha a "Nyilvános IP-címeknek zónarugalmasnak kell lenniük" szabályzattal kombinálva ez a megközelítés biztosítja a zónakimaradás ellen való szükséges redundanciát. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A NAT-átjárónak zónaigazításúnak kell lennie | A NAT-átjáró konfigurálható zónaeligazításra, vagy nem. Azok a NAT-átjárók, amelyeknek pontosan egy bejegyzése van a zónatömbben, zónaegyenlítettnek minősülnek. Ez a szabályzat biztosítja, hogy a NAT-átjárók egyetlen rendelkezésre állási zónán belül működjenek. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A nyilvános IP-címeknek zónarugalmasnak kell lenniük | A nyilvános IP-címek konfigurálhatók zónaeligazításra, zónaredundánsra vagy egyikre sem. A regionális nyilvános IP-címek, amelyekben pontosan egy bejegyzés szerepel a zónatömbjükben, zónaegyenlítettnek minősülnek. Ezzel szemben a regionális, 3 vagy több bejegyzést tartalmazó nyilvános IP-címek zónaredundánsként lesznek felismerve. Ez a szabályzat segít azonosítani és kikényszeríteni ezeket a rugalmassági konfigurációkat. | Naplózás, megtagadás, letiltva | 1.1.0-előzetes verzió |
| [Előzetes verzió]: A nyilvános IP-előtagok zónarugalmasnak kell lenniük | A nyilvános IP-előtagok beállíthatók zónaeligazításra, zónaredundánsra vagy egyikre sem. Azok a nyilvános IP-előtagok, amelyek pontosan egy bejegyzéssel rendelkeznek a zónatömbjükben, zónaegyenlítettnek minősülnek. Ezzel szemben a zónatömbben 3 vagy több bejegyzést tartalmazó nyilvános IP-előtagok zónaredundánsként lesznek felismerve. Ez a szabályzat segít azonosítani és kikényszeríteni ezeket a rugalmassági konfigurációkat. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A virtuális hálózati átjáróknak zónaredundánsnak kell lenniük | A virtuális hálózati átjárók zónaredundánsként vagy nem zónaredundánsként konfigurálhatók. Azok a virtuális hálózati átjárók, amelyek termékváltozatának neve vagy szintje nem "AZ" végződésű, nem zónaredundánsak. Ez a szabályzat azonosítja azokat a virtuális hálózati átjárókat, amelyekre nincs szükség a zónakimaradás ellen való ellenálláshoz szükséges redundancia nélkül. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| Egyéni IPsec/IKE-szabályzatot kell alkalmazni az összes Azure-beli virtuális hálózati átjárókapcsolatra | Ez a szabályzat biztosítja, hogy minden Azure-beli virtuális hálózati átjáró-kapcsolat egyéni Ipsec-/Internet Key Exchange-szabályzatot (IKE) használjon. Támogatott algoritmusok és kulcserősség – https://aka.ms/AA62kb0 | Naplózás, letiltva | 1.0.0 |
| Minden folyamatnapló-erőforrásnak engedélyezett állapotban kell lennie | Naplóerőforrások naplózása annak ellenőrzéséhez, hogy engedélyezve van-e a folyamatnapló állapota. A folyamatnaplók engedélyezésével naplózhatja az IP-forgalommal kapcsolatos információkat. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Naplózás, letiltva | 1.0.1 |
| Folyamatnaplók konfigurációjának naplózása minden virtuális hálózathoz | A virtuális hálózat naplózása annak ellenőrzéséhez, hogy a folyamatnaplók konfigurálva vannak-e. A folyamatnaplók engedélyezésével naplózhatja a virtuális hálózaton áthaladó IP-forgalom adatait. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Naplózás, letiltva | 1.0.1 |
| Azure-alkalmazás Átjárót az Azure WAF-ben kell üzembe helyezni | Az Azure WAF-ben üzembe kell helyezni Azure-alkalmazás átjáróerőforrásokat. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Azure-alkalmazás átjárónak engedélyeznie kell az erőforrásnaplókat | Engedélyezze az erőforrásnaplókat Azure-alkalmazás átjáróhoz (plusz WAF), és streameljen egy Log Analytics-munkaterületre. Részletes betekintést kaphat a bejövő webes forgalomba és a támadások mérséklésére tett műveletekbe. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure DDoS Protection használatát | A DDoS-védelmet minden olyan alhálózattal rendelkező virtuális hálózat esetében engedélyezni kell, amely egy nyilvános IP-címmel rendelkező Application Gateway része. | AuditIfNotExists, Disabled | 3.0.1 |
| Az Azure tűzfalszabályzatának engedélyeznie kell a TLS-ellenőrzést az alkalmazásszabályokon belül | A TLS-ellenőrzés engedélyezése minden alkalmazásszabály esetében ajánlott a HTTPS-ben a rosszindulatú tevékenységek észlelésére, riasztására és enyhítésére. Ha többet szeretne megtudni az Azure Firewall TLS-vizsgálatáról, látogasson el a https://aka.ms/fw-tlsinspect | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Firewall Premiumnak konfigurálnia kell egy érvényes köztes tanúsítványt a TLS-vizsgálat engedélyezéséhez | Konfiguráljon egy érvényes köztes tanúsítványt, és engedélyezze az Azure Firewall Premium TLS-vizsgálatát a HTTPS-ben végzett rosszindulatú tevékenységek észleléséhez, riasztásához és csökkentéséhez. Ha többet szeretne megtudni az Azure Firewall TLS-vizsgálatáról, látogasson el a https://aka.ms/fw-tlsinspect | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Front Doornak engedélyeznie kell az erőforrásnaplókat | Engedélyezze az Azure Front Door (plusz WAF) erőforrásnaplóit, és streameljen egy Log Analytics-munkaterületre. Részletes betekintést kaphat a bejövő webes forgalomba és a támadások mérséklésére tett műveletekbe. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure VPN-átjárók nem használhatják az "alapszintű" termékváltozatot | Ez a szabályzat biztosítja, hogy a VPN-átjárók ne használják az "alapszintű" termékváltozatot. | Naplózás, letiltva | 1.0.0 |
| Az Azure Web Application Firewallnak engedélyezve kell lennie az Azure-alkalmazás-átjárón a kérelem törzsvizsgálatának | Győződjön meg arról, hogy a Azure-alkalmazás átjárókhoz társított webalkalmazási tűzfalak engedélyezve vannak a kérelem törzsvizsgálata. Ez lehetővé teszi, hogy a WAF megvizsgálja a HTTP-törzs azon tulajdonságait, amelyeket nem lehet kiértékelni a HTTP-fejlécekben, a cookie-kban vagy az URI-ban. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Web Application Firewallnak engedélyeznie kell az Azure Front Dooron a kérelem törzsvizsgálatát | Győződjön meg arról, hogy az Azure Front Doorshoz társított webalkalmazási tűzfalak engedélyezve vannak a kérelemtörzs ellenőrzésében. Ez lehetővé teszi, hogy a WAF megvizsgálja a HTTP-törzs azon tulajdonságait, amelyeket nem lehet kiértékelni a HTTP-fejlécekben, a cookie-kban vagy az URI-ban. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A botvédelmet engedélyezni kell Azure-alkalmazás átjáró WAF-jén | Ez a szabályzat biztosítja, hogy a robotvédelem minden Azure-alkalmazás Átjáró webalkalmazási tűzfal (WAF) házirendben engedélyezve legyen | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Bot Protectiont engedélyezni kell az Azure Front Door WAF-hez | Ez a szabályzat biztosítja, hogy a robotvédelem minden Azure Front Door Web Application Firewall-házirendben engedélyezve legyen | Naplózás, megtagadás, letiltva | 1.0.0 |
| A behatolásészlelési és -megelőzési rendszer (IDPS) megkerülési listájának üresnek kell lennie a Premium tűzfalszabályzatban | A behatolásészlelési és -megelőzési rendszer (IDPS) megkerülő listája lehetővé teszi, hogy ne szűrje a forgalmat a megkerülő listában megadott IP-címekre, tartományokra és alhálózatokra. Az IDPS engedélyezését azonban minden forgalom esetében újra kell írni az ismert fenyegetések jobb azonosítása érdekében. Ha többet szeretne megtudni az Intrusion Detection and Prevention System (IDPS) aláírásokról az Azure Firewall Premium használatával, látogasson el https://aka.ms/fw-idps-signature | Naplózás, megtagadás, letiltva | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása blobcsoportazonosítóhoz | Konfigurálja a privát DNS-zónacsoportot úgy, hogy felülbírálja a blobcsoportAZONOSÍTÓ privát végpont dns-feloldását. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása blob_secondary groupID-hez | Konfigurálja a privát DNS-zónacsoportot egy blob_secondary groupID privát végpont DNS-feloldásának felülbírálásához. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása az elosztott fájlrendszerbeli csoportazonosítóhoz | Konfigurálja a privát DNS-zónacsoportot egy dfs groupID privát végpont DNS-feloldásának felülbírálásához. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása dfs_secondary groupID-hez | Konfigurálja a privát DNS-zónacsoportot úgy, hogy felülbírálja egy dfs_secondary groupID privát végpont DNS-feloldását. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása fájlcsoportazonosítóhoz | Konfigurálja a privát DNS-zónacsoportot úgy, hogy felülbírálja egy fájlcsoportazonosító privát végpontjának DNS-feloldását. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása üzenetsorcsoportazonosítóhoz | Konfigurálja a privát DNS-zónacsoportot úgy, hogy felülbírálja a dns-feloldást egy üzenetsorcsoport-azonosító privát végpontja esetében. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása queue_secondary groupID-hez | Konfigurálja a privát DNS-zónacsoportot egy queue_secondary groupID privát végpont DNS-feloldásának felülbírálásához. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása táblacsoportazonosítóhoz | Konfigurálja a privát DNS-zónacsoportot, hogy felülbírálja a táblacsoportazonosító privát végpontjának DNS-feloldását. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása table_secondary groupID-hez | Konfigurálja a privát DNS-zónacsoportot egy table_secondary groupID privát végpont DNS-feloldásának felülbírálásához. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása webcsoportazonosítóhoz | Konfigurálja a privát DNS-zónacsoportot úgy, hogy felülbírálja a webcsoportazonosító privát végpontjának DNS-feloldását. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása web_secondary groupID-hez | Konfigurálja a privát DNS-zónacsoportot egy web_secondary groupID privát végpont DNS-feloldásának felülbírálásához. | DeployIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazások konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. A privát DNS-zóna egy virtuális hálózatot csatol egy App Service-hez. További információ: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, Disabled | 1.0.1 |
| Az Azure Arc Private Link-hatókörök konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Privát DNS-zónahivatkozások a virtuális hálózathoz az Azure Arc Private Link-hatókörök feloldásához. További információ: https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 1.2.0 |
| Azure Automation-fiókok konfigurálása privát DNS-zónákkal | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Az Azure Automation-fiókhoz az Azure Private Linken keresztüli csatlakozáshoz megfelelően konfigurált privát DNS-zónára van szükség. További információ: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Cache for Redis konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. A privát DNS-zónák csatolhatók a virtuális hálózathoz az Azure Cache for Redis feloldása érdekében. További információ: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Cognitive Search szolgáltatás feloldása érdekében. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Databricks-munkaterület konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Databricks-munkaterületekhez való feloldás érdekében. További információ: https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.1 |
| Azure Device Update konfigurálása IoT Hub-fiókokhoz privát DNS-zónák használatára | Az Azure saját DNS megbízható, biztonságos DNS-szolgáltatást biztosít a virtuális hálózat tartományneveinek kezeléséhez és feloldásához anélkül, hogy egyéni DNS-megoldást kellene hozzáadnia. Privát DNS-zónákkal felülbírálhatja a DNS-feloldást saját egyéni tartománynevekkel egy privát végponthoz. Ez a szabályzat egy privát DNS-zónát helyez üzembe az IoT Hub privát végpontjaihoz készült eszközfrissítéshez. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure File Sync konfigurálása privát DNS-zónák használatára | Ha egy regisztrált kiszolgálóról szeretné elérni a Storage Sync Service erőforrás-adaptereinek privát végpontjait, konfigurálnia kell a DNS-t, hogy feloldja a megfelelő neveket a privát végpont privát IP-címére. Ez a szabályzat létrehozza a szükséges Azure saját DNS Zóna és A rekordokat a Storage Sync Service privát végpont(ok) interfészeihez. | DeployIfNotExists, Disabled | 1.1.0 |
| Azure HDInsight-fürtök konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure HDInsight-fürtökhöz való feloldás érdekében. További információ: https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Key Vaultok konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz, hogy feloldja a kulcstartót. További információ: https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Az Azure Machine Tanulás-munkaterület konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Machine Tanulás-munkaterületekhez való feloldás érdekében. További információ: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Azure Managed Grafana-munkaterületek konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Managed Grafana-munkaterületekhez való feloldás érdekében. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Media Services konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz a Media Services-fiók feloldása érdekében. További információ: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Media Services konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Media Services-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure Migrate-erőforrások konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Migrate-projekt megoldásához. További információ: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Monitor privát kapcsolati hatókörének konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. A privát DNS-zónák a virtuális hálózatra mutató hivatkozások, amelyek feloldják az Azure Monitor privát kapcsolati hatókörét. További információ: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure Synapse-munkaterületek konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Synapse-munkaterülethez való feloldás érdekében. További információ: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, Disabled | 2.0.0 |
| Az Azure Virtual Desktop gazdagépkészlet-erőforrásainak konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Virtual Desktop-erőforrások feloldása érdekében. További információ: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Virtual Desktop-munkaterület erőforrásainak konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Virtual Desktop-erőforrások feloldása érdekében. További információ: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Web PubSub Service konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Web PubSub szolgáltatáshoz való feloldás érdekében. További információ: https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| BotService-erőforrások konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz a BotService-hez kapcsolódó erőforrások feloldásához. További információ: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Cognitive Services-fiókok konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz a Cognitive Services-fiókokhoz való feloldás érdekében. További információ: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, Disabled | 1.0.0 |
| Tárolóregisztrációs adatbázisok konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. A tárolóregisztrációs adatbázishoz való feloldás érdekében egy privát DNS-zóna kapcsolódik a virtuális hálózathoz. További információ: https://aka.ms/privatednszone és https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.1 |
| CosmosDB-fiókok konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz a CosmosDB-fiók feloldása érdekében. További információ: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnosztikai beállítások konfigurálása azure-beli hálózati biztonsági csoportokhoz a Log Analytics-munkaterületre | Diagnosztikai beállítások üzembe helyezése az Azure Hálózati biztonsági csoportokban az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez. | DeployIfNotExists, Disabled | 1.0.0 |
| Lemezhozzáférés-erőforrások konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna a virtuális hálózathoz kapcsolódik, hogy feloldja a felügyelt lemezt. További információ: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Event Hub-névterek konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Event Hub-névterek feloldásához. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Az IoT Hub eszközkiépítési példányainak konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz, hogy feloldhassa az IoT Hub eszközkiépítési szolgáltatáspéldányát. További információ: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Hálózati biztonsági csoportok konfigurálása a forgalomelemzés engedélyezéséhez | A forgalomelemzés egy adott régióban üzemeltetett összes hálózati biztonsági csoport számára engedélyezhető a szabályzat létrehozása során megadott beállításokkal. Ha már engedélyezve van a Traffic Analytics, akkor a szabályzat nem írja felül a beállításait. A folyamatnaplók azokhoz a hálózati biztonsági csoportokhoz is engedélyezve vannak, amelyek nem rendelkeznek vele. A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. | DeployIfNotExists, Disabled | 1.2.0 |
| Hálózati biztonsági csoportok konfigurálása adott munkaterület, tárfiók és folyamatnapló-adatmegőrzési szabályzat használatára a forgalomelemzéshez | Ha már engedélyezve van a forgalomelemzés, akkor a szabályzat felülírja a meglévő beállításait a szabályzat létrehozásakor megadottakkal. A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. | DeployIfNotExists, Disabled | 1.2.0 |
| Privát DNS-zónák konfigurálása az alkalmazáskonfigurációhoz csatlakoztatott privát végpontokhoz | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna csatolható a virtuális hálózathoz az alkalmazáskonfigurációs példányok feloldásához. További információ: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónák konfigurálása az Azure Data Factoryhez csatlakozó privát végpontokhoz | saját DNS rekordok engedélyezik a privát végpontokhoz való privát kapcsolatokat. A privát végpontkapcsolatok lehetővé teszik a biztonságos kommunikációt azáltal, hogy lehetővé teszik az Azure Data Factoryhez való privát kapcsolatot anélkül, hogy nyilvános IP-címekre kellene szükség a forrásban vagy a célhelyen. További információ az Azure Data Factory privát végpontjairól és DNS-zónáiról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát kapcsolat konfigurálása az Azure AD-hez privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure AD-hez való feloldás érdekében. További információ: https://aka.ms/privateLinkforAzureADDocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Service Bus-névterek konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Privát DNS-zóna kapcsolódik a virtuális hálózathoz a Service Bus-névterek feloldásához. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Virtuális hálózat konfigurálása a Flow Log és a Traffic Analytics engedélyezéséhez | A forgalomelemzés és a flow-naplók egy adott régióban üzemeltetett összes virtuális hálózat esetében engedélyezhetők a szabályzat létrehozása során megadott beállításokkal. Ez a szabályzat nem írja felül azoknak a virtuális hálózatoknak az aktuális beállítását, amelyeken már engedélyezve van ez a funkció. A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. | DeployIfNotExists, Disabled | 1.1.1 |
| Virtuális hálózatok konfigurálása a munkaterület, a tárfiók és a megőrzési időköz kényszerítéséhez a Flow-naplókhoz és a Traffic Analyticshez | Ha egy virtuális hálózatban már engedélyezve van a forgalomelemzés, akkor ez a szabályzat felülírja a meglévő beállításait a szabályzat létrehozásakor megadottakkal. A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. | DeployIfNotExists, Disabled | 1.1.2 |
| Üzembe helyezés – Azure Event Grid-tartományok konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. További információ: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Üzembe helyezés – Azure Event Grid-témakörök konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. További információ: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Üzembe helyezés – Az Azure IoT Hubs konfigurálása privát DNS-zónák használatára | Az Azure saját DNS megbízható, biztonságos DNS-szolgáltatást biztosít a virtuális hálózat tartományneveinek kezeléséhez és feloldásához anélkül, hogy egyéni DNS-megoldást kellene hozzáadnia. Privát DNS-zónákkal felülbírálhatja a DNS-feloldást saját egyéni tartománynevekkel egy privát végponthoz. Ez a szabályzat privát DNS-zónát helyez üzembe az IoT Hub privát végpontjaihoz. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Üzembe helyezés – Az IoT Central konfigurálása privát DNS-zónák használatára | Az Azure saját DNS megbízható, biztonságos DNS-szolgáltatást biztosít a virtuális hálózat tartományneveinek kezeléséhez és feloldásához anélkül, hogy egyéni DNS-megoldást kellene hozzáadnia. Privát DNS-zónákkal felülbírálhatja a DNS-feloldást saját egyéni tartománynevekkel egy privát végponthoz. Ez a szabályzat egy privát DNS-zónát helyez üzembe az IoT Central privát végpontjaihoz. | DeployIfNotExists, Disabled | 1.0.0 |
| Üzembe helyezés – Privát DNS-zónák konfigurálása privát végpontokhoz az Azure SignalR Service-hez való csatlakozáshoz | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure SignalR-szolgáltatás erőforrásához való feloldás érdekében. További információ: https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Üzembe helyezés – Privát DNS-zónák konfigurálása a Batch-fiókokhoz csatlakozó privát végpontokhoz | saját DNS rekordok engedélyezik a privát végpontokhoz való privát kapcsolatokat. A privát végpontkapcsolatok lehetővé teszik a biztonságos kommunikációt azáltal, hogy lehetővé teszik a Batch-fiókokhoz való privát kapcsolatot anélkül, hogy nyilvános IP-címekre kellene szükség a forrásban vagy a célhelyen. További információ a Batch privát végpontjairól és DNS-zónáiról: https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Folyamatnapló-erőforrás üzembe helyezése célhálózati biztonsági csoporttal | Konfigurálja a folyamatnaplót adott hálózati biztonsági csoporthoz. Lehetővé teszi a hálózati biztonsági csoporton áthaladó IP-forgalomra vonatkozó adatok naplózását. A folyamatnapló segít azonosítani az ismeretlen vagy nem kívánt forgalmat, ellenőrizni a hálózatelkülönítést és a vállalati hozzáférési szabályoknak való megfelelést, elemezni a sérült IP-címekről és hálózati adapterekből származó hálózati folyamatokat. | deployIfNotExists | 1.1.0 |
| Folyamatnapló-erőforrás üzembe helyezése cél virtuális hálózattal | Konfigurálja a folyamatnaplót adott virtuális hálózathoz. Lehetővé teszi a virtuális hálózaton áthaladó IP-forgalomra vonatkozó adatok naplózását. A folyamatnapló segít azonosítani az ismeretlen vagy nem kívánt forgalmat, ellenőrizni a hálózatelkülönítést és a vállalati hozzáférési szabályoknak való megfelelést, elemezni a sérült IP-címekről és hálózati adapterekből származó hálózati folyamatokat. | DeployIfNotExists, Disabled | 1.1.1 |
| Diagnosztikai Gépház üzembe helyezése hálózati biztonsági csoportokhoz | Ez a szabályzat automatikusan üzembe helyezi a diagnosztikai beállításokat a hálózati biztonsági csoportokban. A rendszer automatikusan létrehoz egy "{storagePrefixParameter}{NSGLocation}" nevű tárfiókot. | deployIfNotExists | 2.0.1 |
| Network Watcher üzembe helyezése virtuális hálózatok létrehozásakor | Ez a szabályzat létrehoz egy hálózatfigyelő erőforrást a virtuális hálózatokkal rendelkező régiókban. Meg kell győződnie arról, hogy létezik egy networkWatcherRG nevű erőforráscsoport, amely a Network Watcher-példányok üzembe helyezéséhez lesz használva. | DeployIfNotExists | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a Bastions (microsoft.network/bastionhosts) számára az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for Bastionsba (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a Bastions (microsoft.network/bastionhosts) számára a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a Bastions (microsoft.network/bastionhosts) Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a Bastions (microsoft.network/bastionhosts) számára a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók Bastions-tárfiókba (microsoft.network/bastionhosts) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a tűzfalhoz (microsoft.network/azurefirewalls) a Log Analyticshez | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók tűzfalhoz készült Log Analytics-munkaterületre (microsoft.network/azurefirewalls) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a Front Door- és CDN-profilokhoz (microsoft.network/frontdoors) az Event Hubra | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for Front Door- és CDN-profilokhoz (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a Front Door- és CDN-profilokhoz (microsoft.network/frontdoors) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a Log Analytics-munkaterületre Front Door- és CDN-profilokhoz (microsoft.network/frontdoor). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a Front Door- és CDN-profilokhoz (microsoft.network/frontdoors) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók front door- és CDN-profilokhoz (microsoft.network/frontdoors) tartozó tárfiókba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a microsoft.network/p2svpngateways számára az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók microsoft.network/p2svpngateways eseményközpontba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a microsoft.network/p2svpngateways számára a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a microsoft.network/p2svpngateways Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a microsoft.network/p2svpngateways tárolóba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók microsoft.network/p2svpngateways tárfiókba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként nyilvános IP-címekhez (microsoft.network/publicipaddresses) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplóknak a nyilvános IP-címek (microsoft.network/publicipaddresses) eseményközpontba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Naplózás engedélyezése kategóriacsoportonként nyilvános IP-címekhez (microsoft.network/publicipaddresses) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Log Analytics-munkaterületre nyilvános IP-címekhez (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a nyilvános IP-címekhez (microsoft.network/publicipaddresses) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, a naplók átirányításához nyilvános IP-címek tárfiókjába (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a virtuális hálózati átjárókhoz (microsoft.network/virtualnetworkgateways) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, a naplók átirányításához egy Event Hub for Virtual Hálózati átjárókhoz (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a virtuális hálózati átjárókhoz (microsoft.network/virtualnetworkgateways) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a virtuális hálózati átjárók (microsoft.network/virtualnetworkgateways) Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a virtuális hálózati átjárók (microsoft.network/virtualnetworkgateways) számára a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a virtuális hálózati átjárók tárfiókjába (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Sebességkorlát-szabály engedélyezése az Azure Front Door WAF DDoS-támadásai elleni védelemhez | Az Azure Web Application Firewall (WAF) sebességkorlátozási szabálya az Azure Front Door esetében szabályozza az adott ügyfél IP-címéről az alkalmazásra irányuló kérések számát a sebességkorlát időtartama alatt. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tűzfalszabályzat prémium verziójának engedélyeznie kell az összes IDPS-aláírási szabályt az összes bejövő és kimenő forgalom figyeléséhez | Az összes behatolásészlelési és megelőzési rendszer (IDPS) aláírási szabályának engedélyezését a rendszer újrakonfigurálja a forgalom ismert fenyegetéseinek jobb azonosítása érdekében. Ha többet szeretne megtudni az Intrusion Detection and Prevention System (IDPS) aláírásokról az Azure Firewall Premium használatával, látogasson el https://aka.ms/fw-idps-signature | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Premium tűzfalszabályzatnak engedélyeznie kell a behatolásészlelési és -megelőzési rendszert (IDPS) | A behatolásészlelési és -megelőzési rendszer (IDPS) lehetővé teszi a hálózat rosszindulatú tevékenységek figyelését, a tevékenység naplóadatainak naplózását, jelentéskészítését és letiltásának megkísérlését. Ha többet szeretne megtudni a behatolásészlelési és -megelőzési rendszerről (IDPS) az Azure Firewall Premium használatával, látogasson el a https://aka.ms/fw-idps | Naplózás, megtagadás, letiltva | 1.0.0 |
| A folyamatnaplókat minden hálózati biztonsági csoporthoz konfigurálni kell | Hálózati biztonsági csoportok naplózása annak ellenőrzéséhez, hogy a folyamatnaplók konfigurálva vannak-e. A folyamatnaplók engedélyezésével naplózhatja a hálózati biztonsági csoporton áthaladó IP-forgalom adatait. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Naplózás, letiltva | 1.1.0 |
| Az átjáróalhálózatokat nem szabad hálózati biztonsági csoporttal konfigurálni | Ez a szabályzat tagadja, hogy egy átjáróalhálózat hálózati biztonsági csoporttal van-e konfigurálva. Ha hálózati biztonsági csoportot rendel egy átjáróalhálózathoz, az az átjáró működését leállítja. | elutasítás | 1.0.0 |
| WAF migrálása WAF-konfigurációból WAF-szabályzatba az Application Gatewayen | Ha WAF-szabályzat helyett WAF-konfigurációval rendelkezik, akkor érdemes lehet az új WAF-szabályzatra váltania. A tűzfalszabályzat a jövőben támogatja a WAF-házirend beállításait, a felügyelt szabálykészleteket, a kizárásokat és a letiltott szabálycsoportokat. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A hálózati adaptereket a jóváhagyott virtuális hálózat jóváhagyott alhálózatához kell csatlakoztatni | Ez a szabályzat megakadályozza, hogy a hálózati adapterek olyan virtuális hálózathoz vagy alhálózathoz csatlakozzanak, amely nincs jóváhagyva. https://aka.ms/VirtualEnclaves | Naplózás, megtagadás, letiltva | 1.0.0 |
| A hálózati adaptereknek le kell tiltania az IP-továbbítást | Ez a szabályzat nem engedélyezi az IP-továbbítást engedélyező hálózati adaptereket. Az IP-továbbítás beállítása letiltja az Azure-nak a hálózati adapter forrásának és céljának ellenőrzését. Ezt a hálózati biztonsági csapatnak kell áttekintenie. | elutasítás | 1.0.0 |
| A hálózati adaptereknek nem szabad nyilvános IP-címekkel rendelkezniük | Ez a szabályzat tagadja a nyilvános IP-címmel konfigurált hálózati adaptereket. A nyilvános IP-címek lehetővé teszik az internetes erőforrások bejövő kommunikációját az Azure-erőforrásokkal, valamint az Azure-erőforrások kimenő internetes kommunikációját. Ezt a hálózati biztonsági csapatnak kell áttekintenie. | elutasítás | 1.0.0 |
| A Network Watcher folyamatnaplóinak engedélyezniük kell a forgalomelemzést | A Traffic Analytics elemzi a folyamatnaplókat, hogy betekintést nyújtson az Azure-felhő forgalmi folyamatába. Segítségével megjelenítheti a hálózati tevékenységeket az Azure-előfizetésekben, azonosíthatja a gyakori pontokat, azonosíthatja a biztonsági fenyegetéseket, megismerheti a forgalmi mintákat, rögzítheti a hálózati helytelen konfigurációkat stb. | Naplózás, letiltva | 1.0.1 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| A nyilvános IP-címeknek engedélyezniük kell az erőforrásnaplókat az Azure DDoS Protectionhez | Engedélyezze az erőforrásnaplókat a diagnosztikai beállítások nyilvános IP-címeinek erőforrásnaplóihoz a Log Analytics-munkaterületre való streameléshez. Részletes betekintést kaphat a támadási forgalomba és az értesítéseken, jelentéseken és folyamatnaplókon keresztül végrehajtott DDoS-támadások enyhítésére tett műveletekbe. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az előfizetésnek úgy kell konfigurálnia az Azure Firewall Premiumot, hogy további védelmi réteget biztosítson | Az Azure Firewall Premium fejlett veszélyforrások elleni védelmet nyújt, amely megfelel a rendkívül érzékeny és szabályozott környezetek igényeinek. Telepítse az Azure Firewall Premiumot az előfizetésében, és győződjön meg arról, hogy az összes szolgáltatásforgalmat az Azure Firewall Premium védi. Ha többet szeretne megtudni az Azure Firewall Premiumról, látogasson el a https://aka.ms/fw-premium | AuditIfNotExists, Disabled | 1.0.0 |
| A virtuális gépeket jóváhagyott virtuális hálózathoz kell csatlakoztatni | Ez a szabályzat naplóz minden olyan virtuális gépet, amely nem jóváhagyott virtuális hálózathoz csatlakozik. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A virtuális hálózatokat az Azure DDoS Protectionnek kell védenie | Az Azure DDoS Protection használatával megvédheti virtuális hálózatait a mennyiségi és protokollos támadásoktól. További információ: https://aka.ms/ddosprotectiondocs. | Módosítás, naplózás, letiltva | 1.0.1 |
| A virtuális hálózatoknak a megadott virtuális hálózati átjárót kell használniuk | Ez a szabályzat minden virtuális hálózatot naplóz, ha az alapértelmezett útvonal nem a megadott virtuális hálózati átjáróra mutat. | AuditIfNotExists, Disabled | 1.0.0 |
| A VPN-átjáróknak csak Az Azure Active Directory (Azure AD) hitelesítését kell használniuk a pont–hely felhasználók számára | A helyi hitelesítési módszerek letiltása növeli a biztonságot azáltal, hogy a VPN-átjárók csak Azure Active Directory-identitásokat használnak a hitelesítéshez. További információ az Azure AD-hitelesítésről: https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Naplózás, megtagadás, letiltva | 1.0.0 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A webalkalmazási tűzfalnak (WAF) engedélyeznie kell az Application Gateway összes tűzfalszabályát | Az összes webalkalmazási tűzfal (WAF) szabály engedélyezése erősíti az alkalmazás biztonságát, és védi a webalkalmazásokat a gyakori biztonsági résekkel szemben. Ha többet szeretne megtudni a webalkalmazási tűzfalról (WAF) az Application Gateway használatával, látogasson el a https://aka.ms/waf-ag | Naplózás, megtagadás, letiltva | 1.0.1 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Application Gatewayhez | Az "Észlelés" vagy a "Megelőzés" mód használatát arra kötelezi, hogy aktív legyen az Application Gateway összes webalkalmazási tűzfalszabályzatán. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Azure Front Door Service-hez | Az "Észlelés" vagy a "Megelőzés" mód használatát az Azure Front Door Service webalkalmazási tűzfalszabályzatainak aktív használatára kötelezi. | Naplózás, megtagadás, letiltva | 1.0.0 |
Következő lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.