Definisi kebijakan bawaan Azure Policy
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy.
Nama setiap tautan bawaan ke definisi kebijakan di portal Microsoft Azure. Gunakan tautan di kolom Sumber untuk melihat sumber di repo GitHub Azure Policy. Bawaan dikelompokkan menurut properti kategori dalam metadata. Untuk masuk ke kategori tertentu, gunakan Ctrl-F untuk fitur pencarian browser Anda.
API untuk FHIR
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure API untuk FHIR harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengontrol enkripsi di seluruh data yang disimpan di Azure API untuk FHIR jika ini merupakan persyaratan peraturan atau kepatuhan. Kunci yang dikelola pelanggan juga memberikan enkripsi ganda dengan menambahkan enkripsi lapisan kedua di atas enkripsi default yang dilakukan dengan kunci yang dikelola layanan. | audit, Audit, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Azure API untuk FHIR harus menggunakan tautan pribadi | Azure API untuk FHIR harus memiliki setidaknya satu koneksi endpoint pribadi yang disetujui. Klien dalam jaringan virtual dapat dengan aman mengakses sumber daya yang memiliki koneksi titik akhir pribadi melalui tautan pribadi. Untuk informasi lebih lanjut, kunjungi: https://aka.ms/fhir-privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| CORS tidak boleh mengizinkan setiap domain mengakses API Anda untuk FHIR | Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses API Anda untuk FHIR. Untuk melindungi API Anda untuk FHIR, hapus akses untuk semua domain dan tentukan secara eksplisit domain yang diizinkan untuk terhubung. | audit, Audit, dinonaktifkan, Dinonaktifkan | 1.1.0 |
API Management
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| API Management API hanya boleh menggunakan protokol terenkripsi | Untuk memastikan keamanan data saat transit, API harus tersedia hanya melalui protokol terenkripsi, seperti HTTPS atau WSS. Hindari menggunakan protokol yang tidak aman, seperti HTTP atau WS. | Audit, Dinonaktifkan, Tolak | 2.0.2 |
| Panggilan API Management ke backend API harus diautentikasi | Panggilan dari API Management ke backend harus menggunakan beberapa bentuk autentikasi, baik melalui sertifikat atau kredensial. Tidak berlaku untuk backend Service Fabric. | Audit, Dinonaktifkan, Tolak | 1.0.1 |
| Panggilan API Management ke backend API tidak boleh melewati thumbprint sertifikat atau validasi nama | Untuk meningkatkan keamanan API, API Management harus memvalidasi sertifikat server backend untuk semua panggilan API. Aktifkan thumbprint sertifikat SSL dan validasi nama. | Audit, Dinonaktifkan, Tolak | 1.0.2 |
| Titik akhir manajemen langsung API Management tidak boleh diaktifkan | REST API manajemen langsung di Azure API Management melewati mekanisme kontrol akses, otorisasi, dan pembatasan berbasis peran Azure Resource Manager, sehingga meningkatkan kerentanan layanan Anda. | Audit, Dinonaktifkan, Tolak | 1.0.2 |
| Versi API minimum API Management harus diatur ke 01-12-2019 atau lebih baru | Untuk mencegah rahasia layanan dibagikan dengan pengguna baca-saja, versi API minimum harus diatur ke 01-12-2019 atau yang lebih baru. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Nilai bernama rahasia API Management harus disimpan di Azure Key Vault | Nilai bernama adalah kumpulan pasangan nama dan nilai di setiap layanan API Management. Nilai rahasia dapat disimpan baik sebagai teks terenkripsi dalam API Management (rahasia kustom) atau dengan merujuk rahasia di Azure Key Vault. Untuk meningkatkan keamanan API Management dan rahasia, referensikan rahasia bernama nilai dari Azure Key Vault. Azure Key Vault mendukung manajemen akses terperinci dan kebijakan rotasi rahasia. | Audit, Dinonaktifkan, Tolak | 1.0.2 |
| Layanan API Management harus menggunakan SKU yang mendukung jaringan virtual | Dengan SKU API Management yang didukung, menerapkan layanan ke jaringan virtual membuka fitur jaringan dan keamanan Manajemen API tingkat lanjut yang memberi Anda kontrol lebih besar atas konfigurasi keamanan jaringan Anda. Pelajari selengkapnya di: https://aka.ms/apimvnet. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Layanan API Management harus menggunakan jaringan virtual | Penyebaran Azure Virtual Network memberikan keamanan yang ditingkatkan, isolasi dan memungkinkan Anda untuk menempatkan layanan API Management Anda di jaringan non-internet routable yang Anda kontrol aksesnya. Jaringan ini kemudian dapat dihubungkan ke jaringan lokal Anda menggunakan berbagai teknologi VPN, yang memungkinkan akses ke layanan backend Anda dalam jaringan dan/atau lokal. Portal pengembang dan gateway API, dapat dikonfigurasi agar dapat diakses baik dari Internet atau hanya dalam jaringan virtual. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| API Management harus menonaktifkan akses jaringan publik ke titik akhir konfigurasi layanan | Untuk meningkatkan keamanan layanan API Management, batasi konektivitas ke titik akhir konfigurasi layanan, seperti API manajemen akses langsung, titik akhir manajemen konfigurasi Git, atau titik akhir konfigurasi gateway yang dihost sendiri. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| API Management harus menonaktifkan autentikasi nama pengguna dan kata sandi | Untuk mengamankan portal pengembang dengan lebih baik, autentikasi nama pengguna dan kata sandi di API Management harus dinonaktifkan. Konfigurasikan autentikasi pengguna melalui IdP Azure AD atau Azure AD B2C dan nonaktifkan autentikasi nama pengguna dan kata sandi default. | Audit, Dinonaktifkan | 1.0.1 |
| Langganan API Management tidak boleh dilingkup ke semua API | Langganan API Management harus dilingkup ke produk atau API individual alih-alih semua API, yang dapat mengakibatkan paparan data yang berlebihan. | Audit, Dinonaktifkan, Tolak | 1.1.0 |
| Versi platform Azure API Management harus stv2 | Azure API Management versi platform komputasi stv1 akan dihentikan efektif 31 Agustus 2024, dan instans ini harus dimigrasikan ke platform komputasi stv2 untuk dukungan berkelanjutan. Pelajari lebih lanjut di https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi layanan API Management untuk menonaktifkan akses ke titik akhir konfigurasi layanan publik API Management | Untuk meningkatkan keamanan layanan API Management, batasi konektivitas ke titik akhir konfigurasi layanan, seperti API manajemen akses langsung, titik akhir manajemen konfigurasi Git, atau titik akhir konfigurasi gateway yang dihost sendiri. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengubah API Management untuk menonaktifkan autentikasi nama pengguna dan kata sandi | Untuk mengamankan akun pengguna portal pengembang dan kredensial mereka dengan lebih baik, konfigurasikan autentikasi pengguna melalui penyedia identitas Azure AD atau Azure AD B2C dan nonaktifkan autentikasi nama pengguna dan kata sandi default. | Mengubah | 1.1.0 |
Konfigurasi Aplikasi
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure App Configuration harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya tidak terekspos di internet publik. Anda dapat membatasi paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure App Configuration harus menggunakan kunci yang dikelola pelanggan | Kunci yang dikelola pelanggan memberikan perlindungan data yang ditingkatkan dengan memungkinkan Anda mengelola kunci enkripsi. Ini sering diperlukan untuk memenuhi persyaratan kepatuhan. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Azure App Configuration harus menggunakan SKY yang mendukung tautan privat | Saat menggunakan SKU yang didukung, Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure App Configuration harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Penyimpanan Azure App Configuration harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa penyimpanan App Configuration memerlukan identitas Microsoft Entra secara eksklusif untuk autentikasi. Pelajari selengkapnya di: https://go.microsoft.com/fwlink/?linkid=2161954. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Mengonfigurasi penyimpanan Azure App Configuration untuk menonaktifkan metode autentikasi lokal | Nonaktifkan metode autentikasi lokal sehingga penyimpanan App Configuration Anda memerlukan identitas Microsoft Entra secara eksklusif untuk autentikasi. Pelajari selengkapnya di: https://go.microsoft.com/fwlink/?linkid=2161954. | Ubah, Non-fungsikan | 1.0.1 |
| Mengonfigurasi Azure App Configuration untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk Azure App Configuration sehingga tidak dapat diakses melalui internet publik. Konfigurasi ini membantu melindungi mereka dari risiko kebocoran data. Anda dapat membatasi paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasikan zona DNS privat untuk titik akhir privat yang tersambung ke App Configuration | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat bisa ditautkan ke jaringan virtual Anda untuk mengatasi instans konfigurasi aplikasi. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasi titik akhir privat untuk Azure App Configuration | Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Nonaktif | 1.0.0 |
Platform Aplikasi
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Audit instans Azure Spring Cloud, di mana pelacakan terdistribusi tidak diaktifkan | Alat pelacakan terdistribusi di Azure Spring Cloud memungkinkan penelusuran kesalahan dan pemantauan interkoneksi kompleks antar layanan mikro dalam aplikasi. Alat penelusuran terdistribusi harus diaktifkan dan dalam status sehat. | Audit, Dinonaktifkan | 1.0.0-preview |
| Azure Spring Cloud harus menggunakan injeksi jaringan | Instans Azure Spring Cloud harus menggunakan injeksi jaringan virtual untuk tujuan berikut: 1. Pisahkan Azure Spring Cloud dari Internet. 2. Aktifkan Azure Spring Cloud untuk berinteraksi dengan sistem baik di pusat data lokal atau layanan Azure di jaringan virtual lainnya. 3. Berdayakan pelanggan untuk mengontrol komunikasi jaringan masuk dan keluar untuk Azure Spring Cloud. | Audit, Dinonaktifkan, Tolak | 1.2.0 |
App Service
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Slot aplikasi App Service harus dimasukkan ke jaringan virtual | Memasukkan Aplikasi App Service di jaringan virtual membuka kunci keamanan dan jaringan App Service tingkat lanjut serta memberi Anda kontrol yang lebih besar atas konfigurasi keamanan jaringan. Pelajari selengkapnya di: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa App Service tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi tereksposnya App Service. Pelajari selengkapnya di: https://aka.ms/app-service-private-endpoint. | Audit, Dinonaktifkan, Tolak | 1.0.0 |
| Slot aplikasi App Service harus mengaktifkan perutean konfigurasi ke Azure Virtual Network | Secara default, konfigurasi aplikasi seperti menarik gambar kontainer dan memasang penyimpanan konten tidak akan dirutekan melalui integrasi jaringan virtual regional. Menggunakan API untuk mengatur opsi perutean ke true memungkinkan lalu lintas konfigurasi melalui Azure Virtual Network. Pengaturan ini memungkinkan fitur seperti grup keamanan jaringan dan rute yang ditentukan pengguna untuk digunakan, dan titik akhir layanan menjadi privat. Untuk informasi selengkapnya, kunjungi https://aka.ms/appservice-vnet-configuration-routing. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service harus mengaktifkan lalu lintas non-RFC 1918 keluar ke Azure Virtual Network | Secara default, jika seseorang menggunakan integrasi Azure Virtual Network (VNET) regional, aplikasi hanya merutekan lalu lintas RFC1918 ke jaringan virtual masing-masing. Menggunakan API untuk mengatur 'vnetRouteAllEnabled' ke true memungkinkan semua lalu lintas keluar ke Azure Virtual Network. Pengaturan ini memungkinkan fitur seperti grup keamanan jaringan dan rute yang ditentukan pengguna untuk digunakan untuk semua lalu lintas keluar dari aplikasi Azure App Service. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk) | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini berlaku untuk aplikasi dengan versi Http yang diatur ke 1.1. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service harus menonaktifkan metode autentikasi lokal untuk penyebaran FTP | Menonaktifkan metode autentikasi lokal untuk penyebaran FTP meningkatkan keamanan dengan memastikan bahwa slot App Service secara eksklusif memerlukan identitas Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Slot aplikasi App Service harus menonaktifkan metode autentikasi lokal untuk penyebaran situs SCM | Menonaktifkan metode autentikasi lokal untuk situs SCM meningkatkan keamanan dengan memastikan bahwa slot App Service secara eksklusif memerlukan identitas Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Dinonaktifkan | 1.0.4 |
| Slot aplikasi App Service harus menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Slot aplikasi App Service harus mengaktifkan log sumber daya | Audit yang mengaktifkan log sumber daya di aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service seharusnya tidak memiliki CORS yang dikonfigurasi untuk memungkinkan setiap sumber daya mengakses aplikasi Anda | Berbagi Sumber Daya Lintas Asal (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service hanya boleh dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 2.0.0 |
| Slot aplikasi Azure App Service harus memerlukan FTPS saja | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi Azure App Service harus menggunakan berbagi file Azure untuk direktori kontennya | Direktori konten aplikasi harus terletak di berbagi file Azure. Informasi akun penyimpanan untuk berbagi file harus disediakan sebelum aktivitas penerbitan apa pun. Untuk mempelajari lebih lanjut tentang menggunakan Azure Files untuk menghosting konten layanan aplikasi, lihat https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi App Service untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service yang menggunakan Java harus menggunakan 'versi Java' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Java terbaru untuk aplikasi App Service disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi Java yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service yang menggunakan PHP harus menggunakan 'versi PHP' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak PHP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi PHP terbaru untuk aplikasi App Service direkomendasikan agar memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi PHP yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service yang menggunakan Python harus menggunakan 'versi Python' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi App Service direkomendasikan supaya memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi Python yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aplikasi App Service harus dimasukkan ke jaringan virtual | Memasukkan Aplikasi App Service di jaringan virtual membuka kunci keamanan dan jaringan App Service tingkat lanjut serta memberi Anda kontrol yang lebih besar atas konfigurasi keamanan jaringan. Pelajari selengkapnya di: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Tolak, Dinonaktifkan | 3.0.0 |
| Aplikasi App Service harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa App Service tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi tereksposnya App Service. Pelajari selengkapnya di: https://aka.ms/app-service-private-endpoint. | Audit, Dinonaktifkan, Tolak | 1.1.0 |
| Aplikasi App Service harus mengaktifkan perutean konfigurasi ke Azure Virtual Network | Secara default, konfigurasi aplikasi seperti menarik gambar kontainer dan memasang penyimpanan konten tidak akan dirutekan melalui integrasi jaringan virtual regional. Menggunakan API untuk mengatur opsi perutean ke true memungkinkan lalu lintas konfigurasi melalui Azure Virtual Network. Pengaturan ini memungkinkan fitur seperti grup keamanan jaringan dan rute yang ditentukan pengguna untuk digunakan, dan titik akhir layanan menjadi privat. Untuk informasi selengkapnya, kunjungi https://aka.ms/appservice-vnet-configuration-routing. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Aplikasi App Service harus mengaktifkan lalu lintas non-RFC 1918 keluar ke Azure Virtual Network | Secara default, jika seseorang menggunakan integrasi Azure Virtual Network (VNET) regional, aplikasi hanya merutekan lalu lintas RFC1918 ke jaringan virtual masing-masing. Menggunakan API untuk mengatur 'vnetRouteAllEnabled' ke true memungkinkan semua lalu lintas keluar ke Azure Virtual Network. Pengaturan ini memungkinkan fitur seperti grup keamanan jaringan dan rute yang ditentukan pengguna untuk digunakan untuk semua lalu lintas keluar dari aplikasi Azure App Service. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Aplikasi App Service harus mengaktifkan autentikasi | Autentikasi Azure App Service adalah fitur yang dapat mencegah permintaan HTTP anonim mencapai aplikasi web, atau mengautentikasi permintaan HTTP yang memiliki token sebelum permintaan mencapai aplikasi web. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Aplikasi App Service harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk) | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini berlaku untuk aplikasi dengan versi Http yang diatur ke 1.1. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aplikasi App Service harus menonaktifkan metode autentikasi lokal untuk penyebaran FTP | Menonaktifkan metode autentikasi lokal untuk penyebaran FTP meningkatkan keamanan dengan memastikan bahwa App Services secara eksklusif memerlukan identitas Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Aplikasi App Service harus menonaktifkan metode autentikasi lokal untuk penyebaran situs SCM | Menonaktifkan metode autentikasi lokal untuk situs SCM meningkatkan keamanan dengan memastikan bahwa App Services secara eksklusif memerlukan identitas Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Aplikasi App Service harus menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Aplikasi App Service harus mengaktifkan log sumber daya | Audit yang mengaktifkan log sumber daya di aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Aplikasi App Service tidak boleh mengonfigurasi CORS untuk mengizinkan semua sumber daya untuk mengakses aplikasi Anda | Berbagi Sumber Daya Lintas Asal (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Anda. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Aplikasi App Service hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 4.0.0 |
| Aplikasi App Service hanya memerlukan FTPS | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi App Service harus menggunakan SKU yang mendukung tautan privat | Saat menggunakan SKU yang didukung, Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP yang publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke aplikasi, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/private-link. | Audit, Tolak, Dinonaktifkan | 4.1.0 |
| Aplikasi App Service harus menggunakan berbagi file Azure untuk direktori kontennya | Direktori konten aplikasi harus terletak di berbagi file Azure. Informasi akun penyimpanan untuk berbagi file harus disediakan sebelum aktivitas penerbitan apa pun. Untuk mempelajari lebih lanjut tentang menggunakan Azure Files untuk menghosting konten layanan aplikasi, lihat https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Dinonaktifkan | 3.0.0 |
| Aplikasi App Service harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Aplikasi App Service harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi App Service harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke App Service, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/private-link. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Aplikasi App Service harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi App Service untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Aplikasi App Service yang menggunakan Java harus menggunakan 'versi Java' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Java terbaru untuk aplikasi App Service disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi Java yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Aplikasi App Service yang menggunakan PHP harus menggunakan 'versi PHP' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak PHP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi PHP terbaru untuk aplikasi App Service direkomendasikan agar memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi PHP yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 3.2.0 |
| Aplikasi App Service yang menggunakan Python harus menggunakan 'versi Python' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi App Service direkomendasikan supaya memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi Python yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 4.1.0 |
| Aplikasi Lingkungan App Service tidak boleh dijangkau melalui internet publik | Untuk memastikan aplikasi yang diterapkan di Lingkungan Layanan Aplikasi tidak dapat diakses melalui internet publik, seseorang harus menggunakan App Service Lingkungan dengan alamat IP di jaringan virtual. Untuk mengatur alamat IP menjadi IP jaringan virtual, Lingkungan App Service harus digunakan dengan penyeimbang muatan internal. | Audit, Tolak, Dinonaktifkan | 3.0.0 |
| Lingkungan App Service harus dikonfigurasi dengan suite TLS Cipher terkuat | Dua suite cipher paling minim dan terkuat yang diperlukan agar Lingkungan App Service berfungsi dengan benar adalah: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 dan TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, Dinonaktifkan | 1.0.0 |
| Lingkungan App Service harus tersedia dalam versi terbaru | Hanya izinkan Lingkungan App Service versi 2 atau versi 3. Versi lama Lingkungan App Service memerlukan manajemen manual sumber daya Azure dan memiliki batasan penskalaan yang lebih besar. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Lingkungan App Service harus telah mengaktifkan enkripsi internal | Mengatur InternalEncryption ke true mengenkripsi pagefile, disk pekerja, dan lalu lintas jaringan internal antara ujung depan dan pekerja di Lingkungan App Service. Untuk mempelajari lebih lanjut, lihat https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Dinonaktifkan | 1.0.1 |
| Lingkungan App Service harus telah menonaktifkan TLS 1.0 dan 1.1 | TLS 1.0 dan 1.1 adalah protokol yang sudah kedaluwarsa yang tidak mendukung algoritme kriptografi modern. Menonaktifkan lalu lintas TLS 1.0 dan 1.1 masuk membantu mengamankan aplikasi di Lingkungan App Service. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
| Konfigurasikan slot aplikasi App Service untuk menonaktifkan autentikasi lokal untuk penyebaran FTP | Menonaktifkan metode autentikasi lokal untuk penyebaran FTP meningkatkan keamanan dengan memastikan bahwa slot App Service secara eksklusif memerlukan identitas Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Nonaktif | 1.0.3 |
| Konfigurasikan slot aplikasi App Service untuk menonaktifkan autentikasi lokal untuk situs SCM | Menonaktifkan metode autentikasi lokal untuk situs SCM meningkatkan keamanan dengan memastikan bahwa slot App Service secara eksklusif memerlukan identitas Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Nonaktif | 1.0.3 |
| Mengonfigurasi slot aplikasi App Service untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk App Services Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/app-service-private-endpoint. | Ubah, Non-fungsikan | 1.1.0 |
| Konfigurasikan slot aplikasi App Service agar hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Ubah, Non-fungsikan | 2.0.0 |
| Mengonfigurasi slot aplikasi App Service untuk menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi slot aplikasi App Service untuk menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi App Service untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Konfigurasikan aplikasi App Service untuk menonaktifkan autentikasi lokal untuk penyebaran FTP | Menonaktifkan metode autentikasi lokal untuk penyebaran FTP meningkatkan keamanan dengan memastikan bahwa App Services secara eksklusif memerlukan identitas Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Nonaktif | 1.0.3 |
| Konfigurasikan aplikasi App Service untuk menonaktifkan autentikasi lokal untuk situs SCM | Menonaktifkan metode autentikasi lokal untuk situs SCM meningkatkan keamanan dengan memastikan bahwa App Services secara eksklusif memerlukan identitas Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Nonaktif | 1.0.3 |
| Mengonfigurasi aplikasi App Service untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk App Services Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/app-service-private-endpoint. | Ubah, Non-fungsikan | 1.1.0 |
| Konfigurasikan aplikasi App Service agar hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Ubah, Non-fungsikan | 2.0.0 |
| Konfigurasikan aplikasi App Service untuk menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan aplikasi App Service untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS pribadi menautkan jaringan virtual ke App Service. Pelajari selengkapnya di: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Konfigurasikan aplikasi App Service untuk menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi App Service untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Mengonfigurasi slot aplikasi Fungsi untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk aplikasi Fungsi Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/app-service-private-endpoint. | Ubah, Non-fungsikan | 1.1.0 |
| Konfigurasikan slot aplikasi Fungsi untuk hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Ubah, Non-fungsikan | 2.0.0 |
| Mengonfigurasi slot aplikasi Fungsi untuk menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi slot aplikasi Fungsi untuk menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi aplikasi Fungsi untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk aplikasi Fungsi Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/app-service-private-endpoint. | Ubah, Non-fungsikan | 1.1.0 |
| Konfigurasikan aplikasi Fungsi untuk hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Ubah, Non-fungsikan | 2.0.0 |
| Konfigurasikan aplikasi Fungsi untuk menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan aplikasi Fungsi untuk menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Slot aplikasi fungsi harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa aplikasi Fungsi tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan Aplikasi Fungsi. Pelajari selengkapnya di: https://aka.ms/app-service-private-endpoint. | Audit, Dinonaktifkan, Tolak | 1.0.0 |
| Slot aplikasi fungsi harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk) | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini berlaku untuk aplikasi dengan versi Http yang diatur ke 1.1. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi fungsi harus menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi Fungsi tidak boleh mengonfigurasi CORS untuk mengizinkan semua sumber daya mengakses aplikasi Anda | Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi Fungsi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Fungsi Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi Fungsi harus hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 2.0.0 |
| Slot aplikasi Fungsi harus memerlukan FTPS saja | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi Fungsi harus menggunakan berbagi file Azure untuk direktori kontennya | Direktori konten aplikasi fungsi harus terletak di berbagi file Azure. Informasi akun penyimpanan untuk berbagi file harus disediakan sebelum aktivitas penerbitan apa pun. Untuk mempelajari lebih lanjut tentang menggunakan Azure Files untuk menghosting konten layanan aplikasi, lihat https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Dinonaktifkan | 1.0.0 |
| Slot aplikasi fungsi harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi fungsi harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi fungsi yang menggunakan Java harus menggunakan 'versi Java' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Java terbaru untuk aplikasi Fungsi disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi Java yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi fungsi yang menggunakan Python harus menggunakan 'versi Python' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi Fungsi disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi Python yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aplikasi fungsi harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa aplikasi Fungsi tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan Aplikasi Fungsi. Pelajari selengkapnya di: https://aka.ms/app-service-private-endpoint. | Audit, Dinonaktifkan, Tolak | 1.0.0 |
| Aplikasi Fungsi harus mengaktifkan autentikasi | Autentikasi Azure App Service adalah fitur yang dapat mencegah permintaan HTTP anonim mencapai aplikasi Fungsi, atau mengautentikasi permintaan HTTP yang memiliki token sebelum permintaan mencapai aplikasi Fungsi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi fungsi harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk) | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini berlaku untuk aplikasi dengan versi Http yang diatur ke 1.1. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aplikasi Fungsi harus menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Aplikasi Fungsi tidak boleh memiliki CORS yang terkonfigurasi untuk mengizinkan setiap sumber daya mengakses aplikasi Anda | Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi Fungsi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Fungsi Anda. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Aplikasi fungsi seharusnya hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 5.0.0 |
| Aplikasi Fungsi harus memerlukan hanya FTPS | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi Fungsi harus menggunakan file bersama Azure untuk direktori kontennya | Direktori konten aplikasi fungsi harus terletak di berbagi file Azure. Informasi akun penyimpanan untuk berbagi file harus disediakan sebelum aktivitas penerbitan apa pun. Untuk mempelajari lebih lanjut tentang menggunakan Azure Files untuk menghosting konten layanan aplikasi, lihat https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Dinonaktifkan | 3.0.0 |
| Aplikasi Fungsi harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Aplikasi Fungsi harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi Fungsi harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Aplikasi fungsi yang menggunakan Java harus menggunakan 'versi Java' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Java terbaru untuk aplikasi Fungsi disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi Java yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Aplikasi fungsi yang menggunakan Python harus menggunakan 'versi Python' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi Fungsi disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi Python yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 4.1.0 |
Pengesahan
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Penyedia layanan Azure Attestation harus menonaktifkan akses jaringan Publik | Untuk meningkatkan keamanan Layanan Azure Attestation, pastikan layanan tersebut tidak terekspos ke internet publik dan hanya bisa diakses dari titik akhir privat. Nonaktifkan properti akses jaringan publik seperti yang dideskripsikan dalam aka.ms/azureattestation. Opsi ini menonaktifkan akses dari ruang alamat publik apa pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Ini mengurangi risiko kebocoran data. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Penyedia Azure Attestation harus menggunakan titik akhir pribadi | Titik akhir pribadi menyediakan cara untuk menghubungkan penyedia Azure Attestation ke sumber daya Azure Anda tanpa mengirimkan lalu lintas melalui internet publik. Dengan mencegah akses publik, titik akhir pribadi membantu melindungi dari akses anonim yang tidak diinginkan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Automanage
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Identitas terkelola harus diaktifkan pada komputer Anda | Sumber daya yang dikelola oleh Automanage harus memiliki identitas terkelola. | Audit, Dinonaktifkan | 1.0.0-preview |
| [Pratinjau]: Penetapan Profil Konfigurasi Automanage harus Sesuai | Sumber daya yang dikelola oleh Automanage harus memiliki status Conformant atau ConformantCorrected. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Diagnostik Boot harus diaktifkan pada komputer virtual | Komputer virtual Azure harus mengaktifkan diagniostik boot. | Audit, Dinonaktifkan | 1.0.0-preview |
| Konfigurasikan komputer virtual untuk diorientasikan ke Azure Automanage | Azure Automanage mendaftarkan, mengonfigurasi, dan memantau komputer virtual dengan praktik terbaik seperti yang ditentukan dalam Microsoft Cloud Adoption Framework untuk Azure. Gunakan kebijakan ini untuk menerapkan Automanage ke lingkup yang Anda pilih. | AuditIfNotExists, DeployIfNotExists, Dinonaktifkan | 2.4.0 |
| Mengonfigurasikan mesin virtual untuk disetorkan ke Azure Automanage dengan Profil Konfigurasi Kustom | Azure Automanage mendaftarkan, mengonfigurasi, dan memantau komputer virtual dengan praktik terbaik seperti yang ditentukan dalam Microsoft Cloud Adoption Framework untuk Azure. Gunakan kebijakan ini untuk menerapkan Automanage dengan Profil Konfigurasi Anda sendiri yang disesuaikan ke cakupan yang Anda pilih. | AuditIfNotExists, DeployIfNotExists, Dinonaktifkan | 1.4.0 |
| Hotpatch harus diaktifkan untuk VM Windows Server Azure Edition | Minimalkan reboot dan segera instal pembaruan dengan hotpatch. Pelajari lebih lanjut di https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Automation
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun Automation harus memiliki Identitas Terkelola | Gunakan Identitas Terkelola sebagai metode yang disarankan untuk mengautentikasi dengan sumber daya Azure dari runbook. Identitas terkelola untuk autentikasi lebih aman dan menghilangkan overhead manajemen yang terkait dengan penggunaan Akun RunAs dalam kode runbook Anda . | Audit, Dinonaktifkan | 1.0.0 |
| Variabel akun otomatisasi harus dienkripsi | Penting untuk mengaktifkan enkripsi aset variabel akun Azure Automation saat menyimpan data sensitif | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Akun Automation harus menonakftikan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya tidak terekspos di internet publik. Anda dapat membatasi paparan sumber daya akun Automation Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari selengkapnya di: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun Azure Automation harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal akan meningkatkan keamanan dengan memastikan bahwa akun Azure Automation secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun Azure Automation harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif pada Akun Azure Automation Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/automation-cmk. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Konfigurasikan akun Azure Automation untuk menonaktifkan autentikasi lokal | Nonaktifkan metode autentikasi lokal agar akun Azure Automation Anda secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. | Ubah, Non-fungsikan | 1.0.0 |
| Konfigurasikan akun Azure Automation untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk akun Azure Automation agar tidak dapat diakses melalui internet publik. Konfigurasi ini membantu melindungi mereka dari risiko kebocoran data. Anda dapat membatasi paparan sumber daya akun Azure Automation Anda dengan membuat titik akhir pribadi sebagai gantinya. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasikan akun Azure Automation dengan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Anda memerlukan zona DNS privat yang dikonfigurasi dengan benar untuk tersambung ke akun Azure Automation melalui Azure Private Link. Pelajari selengkapnya di: https://aka.ms/privatednszone. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan koneksi titik akhir privat pada akun Azure Automation | Koneksi titik akhir pribadi memungkinkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke akun Azure Automation tanpa memerlukan alamat IP publik di sumber atau tujuan. Pelajari selengkapnya tentang titik akhir pribadi di Azure Automation di https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Koneksi titik akhir pribadi pada Akun Azure Automation harus diaktifkan | Koneksi titik akhir pribadi memungkinkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke akun Automation tanpa memerlukan alamat IP publik di sumber atau tujuan. Pelajari selengkapnya tentang titik akhir pribadi di Azure Automation di https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Azure Active Directory
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Domain terkelola Azure Active Directory Domain Services harus menggunakan mode TLS 1.2 saja | Gunakan mode TLS 1.2 saja untuk domain terkelola Anda. Secara default, Azure Active Directory Domain Services memungkinkan penggunaan sandi seperti NTLM v1 dan TLS v1. Cipher ini mungkin diperlukan untuk beberapa aplikasi warisan, tetapi dianggap lemah dan dapat dinonaktifkan jika Anda tidak membutuhkannya. Saat mode TLS 1.2 saja diaktifkan, setiap klien yang membuat permintaan yang tidak menggunakan TLS 1.2 akan gagal. Pelajari lebih lanjut di https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
Layanan Azure AI
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Sumber daya Azure AI Services harus menonaktifkan akses kunci (menonaktifkan autentikasi lokal) | Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Sumber daya Azure AI Services harus membatasi akses jaringan | Dengan membatasi akses jaringan, Anda dapat memastikan bahwa hanya jaringan yang diizinkan yang dapat mengakses layanan. Ini dapat dicapai dengan mengonfigurasi aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses layanan Azure AI. | Audit, Tolak, Dinonaktifkan | 3.2.0 |
| Mengonfigurasi sumber daya Azure AI Services untuk menonaktifkan akses kunci lokal (menonaktifkan autentikasi lokal) | Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi sumber daya Azure AI Services untuk menonaktifkan akses kunci lokal (menonaktifkan autentikasi lokal) | Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth | DeployIfNotExists, Nonaktif | 1.0.0 |
| Log diagnostik di sumber daya layanan Azure AI harus diaktifkan | Aktifkan log untuk sumber daya layanan Azure AI. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi, ketika insiden keamanan terjadi atau jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Azure Arc
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Tolak pembuatan atau modifikasi lisensi Extended Security Updates (ESUs). | Kebijakan ini memungkinkan Anda membatasi pembuatan atau modifikasi lisensi ESU untuk komputer Windows Server 2012 Arc. Untuk detail lebih lanjut tentang harga, silakan kunjungi https://aka.ms/ArcWS2012ESUPricing | Tolak, Dinonaktifkan | 1.0.0-preview |
| [Pratinjau]: Aktifkan lisensi Pembaruan Keamanan Diperpanjang (ESUs) untuk menjaga komputer Windows 2012 tetap terlindungi setelah siklus hidup dukungan mereka berakhir. | Aktifkan lisensi Extended Security Updates (ESUs) untuk menjaga komputer Windows 2012 tetap terlindungi bahkan setelah siklus hidup dukungan mereka berakhir. Pelajari Cara mempersiapkan pengiriman Pembaruan Keamanan Yang Diperpanjang untuk Windows Server 2012 melalui AzureArc silakan kunjungi https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Untuk detail lebih lanjut tentang harga, silakan kunjungi https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| Azure Arc Private Link Scopes harus dikonfigurasi dengan titik akhir privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Arc Private Link Scopes, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/arc/privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Azure Arc Private Link Scopes harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya Azure Arc tidak dapat terhubung melalui internet publik. Membuat titik akhir privat dapat membatasi paparan sumber daya Azure Arc. Pelajari selengkapnya di: https://aka.ms/arc/privatelink. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Kluster kubernetes dengan dukungan Azure Arc harus dikonfigurasi dengan Cakupan Azure Arc Private Link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan server berkemampuan Azure Arc Private Link Scope yang dikonfigurasi dengan titik akhir privat, risiko kebocoran data dapat berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/arc/privatelink. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Server dengan dukungan Azure Arc harus dikonfigurasi dengan Azure Arc Private Link Scope | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan server berkemampuan Azure Arc Private Link Scope yang dikonfigurasi dengan titik akhir privat, risiko kebocoran data dapat berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/arc/privatelink. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Konfigurasikan Azure Arc Private Link Scopes untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk Azure Arc Private Link Scope Anda sehingga sumber daya Azure Arc terkait tidak dapat terhubung ke layanan Azure Arc melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/arc/privatelink. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi Lingkup Private Link Azure Arc untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat tertaut ke jaringan virtual Anda untuk diselesaikan ke Lingkup Private Link Azure Arc. Pelajari selengkapnya di: https://aka.ms/arc/privatelink. | DeployIfNotExists, Nonaktif | 1.2.0 |
| Konfigurasikan Azure Arc Private Link Scopes dengan titik akhir pribadi | Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke Azure Arc Private Link Scopes, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/arc/privatelink. | DeployIfNotExists, Nonaktif | 2.0.0 |
| Mengonfigurasi kluster Kubernetes dengan dukungan Azure Arc untuk menggunakan Cakupan Azure Arc Private Link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan server berkemampuan Azure Arc Private Link Scope yang dikonfigurasi dengan titik akhir privat, risiko kebocoran data dapat berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/arc/privatelink. | Ubah, Non-fungsikan | 1.0.0 |
| Konfigurasikan server dengan dukungan Azure Arc untuk menggunakan Azure Arc Private Link Scope | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan server berkemampuan Azure Arc Private Link Scope yang dikonfigurasi dengan titik akhir privat, risiko kebocoran data dapat berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/arc/privatelink. | Ubah, Non-fungsikan | 1.0.0 |
Azure Data Explorer
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Semua Admin Database di Azure Data Explorer harus dinonaktifkan | Nonaktifkan semua peran admin database untuk membatasi pemberian peran pengguna yang sangat istimewa/administratif. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Kluster Azure Data Explorer harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke kluster Azure Data Explorer Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint. | Audit, Dinonaktifkan | 1.0.0 |
| Enkripsi Azure Data Explorer saat nonaktif harus menggunakan kunci yang dikelola pelanggan | Mengaktifkan enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan di kluster Azure Data Explorer Anda memberikan kontrol tambahan atas kunci yang digunakan oleh enkripsi saat tidak aktif. Fitur ini seringkali berlaku untuk pelanggan dengan persyaratan kepatuhan khusus dan memerlukan Gudang Kunci untuk mengelola kunci. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Data Explorer harus menggunakan SKU yang mendukung tautan privat | Saat menggunakan SKU yang didukung, Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP yang publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke aplikasi, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/private-link. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi kluster Azure Data Explorer dengan titik akhir privat | Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke Azure Data Explorer, Anda dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di: [ServiceSpecificAKA.ms]. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi Azure Data Explorer untuk menonaktifkan akses jaringan publik | Menonaktifkan properti akses jaringan publik mematikan konektivitas publik sehingga Azure Data Explorer hanya dapat diakses dari titik akhir privat. Konfigurasi ini menonaktifkan akses jaringan publik untuk semua kluster Azure Data Explorer . | Ubah, Non-fungsikan | 1.0.0 |
| Enkripsi disk harus diaktifkan di Azure Data Explorer | Mengaktifkan enkripsi disk membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Enkripsi ganda harus diaktifkan di Azure Data Explorer | Mengaktifkan enkripsi ganda membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Ketika enkripsi ganda telah diaktifkan, data di akun penyimpanan dienkripsi dua kali, sekali di tingkat layanan dan sekali di tingkat infrastruktur, menggunakan dua algoritme enkripsi yang berbeda dan dua kunci yang berbeda. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Akses jaringan publik di Azure Data Explorer harus dinonaktifkan | Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure Data Explorer hanya dapat diakses dari titik akhir privat. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Injeksi jaringan virtual harus diaktifkan untuk Azure Data Explorer | Mengamankan perimeter jaringan dengan injeksi jaringan virtual yang memungkinkan Anda menerapkan aturan kelompok keamanan jaringan, menyambungkan secara lokal, dan mengamankan sumber koneksi data dengan titik akhir layanan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Azure Databricks
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Kluster Azure Databricks harus menonaktifkan IP publik | Menonaktifkan IP publik kluster di Ruang Kerja Azure Databricks meningkatkan keamanan dengan memastikan bahwa kluster tidak terekspos di internet publik. Pelajari selengkapnya di: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Ruang Kerja Azure Databricks harus berada di jaringan virtual | Azure Virtual Networks menyediakan keamanan dan isolasi yang ditingkatkan untuk Ruang Kerja Azure Databricks Anda, serta subnet, kebijakan kontrol akses, dan fitur lainnya untuk membatasi akses lebih lanjut. Pelajari selengkapnya di: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Ruang kerja Azure Databricks harus SKU Premium yang mendukung fitur seperti tautan privat, kunci yang dikelola pelanggan untuk enkripsi | Hanya izinkan ruang kerja Databricks dengan Sku Premium yang dapat disebarkan organisasi Anda untuk mendukung fitur seperti Private Link, kunci yang dikelola pelanggan untuk enkripsi. Pelajari selengkapnya di: https://aka.ms/adbpe. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Ruang Kerja Azure Databricks harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya tidak terekspos di internet publik. Anda dapat mengontrol paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari selengkapnya di: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Ruang Kerja Azure Databricks harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke ruang kerja Azure Databricks, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/adbpe. | Audit, Dinonaktifkan | 1.0.2 |
| Mengonfigurasi ruang kerja Azure Databricks untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat ditautkan ke jaringan virtual Anda untuk diselesaikan ke ruang kerja Azure Databricks. Pelajari selengkapnya di: https://aka.ms/adbpe. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Mengonfigurasi Ruang Kerja Azure Databricks dengan titik akhir privat | Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke Ruang Kerja Azure Databricks, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/adbpe. | DeployIfNotExists, Nonaktif | 1.0.2 |
| Mengonfigurasi pengaturan diagnostik untuk Ruang Kerja Azure Databricks ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Ruang Kerja Azure Databricks untuk mengalirkan log sumber daya ke Ruang Kerja Analitik Log saat Ruang Kerja Azure Databricks apa pun yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Log sumber daya di Ruang Kerja Azure Databricks harus diaktifkan | Log sumber daya memungkinkan pembuatan ulang jejak aktivitas untuk digunakan untuk tujuan investigasi ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Azure Edge Hardware Center
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Perangkat Azure Edge Hardware Center harus mengaktifkan dukungan enkripsi ganda | Pastikan bahwa perangkat yang dipesan dari Azure Edge Hardware Center memiliki dukungan enkripsi ganda yang diaktifkan, untuk mengamankan data tidak aktif di perangkat. Opsi ini menambahkan enkripsi data lapis kedua. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Azure Load Testing
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Sumber daya pengujian beban Azure harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan (CMK) untuk mengelola enkripsi saat tidak aktif untuk sumber daya Azure Load Testing Anda. Secara default encryptio dilakukan menggunakan kunci yang dikelola Layanan, kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang Anda buat dan miliki. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Azure Purview
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun Azure Purview harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke akun Azure Purview, dan bukan ke seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/purview-private-link. | Audit, Dinonaktifkan | 1.0.0 |
Azure Stack Edge
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Perangkat Azure Stack Edge harus menggunakan enkripsi ganda | Untuk mengamankan data saat tidak aktif pada perangkat, pastikan data dienkripsi ganda, akses ke data dikontrol, dan setelah perangkat dinonaktifkan, data dihapus dengan aman dari disk data. Enkripsi ganda adalah penggunaan dua lapis enkripsi: enkripsi BitLocker XTS-AES 256-bit pada volume data dan enkripsi bawaan pada hard drive. Pelajari selengkapnya pada dokumentasi gambaran keamanan untuk perangkat Stack Edge tertentu. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
Azure Update Manager
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengonfigurasi pemeriksaan berkala untuk pembaruan sistem yang hilang di server yang didukung azure Arc | Konfigurasikan penilaian-otomatis (setiap 24 jam) untuk pembaruan OS di server yang mendukung Azure Arc. Anda bisa mengontrol cakupan penetapan sesuai dengan langganan mesin, grup sumber daya, lokasi atau tag. Pelajari hal ini lebih lanjut untuk Windows: https://aka.ms/computevm-windowspatchassessmentmode, untuk Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | ubah | 2.2.1 |
| Mengonfigurasi pemeriksaan berkala untuk pembaruan sistem yang hilang pada komputer virtual azure | Mengonfigurasi penilaian-otomatis (setiap 24 jam) untuk pembaruan OS pada mesin virtual Azure asli. Anda bisa mengontrol cakupan penetapan sesuai dengan langganan mesin, grup sumber daya, lokasi atau tag. Pelajari hal ini lebih lanjut untuk Windows: https://aka.ms/computevm-windowspatchassessmentmode, untuk Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | ubah | 4.8.0 |
| Komputer harus dikonfigurasi untuk memeriksa pembaruan sistem yang hilang secara berkala | Untuk memastikan penilaian berkala terhadap pembaruan sistem yang hilang dipicu secara otomatis setiap 24 jam, properti AssessmentMode harus diatur ke 'AutomaticByPlatform'. Pelajari selengkapnya tentang properti AssessmentMode untuk Windows: https://aka.ms/computevm-windowspatchassessmentmode, untuk Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Tolak, Dinonaktifkan | 3.7.0 |
| Menjadwalkan pembaruan berulang menggunakan Azure Update Manager | Anda dapat menggunakan Azure Update Manager di Azure untuk menyimpan jadwal penyebaran berulang untuk menginstal pembaruan sistem operasi untuk komputer Windows Server dan Linux Anda di Azure, di lingkungan lokal, dan di lingkungan cloud lain yang terhubung menggunakan server dengan dukungan Azure Arc. Kebijakan ini juga akan mengubah mode patch untuk Mesin Virtual Azure menjadi 'AutomaticByPlatform'. Lihat selengkapnya: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Nonaktif | 3.10.0 |
Cadangan
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Ekstensi Azure Backup harus diinstal di kluster AKS | Pastikan penginstalan perlindungan ekstensi cadangan di Kluster AKS Anda untuk memanfaatkan Azure Backup. Azure Backup for AKS adalah solusi perlindungan data asli yang aman dan cloud untuk kluster AKS | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Azure Backup harus diaktifkan untuk kluster AKS | Pastikan perlindungan Kluster AKS Anda dengan mengaktifkan Azure Backup. Azure Backup for AKS adalah solusi perlindungan data asli yang aman dan cloud untuk kluster AKS. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Azure Backup harus diaktifkan untuk Blob di Akun Penyimpanan | Pastikan perlindungan Akun Penyimpanan Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Azure Backup harus diaktifkan untuk Disk Terkelola | Pastikan perlindungan Disk Terkelola Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Azure Backup Vault harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data cadangan. Juga opsi untuk memberlakukan Enkripsi Infra. | Kebijakan ini mengikuti 'efek' jika Enkripsi Pengaturan diaktifkan untuk brankas Cadangan dalam cakupan. Selain itu, opsi untuk memeriksa apakah Backup Vault juga mengaktifkan Enkripsi Infrastruktur. Pelajari lebih lanjut di https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk. Harap dicatat bahwa ketika efek 'Tolak' digunakan, Anda perlu mengaktifkan Pengaturan Enkripsi pada Brankas Cadangan yang ada untuk memungkinkan operasi pembaruan lain pada vault dilalui. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Vault Azure Recovery Services harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa vault layanan pemulihan tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan vault layanan pemulihan. Pelajari selengkapnya di: https://aka.ms/AB-PublicNetworkAccess-Deny. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Vault Layanan Pemulihan Azure harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data cadangan | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di sisa data cadangan Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/AB-CmkEncryption. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Vault Layanan Pemulihan Azure harus menggunakan tautan pribadi untuk pencadangan | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke vault Azure Recovery Services, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/AB-PrivateEndpoints. | Audit, Dinonaktifkan | pratinjau-2.0.0 |
| [Pratinjau]: Mengonfigurasi vault Azure Recovery Services untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk vault layanan Pemulihan Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/AB-PublicNetworkAccess-Deny. | Ubah, Non-fungsikan | 1.0.0-preview |
| [Pratinjau]: Mengonfigurasi pencadangan untuk akun penyimpanan blob dengan tag tertentu ke vault cadangan pada wilayah yang sama | Terapkan pencadangan untuk blob di semua akun penyimpanan yang berisi tag tertentu ke vault cadangan pusat. Melakukan hal ini dapat membantu Anda mengelola cadangan blob yang terdapat di beberapa akun penyimpanan sesuai kebutuhan. Untuk detail selengkapnya, lihat https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | pratinjau-2.0.0 |
| [Pratinjau]: Mengonfigurasi pencadangan blob untuk semua akun penyimpanan yang tidak berisi tag tertentu ke vault cadangan di wilayah yang sama | Menerapkan pencadangan untuk blob di semua akun penyimpanan yang tidak berisi tag tertentu ke vault cadangan pusat. Melakukan hal ini dapat membantu Anda mengelola cadangan blob yang terdapat di beberapa akun penyimpanan sesuai kebutuhan. Untuk detail selengkapnya, lihat https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | pratinjau-2.0.0 |
| [Pratinjau]: Mengonfigurasi vault Layanan Pemulihan untuk menggunakan zona DNS privat bagi pencadangan | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat ditautkan ke jaringan virtual Anda untuk diselesaikan ke vault Recovery Services. Pelajari selengkapnya di: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, Nonaktif | 1.0.1-pratinjau |
| [Pratinjau]: Vault Konfigurasi Layanan Pemulihan untuk menggunakan titik akhir privat untuk pencadangan | Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke vault Recovery Services, Anda dapat mengurangi risiko kebocoran data. Perhatikan bahwa vault Anda harus memenuhi prasyarat tertentu agar memenuhi syarat untuk konfigurasi titik akhir privat. Pelajari lebih lanjut di : https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| [Pratinjau]: Nonaktifkan Pemulihan Lintas Langganan untuk vault Azure Recovery Services | Nonaktifkan atau Pemulihan Langganan Silang yang Dapat Dinonaktifkan secara Permanen untuk vault Layanan Pemulihan Anda sehingga target pemulihan tidak dapat berada dalam langganan yang berbeda dari langganan vault. Pelajari selengkapnya di: https://aka.ms/csrenhancements. | Ubah, Non-fungsikan | 1.1.0-pratinjau |
| [Pratinjau]: Nonaktifkan Pemulihan Lintas Langganan untuk Vault Cadangan | Nonaktifkan atau Pemulihan Langganan Silang yang Dapat Dinonaktifkan Secara Permanen untuk vault Cadangan Anda sehingga target pemulihan tidak dapat berada dalam langganan yang berbeda dari langganan vault. Pelajari selengkapnya di: https://aka.ms/csrstatechange. | Ubah, Non-fungsikan | 1.1.0-pratinjau |
| [Pratinjau]: Jangan izinkan pembuatan vault Layanan Pemulihan dari redundansi penyimpanan yang dipilih. | Vault Layanan Pemulihan dapat dibuat dengan salah satu dari tiga opsi redundansi penyimpanan saat ini, yaitu, Penyimpanan redundan lokal, penyimpanan Zona-redundan, dan penyimpanan Geo-redundan. Jika kebijakan di organisasi Anda mengharuskan Anda memblokir pembuatan vault yang termasuk dalam jenis redundansi tertentu, Anda mungkin mencapai hal yang sama menggunakan kebijakan Azure ini. | Tolak, Dinonaktifkan | 1.0.0-preview |
| [Pratinjau]: Kekekalan harus diaktifkan untuk brankas cadangan | Kebijakan ini mengaudit jika properti vault yang tidak dapat diubah diaktifkan untuk brankas Backup dalam cakupan. Ini membantu melindungi data cadangan Anda agar tidak dihapus sebelum kedaluwarsa yang dimaksudkan. Pelajari lebih lanjut di https://aka.ms/AB-ImmutableVaults. | Audit, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Kekekalan harus diaktifkan untuk vault Layanan Pemulihan | Kebijakan ini mengaudit jika properti vault yang tidak dapat diubah diaktifkan untuk vault Layanan Pemulihan dalam cakupan. Ini membantu melindungi data cadangan Anda agar tidak dihapus sebelum kedaluwarsa yang dimaksudkan. Pelajari lebih lanjut di https://aka.ms/AB-ImmutableVaults. | Audit, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Otorisasi Multi-Pengguna (MUA) harus diaktifkan untuk Brankas Cadangan. | Kebijakan ini mengaudit jika Otorisasi Multi-Pengguna (MUA) diaktifkan untuk Brankas Cadangan. MUA membantu mengamankan Backup Vault Anda dengan menambahkan lapisan perlindungan tambahan ke operasi penting. Untuk mempelajari lebih lanjut, kunjungi https://aka.ms/mua-for-bv. | Audit, Dinonaktifkan | 1.0.0-preview |
| [Pratinjau]: Otorisasi Multi-Pengguna (MUA) harus diaktifkan untuk Vault Layanan Pemulihan. | Kebijakan ini mengaudit jika Otorisasi Multi-Pengguna (MUA) diaktifkan untuk Vault Layanan Pemulihan. MUA membantu mengamankan Vault Layanan Pemulihan Anda dengan menambahkan lapisan perlindungan tambahan ke operasi penting. Untuk mempelajari lebih lanjut, kunjungi https://aka.ms/MUAforRSV. | Audit, Dinonaktifkan | 1.0.0-preview |
| [Pratinjau]: Penghapusan sementara harus diaktifkan untuk Vault Layanan Pemulihan. | Kebijakan ini mengaudit jika penghapusan sementara diaktifkan untuk Vault Layanan Pemulihan dalam cakupan. Penghapusan sementara dapat membantu Anda memulihkan data bahkan setelah dihapus. Pelajari lebih lanjut di https://aka.ms/AB-SoftDelete. | Audit, Dinonaktifkan | 1.0.0-preview |
| [Pratinjau]: Penghapusan sementara harus diaktifkan untuk Brankas Cadangan | Kebijakan ini mengaudit jika penghapusan sementara diaktifkan untuk brankas Cadangan dalam cakupan. Penghapusan sementara dapat membantu Anda memulihkan data setelah dihapus. Pelajari lebih lanjut di https://aka.ms/AB-SoftDelete | Audit, Dinonaktifkan | 1.0.0-preview |
| Azure Backup harus diaktifkan untuk Virtual Machines | Pastikan perlindungan Virtual Machines Azure Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Konfigurasikan pencadangan pada komputer virtual dengan tag yang ditentukan ke brankas layanan pemulihan baru dengan kebijakan default | Menerapkan cadangan untuk semua komputer virtual dengan menyebarkan brankas layanan pemulihan di lokasi dan grup sumber daya yang sama dengan komputer virtual. Tindakan ini berguna ketika tim aplikasi yang berbeda di organisasi Anda dialokasikan grup sumber daya terpisah dan perlu mengelola cadangan dan pemulihannya sendiri. Anda dapat secara opsional menyertakan komputer virtual yang berisi tag tertentu untuk mengontrol cakupan tugas. Lihat https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Konfigurasikan pencadangan pada komputer virtual dengan tag yang ditentukan ke brankas layanan pemulihan yang ada di lokasi yang sama | Menerapkan pencadangan untuk semua komputer virtual dengan mencadangkannya ke brankas layanan pemulihan pusat yang ada di lokasi dan langganan yang sama dengan komputer virtual. Tindakan ini berguna ketika ada tim pusat di organisasi Anda yang mengelola cadangan untuk semua sumber daya dalam langganan. Anda dapat secara opsional menyertakan komputer virtual yang berisi tag tertentu untuk mengontrol cakupan tugas. Lihat https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Konfigurasikan pencadangan pada komputer virtual tanpa tag yang ditentukan ke brankas layanan pemulihan baru dengan kebijakan default | Menerapkan cadangan untuk semua komputer virtual dengan menyebarkan brankas layanan pemulihan di lokasi dan grup sumber daya yang sama dengan komputer virtual. Tindakan ini berguna ketika tim aplikasi yang berbeda di organisasi Anda dialokasikan grup sumber daya terpisah dan perlu mengelola cadangan dan pemulihannya sendiri. Anda secara opsional dapat mengecualikan komputer virtual yang berisi tag tertentu untuk mengontrol cakupan tugas. Lihat https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Konfigurasikan cadangan pada komputer virtual tanpa tag yang ditentukan ke brankas layanan pemulihan yang ada di lokasi yang sama | Menerapkan pencadangan untuk semua komputer virtual dengan mencadangkannya ke brankas layanan pemulihan pusat yang ada di lokasi dan langganan yang sama dengan komputer virtual. Tindakan ini berguna ketika ada tim pusat di organisasi Anda yang mengelola cadangan untuk semua sumber daya dalam langganan. Anda secara opsional dapat mengecualikan komputer virtual yang berisi tag tertentu untuk mengontrol cakupan tugas. Lihat https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Sebarkan Pengaturan Diagnostik untuk Vault Layanan Pemulihan ke ruang kerja Analitik Log untuk kategori sumber daya tertentu. | Sebarkan Pengaturan Diagnostik untuk Vault Layanan Pemulihan untuk melakukan stream ke ruang kerja Analitik Log untuk kategori sumber daya tertentu. Jika salah satu kategori spesifik Sumber Daya tidak diaktifkan, pengaturan diagnostik baru dibuat. | deployIfNotExists | 1.0.2 |
Batch
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun Azure Batch harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari data akun Batch Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/Batch-CMK. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Kumpulan Azure Batch harus mengaktifkan enkripsi disk | Mengaktifkan enkripsi disk Azure Batch memastikan bahwa data selalu dienkripsi saat diam di simpul komputasi Azure Batch Anda. Pelajari selengkapnya tentang enkripsi disk dalam Batch di https://docs.microsoft.com/azure/batch/disk-encryption. | Audit, Dinonaktifkan, Tolak | 1.0.0 |
| Akun batch harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa akun Batch memerlukan identitas Azure Active Directory secara eksklusif untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/batch/auth. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi akun Batch untuk menonaktifkan autentikasi lokal | Nonaktifkan metode autentikasi lokasi sehingga akun Batch Anda memerlukan identitas Azure Active Directory secara eksklusif untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/batch/auth. | Ubah, Non-fungsikan | 1.0.0 |
| Konfigurasikan akun Batch untuk menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik pada akun Batch akan meningkatkan keamanan dengan memastikan bahwa akun Batch Anda hanya dapat diakses dari titik akhir privat. Pelajari lebih lanjut tentang menonaktifkan akses jaringan publik di https://docs.microsoft.com/azure/batch/private-connectivity. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi akun Batch dengan titik akhir privat | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke akun Batch, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Sebarkan - Mengonfigurasikan zona DNS privat untuk titik akhir privat yang tersambung ke akun Batch | Data DNS privat mengizinkan koneksi privat ke titik akhir privat. Koneksi titik akhir privat memungkinkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke akun Batch tanpa memerlukan alamat IP publik di sumber atau tujuan. Untuk mengetahui informasi selengkapnya tentang titik akhir privat dan zona DNS di Batch, lihat https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Aturan pemberitahuan metrik harus dikonfigurasi pada akun Batch | Konfigurasi audit aturan pemberitahuan metrik pada akun Batch untuk mengaktifkan metrik yang diperlukan | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Koneksi titik akhir privat pada akun Batch harus diaktifkan | Koneksi titik akhir privat memungkinkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke akun Batch tanpa memerlukan alamat IP publik di sumber atau tujuan. Pelajari lebih lanjut tentang titik akhir privat pada Batch di https://docs.microsoft.com/azure/batch/private-connectivity. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akses jaringan publik harus dinonaktifkan untuk akun Batch | Menonaktifkan akses jaringan publik pada akun Batch akan meningkatkan keamanan dengan memastikan bahwa akun Batch Anda hanya dapat diakses dari titik akhir privat. Pelajari lebih lanjut tentang menonaktifkan akses jaringan publik di https://docs.microsoft.com/azure/batch/private-connectivity. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Log sumber daya di akun Azure Batch harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
Layanan bot
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Titik akhir Bot Service harus berupa URI HTTPS yang valid | Data dapat diubah selama transmisi. Protokol ada yang menyediakan enkripsi untuk mengatasi masalah penyalahgunaan dan pengubahan. Untuk memastikan bot Anda hanya berkomunikasi melalui saluran terenkripsi, atur titik akhir ke URI HTTPS yang valid. Hal ini memastikan protokol HTTPS digunakan untuk mengenkripsi data Anda saat transit dan juga sering kali merupakan persyaratan untuk mematuhi standar peraturan atau industri. Silakan kunjungi: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Bot Service harus dienkripsi dengan kunci yang dikelola pelanggan | Azure Bot Service secara otomatis mengenkripsi sumber daya Anda untuk melindungi data Anda dan memenuhi komitmen keamanan dan kepatuhan organisasi. Secara default, kunci enkripsi yang dikelola Microsoft digunakan. Untuk fleksibilitas yang lebih besar dalam mengelola kunci atau mengontrol akses ke langganan Anda, pilih kunci yang dikelola pelanggan, juga dikenal sebagai bawa kunci Anda sendiri (BYOK). Pelajari selengkapnya tentang enkripsi Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Bot Service harus mengaktifkan mode terisolasi | Bot harus diatur ke mode 'hanya terisolasi'. Pengaturan ini mengonfigurasi saluran Bot Service yang mengharuskan lalu lintas melalui internet publik dinonaktifkan. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.0 |
| Bot Service harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal akan meningkatkan keamanan dengan memastikan bahwa bot menggunakan AAD secara eksklusif untuk autentikasi. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Bot Service harus menonaktifkan akses jaringan publik | Bot harus diatur ke mode 'hanya terisolasi'. Pengaturan ini mengonfigurasi saluran Bot Service yang mengharuskan lalu lintas melalui internet publik dinonaktifkan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Sumber daya BotService harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke sumber daya BotService Anda, risiko kebocoran data berkurang. | Audit, Dinonaktifkan | 1.0.0 |
| Mengonfigurasikan sumber daya BotService untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat tertaut ke jaringan virtual Anda untuk diselesaikan ke sumber daya yang terkait BotService. Pelajari selengkapnya di: https://aka.ms/privatednszone. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi sumber daya BotService dengan titik akhir privat | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke sumber daya BotService, Anda dapat mengurangi risiko kebocoran data. | DeployIfNotExists, Nonaktif | 1.0.0 |
Cache
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Cache for Redis harus menonaktifkan akses jaringan umum | Menonaktifkan akses jaringan umum meningkatkan keamanan dengan memastikan bahwa Azure Cache for Redis tidak terekspose di internet umum. Anda dapat membatasi paparan Azure Cache for Redis Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari selengkapnya di: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Cache for Redis harus menggunakan tautan privat | Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke instans Azure Cache for Redis Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi Azure Cache for Redis untuk menonaktifkan port non SSL | Aktifkan koneksi SSL saja ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasikan Azure Cache for Redis untuk menonaktifkan akses jaringan umum | Nonaktifkan akses jaringan umum untuk sumber daya Azure Cache for Redis sehingga tidak dapat diakses melalui internet umum. Ini membantu melindungi cache dari risiko kebocoran data. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi Azure Cache for Redis menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat dapat ditautkan ke jaringan virtual Anda untuk mengatasi Azure Cache for Redis. Pelajari selengkapnya di: https://aka.ms/privatednszone. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi Azure Cache for Redis dengan titik akhir privat | Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke sumber daya Azure Cache for Redis, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/redis/privateendpoint. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan | Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Audit, Tolak, Dinonaktifkan | 1.0.0 |
CDN
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Profil Azure Front Door harus menggunakan tingkat Premium yang mendukung aturan WAF terkelola dan link privat | Azure Front Door Premium mendukung aturan WAF yang dikelola Azure dan link privat ke asal Azure yang didukung. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Front Door Standard dan Premium harus menjalankan TLS minimum versi 1.2 | Mengatur versi TLS minimal ke 1.2 meningkatkan keamanan dengan memastikan domain khusus Anda diakses dari klien menggunakan TLS 1.2 atau yang lebih baru. Menggunakan TLS versi yang lebih lama dari 1.2 tidak disarankan karena lemah dan tidak mendukung algoritma kriptografi modern. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Amankan konektivitas privat antara Azure Front Door Premium dan Azure Storage Blob, atau Azure App Service | Link privat memastikan konektivitas privat antara AFD Premium dan Azure Storage Blob atau Azure App Service melalui jaringan backbone Azure, tanpa Azure Storage Blob atau Azure App Service terbuka secara publik ke internet. | Audit, Dinonaktifkan | 1.0.0 |
ChangeTrackingAndInventory
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Mengonfigurasi komputer berkemampuan Linux Arc untuk dikaitkan dengan Aturan Pengumpulan Data untuk ChangeTracking dan Inventaris | Sebarkan Asosiasi untuk menautkan komputer berkemampuan Linux Arc ke Aturan Pengumpulan Data tertentu untuk mengaktifkan ChangeTracking dan Inventaris. Daftar lokasi diperbarui dari waktu ke waktu karena dukungan meningkat. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| [Pratinjau]: Mengonfigurasi komputer berkemampuan Linux Arc untuk menginstal AMA untuk ChangeTracking dan Inventory | Mengotomatiskan penyebaran ekstensi Agen Azure Monitor di komputer berkemampuan Linux Arc Anda untuk mengaktifkan ChangeTracking dan Inventory. Kebijakan ini akan memasang ekstensi jika wilayah didukung. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 1.3.0-pratinjau |
| [Pratinjau]: Mengonfigurasi Komputer Virtual Linux untuk dikaitkan dengan Aturan Pengumpulan Data untuk ChangeTracking dan Inventaris | Sebarkan Asosiasi untuk menautkan komputer virtual Linux ke Aturan Pengumpulan Data yang ditentukan untuk mengaktifkan ChangeTracking dan Inventaris. Daftar lokasi dan citra OS diperbarui seiring dengan peningkatan dukungan. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| [Pratinjau]: Mengonfigurasi VM Linux untuk menginstal AMA untuk ChangeTracking dan Inventory dengan identitas terkelola yang ditetapkan pengguna | Otomatiskan penyebaran ekstensi Agen Azure Monitor di komputer virtual Linux Anda untuk mengaktifkan ChangeTracking dan Inventory. Kebijakan ini akan menginstal ekstensi dan mengonfigurasinya untuk menggunakan identitas terkelola yang ditetapkan pengguna yang ditentukan jika OS dan wilayah mendukung, dan melompati pemasangan sebaliknya. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 1.4.0-pratinjau |
| [Pratinjau]: Mengonfigurasi VMSS Linux untuk dikaitkan dengan Aturan Pengumpulan Data untuk ChangeTracking dan Inventaris | Sebarkan Asosiasi untuk menautkan set skala komputer virtual Linux ke Aturan Pengumpulan Data yang ditentukan untuk mengaktifkan ChangeTracking dan Inventaris. Daftar lokasi dan citra OS diperbarui seiring dengan peningkatan dukungan. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| [Pratinjau]: Mengonfigurasi VMSS Linux untuk menginstal AMA untuk ChangeTracking dan Inventory dengan identitas terkelola yang ditetapkan pengguna | Mengotomatiskan penyebaran ekstensi Azure Monitor Agent pada set skala komputer virtual Linux Anda untuk mengaktifkan ChangeTracking dan Inventory. Kebijakan ini akan menginstal ekstensi dan mengonfigurasinya untuk menggunakan identitas terkelola yang ditetapkan pengguna yang ditentukan jika OS dan wilayah mendukung, dan melompati pemasangan sebaliknya. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 1.3.0-pratinjau |
| [Pratinjau]: Mengonfigurasi komputer berkemampuan Windows Arc untuk dikaitkan dengan Aturan Pengumpulan Data untuk ChangeTracking dan Inventaris | Sebarkan Asosiasi untuk menautkan komputer berkemampuan Windows Arc ke Aturan Pengumpulan Data tertentu untuk mengaktifkan ChangeTracking dan Inventaris. Daftar lokasi diperbarui dari waktu ke waktu karena dukungan meningkat. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| [Pratinjau]: Mengonfigurasi komputer berkemampuan Windows Arc untuk menginstal AMA untuk ChangeTracking dan Inventory | Mengotomatiskan penyebaran ekstensi Agen Azure Monitor di komputer yang diaktifkan Windows Arc Anda untuk mengaktifkan ChangeTracking dan Inventory. Kebijakan ini akan menginstal ekstensi jika OS dan kawasan didukung serta identitas terkelola yang ditetapkan sistem diaktifkan, dan lewati penginstalan jika tidak. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| [Pratinjau]: Mengonfigurasi Windows Virtual Machines untuk dikaitkan dengan Aturan Pengumpulan Data untuk ChangeTracking dan Inventaris | Sebarkan Asosiasi untuk menautkan komputer virtual Windows ke Aturan Pengumpulan Data tertentu untuk mengaktifkan ChangeTracking dan Inventaris. Daftar lokasi dan citra OS diperbarui seiring dengan peningkatan dukungan. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| [Pratinjau]: Mengonfigurasi VM Windows untuk menginstal AMA untuk ChangeTracking dan Inventory dengan identitas terkelola yang ditetapkan pengguna | Mengotomatiskan penyebaran ekstensi Agen Azure Monitor di komputer virtual Windows Anda untuk mengaktifkan ChangeTracking dan Inventory. Kebijakan ini akan menginstal ekstensi dan mengonfigurasinya untuk menggunakan identitas terkelola yang ditetapkan pengguna yang ditentukan jika OS dan wilayah mendukung, dan melompati pemasangan sebaliknya. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| [Pratinjau]: Mengonfigurasi VMSS Windows untuk dikaitkan dengan Aturan Pengumpulan Data untuk ChangeTracking dan Inventaris | Sebarkan Asosiasi untuk menautkan set skala komputer virtual Windows ke Aturan Pengumpulan Data tertentu untuk mengaktifkan ChangeTracking dan Inventaris. Daftar lokasi dan citra OS diperbarui seiring dengan peningkatan dukungan. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| [Pratinjau]: Mengonfigurasi VMSS Windows untuk menginstal AMA untuk ChangeTracking dan Inventory dengan identitas terkelola yang ditetapkan pengguna | Mengotomatiskan penyebaran ekstensi Azure Monitor Agent pada set skala komputer virtual Windows Anda untuk mengaktifkan ChangeTracking dan Inventory. Kebijakan ini akan menginstal ekstensi dan mengonfigurasinya untuk menggunakan identitas terkelola yang ditetapkan pengguna yang ditentukan jika OS dan wilayah mendukung, dan melompati pemasangan sebaliknya. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
Cognitive Services
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun Azure Cognitive Services harus mengaktifkan enkripsi data dengan kunci yang dikelola pelanggan | Kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan terhadap peraturan. Kunci yang dikelola pelanggan memungkinkan data yang disimpan di Azure Cognitive Services dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut tentang kunci yang dikelola pelanggan di https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Akun Azure Cognitive Services harus menggunakan identitas terkelola | Menetapkan identitas terkelola ke akun Cognitive Service Anda membantu memastikan autentikasi yang aman. Identitas ini digunakan oleh akun layanan Cognitive ini untuk berkomunikasi dengan layanan Azure lainnya, seperti Azure Key Vault, dengan cara yang aman tanpa Anda harus mengelola informasi masuk apa pun. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun Azure Cognitive Services harus menggunakan penyimpanan milik pelanggan | Gunakan penyimpanan milik pelanggan untuk mengontrol data yang tersimpan saat posisi tidak aktif di Azure Cognitive Services. Untuk mempelajari selengkapnya tentang penyimpanan milik pelanggan, kunjungi https://aka.ms/cogsvc-cmk. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Azure Cognitive Services harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Services, Anda akan mengurangi potensi kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Dinonaktifkan | 3.0.0 |
| Mengonfigurasi akun Azure Cognitive Services untuk menonaktifkan metode autentikasi lokal | Nonaktifkan metode autentikasi lokal sehingga akun Azure Cognitive Services Anda memerlukan identitas Azure Active Directory khusus untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/cs/auth. | Ubah, Non-fungsikan | 1.0.0 |
| Konfigurasikan akun Azure Cognitive Services untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik pada sumber daya Azure Cognitive Services Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://go.microsoft.com/fwlink/?linkid=2129800. | Non-fungsikan, Ubah | 3.0.0 |
| Mengonfigurasikan akun Cognitive Services untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat ditautkan ke jaringan virtual Anda untuk diselesaikan ke akun Cognitive Services. Pelajari selengkapnya di: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan akun Azure Cognitive Services dengan titik akhir privat | Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke Azure Cognitive Services, Anda akan mengurangi potensi kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Nonaktif | 3.0.0 |
Compute
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| SKU ukuran komputer virtual yang diizinkan | Kebijakan ini memungkinkan Anda menentukan satu set SKU ukuran komputer virtual yang dapat disebarkan oleh organisasi Anda. | Tolak | 1.0.1 |
| Komputer virtual audit tanpa konfigurasi pemulihan bencana | Mengaudit komputer virtual yang tidak memiliki konfigurasi pemulihan bencana. Untuk mempelajari penemuan bencana lebih lanjut, buka https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Mengaudit VM yang tidak menggunakan disk terkelola | Kebijakan ini mengaudit VM yang tidak menggunakan disk terkelola | audit | 1.0.0 |
| Mengonfigurasikan pemulihan bencana pada mesin virtual dengan mengaktifkan replikasi melalui Azure Site Recovery | Komputer virtual tanpa konfigurasi pemulihan bencana rentan terhadap penghentian dan gangguan lainnya. Jika belum mengonfigurasi pemulihan bencana, komputer virtual akan mengonfigurasinya dengan mengaktifkan replikasi menggunakan konfigurasi yang diatur sebelumnya untuk memudahkan kelangsungan bisnis. Anda dapat secara opsional menyertakan/mengecualikan mesin virtual yang berisi tag tertentu untuk mengontrol cakupan penugasan. Untuk mempelajari penemuan bencana lebih lanjut, buka https://aka.ms/asr-doc. | DeployIfNotExists, Nonaktif | 2.1.0 |
| Mengonfigurasikan sumber daya akses disk untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat menautkan ke jaringan virtual Anda untuk mengatasi ke disk terkelola. Pelajari selengkapnya di: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan sumber daya akses disk dengan titik akhir privat | Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke sumber daya akses disk, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan disk terkelola untuk menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik untuk sumber daya disk terkelola Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/disksprivatelinksdoc. | Ubah, Non-fungsikan | 2.0.0 |
| Menyebarkan ekstensi Microsoft IaaSAntimalware default untuk Server Windows | Kebijakan ini menyebarkan ekstensi Microsoft IaaSAntimalware dengan konfigurasi default saat VM tidak dikonfigurasi dengan ekstensi antimalware. | deployIfNotExists | 1.1.0 |
| Sumber daya akses disk harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke diskAccesses, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Disk terkelola harus dienkripsi ganda dengan kunci yang dikelola platform dan kunci yang dikelola pelanggan | Pelanggan sensitif keamanan tinggi yang memiliki kekhawatiran atas risiko terkait algoritma enkripsi, implementasi, atau kunci tertentu yang disusupi dapat memilih lapisan enkripsi tambahan menggunakan algoritma/mode enkripsi yang berbeda pada lapisan infrastruktur menggunakan kunci enkripsi yang dikelola platform. Set enkripsi disk diperlukan untuk menggunakan enkripsi ganda. Pelajari lebih lanjut di https://aka.ms/disks-doubleEncryption. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Disk terkelola harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa disk terkelola tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi tereksposnya disk terkelola. Pelajari selengkapnya di: https://aka.ms/disksprivatelinksdoc. | Audit, Dinonaktifkan | 2.0.0 |
| Disk terkelola harus menggunakan set enkripsi disk tertentu untuk enkripsi kunci yang dikelola pelanggan | Mewajibkan set enkripsi disk tertentu untuk digunakan dengan disk terkelola memberi Anda kontrol atas kunci yang digunakan untuk enkripsi saat tidak digunakan. Anda dapat memilih set terenkripsi yang diizinkan dan set yang ditolak saat dikaitkan ke disk. Pelajari lebih lanjut di https://aka.ms/disks-cmk. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Microsoft Antimalware untuk Azure harus dikonfigurasi untuk memperbarui tanda tangan perlindungan secara otomatis | Kebijakan ini mengaudit komputer virtual Windows apa pun yang tidak dikonfigurasi dengan pembaruan otomatis tanda tangan perlindungan Microsoft Antimalware. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Ekstensi Microsoft IaaSAntimalware harus disebarkan di server Windows | Kebijakan ini mengaudit VM server Windows apa pun tanpa ekstensi Microsoft IaaSAntimalware yang diterapkan. | AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Hanya ekstensi VM yang disetujui yang dapat diinstal | Kebijakan ini mengatur ekstensi komputer virtual yang tidak disetujui. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Disk data dan OS harus dienkripsi dengan kunci yang dikelola pelanggan | Menggunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di seluruh konten disk terkelola Anda. Secara default, data dienkripsi saat tidak digunakan dengan kunci yang dikelola platform, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/disks-cmk. | Audit, Tolak, Dinonaktifkan | 3.0.0 |
| Lindungi data Anda dengan persyaratan autentikasi saat mengekspor atau mengunggah ke disk atau rekam jepret. | Saat URL ekspor/unggah digunakan, sistem memeriksa apakah pengguna memiliki identitas di Azure Active Directory dan memiliki izin yang diperlukan untuk mengekspor/mengunggah data. Silakan merujuk ke aka.ms/DisksAzureADAuth. | Ubah, Non-fungsikan | 1.0.0 |
| Wajibkan patching citra OS otomatis pada Virtual Machine Scale Sets | Kebijakan ini memberlakukan pengaktifkan citra OS otomatis pada Virtual Machine Scale Sets untuk menjaga Komputer Virtual tetap aman dengan menerapkan patch keamanan terbaru dengan aman setiap bulan. | tolak | 1.0.0 |
| Komputer virtual dan set skala komputer virtual harus mengaktifkan enkripsi pada host | Menggunakan enkripsi di host guna mendapatkan enkripsi end-to-end untuk komputer virtual dan data set skala komputer virtual. Enkripsi di host memungkinkan enkripsi saat tidak digunakan untuk disk sementara dan cache disk OS/data. Disk OS sementara dan tentatif akan dienkripsi dengan kunci yang dikelola platform saat enkripsi di host diaktifkan. Cache disk OS/data dienkripsi saat tidak digunakan dengan kunci yang dikelola pelanggan atau dikelola platform, bergantung pada jenis enkripsi yang dipilih pada disk. Pelajari lebih lanjut di https://aka.ms/vm-hbe. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Komputer virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru | Gunakan Azure Resource Manager baru untuk komputer virtual Anda untuk memberikan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penerapan dan tata kelola berbasis Azure Resource Manager, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, berbasis Azure Active Directory autentikasi dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Aplikasi Kontainer
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Autentikasi harus diaktifkan pada Container App | Autentikasi Container Apps adalah fitur yang dapat mencegah permintaan HTTP anonim mencapai Container Apps, atau mengautentikasi permintaan yang memiliki token sebelum mencapai Container Apps | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Lingkungan Container App harus menggunakan injeksi jaringan | Lingkungan Container Apps harus menggunakan injeksi jaringan virtual untuk: 1.Memisahkan Container Apps dari internet publik 2.Mengaktifkan integrasi jaringan dengan sumber daya lokal atau di jaringan virtual Azure lainnya 3.Mendapatkan kontrol yang lebih terperinci atas lalu lintas jaringan yang mengalir ke dan dari lingkungan. | Audit, Dinonaktifkan, Tolak | 1.0.2 |
| Container Apps harus dikonfigurasi dengan pemasangan volume | Terapkan penggunaan pemasangan volume untuk Container Apps untuk memastikan ketersediaan kapasitas penyimpanan persisten. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Lingkungan Container Apps harus menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk meningkatkan keamanan dengan mengekspos lingkungan Container Apps melalui load balancer internal. Ini menghilangkan kebutuhan akan alamat IP publik dan mencegah akses internet ke semua Container Apps dalam lingkungan. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Container Apps harus menonaktifkan akses jaringan eksternal | Nonaktifkan akses jaringan eksternal ke Container Apps Anda dengan menerapkan ingress internal saja. Ini akan memastikan komunikasi masuk untuk Container Apps terbatas pada penelepon dalam lingkungan Container Apps. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Container Apps hanya boleh diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Menonaktifkan 'allowInsecure' akan mengakibatkan pengalihan permintaan otomatis dari koneksi HTTP ke HTTPS untuk Container Apps. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Identitas Terkelola harus diaktifkan untuk Container Apps | Menerapkan identitas terkelola memastikan Container Apps dapat mengautentikasi dengan aman ke sumber daya apa pun yang mendukung autentikasi Azure AD | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Instans Kontainer
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Grup kontainer Azure Container Instance harus disebarkan ke jaringan virtual | Komunikasi aman antara kontainer Anda dengan Azure Virtual Network. Saat Anda menentukan jaringan virtual, sumber daya dalam jaringan virtual dapat berkomunikasi secara aman dan privat dengan satu sama lain. | Audit, Dinonaktifkan, Tolak | 2.0.0 |
| Grup kontainer Azure Container Instance harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Mengamankan kontainer Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan menyediakan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi utama atau menghapus data secara kriptografis. | Audit, Dinonaktifkan, Tolak | 1.0.0 |
| Mengonfigurasi pengaturan diagnostik untuk grup kontainer ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Instans Kontainer untuk mengalirkan log sumber daya ke ruang kerja Analitik Log saat instans kontainer apa pun yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Container Instances
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengonfigurasi diagnostik untuk grup kontainer ke ruang kerja analitik log | Menambahkan workspaceId analitik log dan workspaceKey yang ditentukan ketika grup kontainer apa pun yang tidak memiliki bidang ini dibuat atau diperbarui. Tidak mengubah bidang grup kontainer yang dibuat sebelum kebijakan ini diterapkan hingga grup sumber daya tersebut diubah. | Tambahkan, Dinonaktifkan | 1.0.0 |
Container Registry
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Konfigurasikan registri kontainer untuk menonaktifkan autentikasi anonim. | Nonaktifkan penarikan anonim untuk registri Anda sehingga data tidak dapat diakses oleh pengguna yang tidak diautentikasi. Menonaktifkan metode autentikasi lokal seperti pengguna admin, token akses cakupan repositori, dan penarikan anonim meningkatkan keamanan dengan memastikan bahwa pendaftar kontainer secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/acr/authentication. | Ubah, Non-fungsikan | 1.0.0 |
| Konfigurasikan registri kontainer untuk menonaktifkan autentikasi token audiens ARM. | Nonaktifkan token audiens Azure Active Directory ARM untuk autentikasi ke registri Anda. Hanya token audiens Azure Container Registry (ACR) yang akan digunakan untuk autentikasi. Ini akan memastikan hanya token yang dimaksudkan untuk penggunaan pada registri yang dapat digunakan untuk autentikasi. Menonaktifkan token audiens ARM tidak memengaruhi autentikasi token akses pengguna admin atau token akses tercakup. Pelajari selengkapnya di: https://aka.ms/acr/authentication. | Ubah, Non-fungsikan | 1.0.0 |
| Konfigurasikan registri kontainer untuk menonaktifkan akun admin lokal. | Nonaktifkan akun admin untuk registri Anda sehingga tidak dapat diakses oleh admin lokal. Menonaktifkan metode autentikasi lokal seperti pengguna admin, token akses cakupan repositori, dan penarikan anonim meningkatkan keamanan dengan memastikan bahwa registri kontainer secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/acr/authentication. | Ubah, Non-fungsikan | 1.0.1 |
| Mengonfigurasi Container registry untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk sumber daya Container Registry Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di https://aka.ms/acr/portal/public-network dan https://aka.ms/acr/private-link. | Ubah, Non-fungsikan | 1.0.0 |
| Konfigurasikan registri kontainer untuk menonaktifkan token akses terlingkup repositori. | Nonaktifkan token akses cakupan repositori untuk registri Anda sehingga repositori tidak dapat diakses oleh token. Menonaktifkan metode autentikasi lokal seperti pengguna admin, token akses cakupan repositori, dan penarikan anonim meningkatkan keamanan dengan memastikan bahwa pendaftar kontainer secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/acr/authentication. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi Container registry untuk menggunakan zona DNS pribadi | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS pribadi tertaut ke jaringan virtual Anda untuk diatasi ke Container Registry Anda. Pelajari selengkapnya di: https://aka.ms/privatednszone dan https://aka.ms/acr/private-link. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Mengonfigurasi Container registry dengan titik akhir pribadi | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir pribadi ke sumber daya container registry premium Anda, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints dan https://aka.ms/acr/private-link. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Pendaftaran penampung harus dienkripsi dengan kunci yang dikelola pelanggan | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif di seluruh isi disk terkelola Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/acr/CMK. | Audit, Tolak, Dinonaktifkan | 1.1.2 |
| Registri kontainer harus menonaktifkan autentikasi anonim. | Nonaktifkan penarikan anonim untuk registri Anda sehingga data tidak dapat diakses oleh pengguna yang tidak diautentikasi. Menonaktifkan metode autentikasi lokal seperti pengguna admin, token akses cakupan repositori, dan penarikan anonim meningkatkan keamanan dengan memastikan bahwa pendaftar kontainer secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/acr/authentication. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Registri kontainer harus menonaktifkan autentikasi token audiens ARM. | Nonaktifkan token audiens Azure Active Directory ARM untuk autentikasi ke registri Anda. Hanya token audiens Azure Container Registry (ACR) yang akan digunakan untuk autentikasi. Ini akan memastikan hanya token yang dimaksudkan untuk penggunaan pada registri yang dapat digunakan untuk autentikasi. Menonaktifkan token audiens ARM tidak memengaruhi autentikasi token akses pengguna admin atau token akses tercakup. Pelajari selengkapnya di: https://aka.ms/acr/authentication. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Fitur ekspor di registri kontainer harus sudah dinonaktifkan | Menonaktifkan fitur ekspor meningkatkan keamanan dengan memastikan bahwa data dalam registri hanya dapat diakses melalui dataplane ('docker pull'). Data tidak dapat dipindahkan dari registri melalui 'acr import' atau melalui 'acr transfer'. Untuk menonaktifkan fitur ekspor, akses jaringan publik harus dinonaktifkan. Pelajari selengkapnya di: https://aka.ms/acr/export-policy. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Registri kontainer harus menonaktifkan akun admin lokal. | Nonaktifkan akun admin untuk registri Anda sehingga tidak dapat diakses oleh admin lokal. Menonaktifkan metode autentikasi lokal seperti pengguna admin, token akses cakupan repositori, dan penarikan anonim meningkatkan keamanan dengan memastikan bahwa registri kontainer secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/acr/authentication. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Registri kontainer harus menonaktifkan token akses cakupan repositori. | Nonaktifkan token akses cakupan repositori untuk registri Anda sehingga repositori tidak dapat diakses oleh token. Menonaktifkan metode autentikasi lokal seperti pengguna admin, token akses cakupan repositori, dan penarikan anonim meningkatkan keamanan dengan memastikan bahwa pendaftar kontainer secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/acr/authentication. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Container registry harus memiliki SKU yang mendukung Private Link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://aka.ms/acr/private-link. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Registri kontainer tidak boleh mengizinkan akses jaringan yang tidak terbatas | Azure container registry secara default menerima koneksi melalui internet dari host di jaringan apa pun. Untuk melindungi registri Anda dari potensi ancaman, izinkan akses hanya dari titik akhir privat tertentu, alamat IP publik atau rentang alamat tertentu. Jika registri Anda tidak memiliki aturan jaringan yang dikonfigurasi, registri akan muncul di sumber daya yang tidak sehat. Pelajari lebih lanjut tentang aturan jaringan Container Registry di sini: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network dan https://aka.ms/acr/vnet. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Registri kontainer harus mencegah pembuatan aturan cache | Nonaktifkan pembuatan aturan cache untuk Azure Container Registry Anda untuk mencegah penarikan melalui tarikan cache. Pelajari selengkapnya di: https://aka.ms/acr/cache. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Registri kontainer harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. | Audit, Dinonaktifkan | 1.0.1 |
| Akses jaringan publik harus dinonaktifkan untuk registri Kontainer | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa container registry tidak terekspos di internet publik. Membuat titik akhir pribadi dapat membatasi paparan sumber daya container registry. Pelajari selengkapnya di: https://aka.ms/acr/portal/public-network dan https://aka.ms/acr/private-link. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Cosmos DB
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun Azure Cosmos DB harus memiliki aturan firewall | Aturan firewall harus ditentukan di akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Akun Azure Cosmos DB tidak boleh melebihi jumlah hari maksimum yang diizinkan sejak regenerasi kunci akun terakhir. | Regenerasi kunci Anda dalam waktu yang ditentukan untuk menjaga data Anda lebih terlindungi. | Audit, Dinonaktifkan | 1.0.0 |
| Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari Azure Cosmos DB Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/cosmosdb-cmk. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Lokasi yang diizinkan Azure Cosmos DB | Kebijakan ini memungkinkan Anda membatasi lokasi yang dapat ditentukan oleh organisasi Anda saat menyebarkan sumber daya Azure Cosmos DB. Gunakan untuk menerapkan persyaratan kepatuhan geografis Anda. | [parameters('policyEffect')] | 1.1.0 |
| Akses tulis metadata berbasis kunci Azure Cosmos DB harus dinonaktifkan | Kebijakan ini memungkinkan Anda memastikan semua akun Azure Cosmos DB menonaktifkan akses tulis metadata berbasis kunci. | append | 1.0.0 |
| Azure Cosmos DB harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa akun CosmosDB Anda tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan akun CosmosDB Anda. Pelajari selengkapnya di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Throughput Azure Cosmos DB harus dibatasi | Kebijakan ini memungkinkan Anda membatasi throughput maksimum yang dapat ditentukan organisasi saat membuat database dan kontainer Azure Cosmos DB melalui penyedia sumber daya. Ini memblokir pembuatan sumber daya skala otomatis. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Mengonfigurasi akun database Cosmos DB untuk menonaktifkan autentikasi lokal | Nonaktifkan metode autentikasi lokal sehingga akun Azure Cognitive Services Anda secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Ubah, Non-fungsikan | 1.1.0 |
| Mengonfigurasi akun CosmosDB untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk sumber daya CosmosDB Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Ubah, Non-fungsikan | 1.0.1 |
| Mengonfigurasikan akun CosmosDB untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat ditautkan ke jaringan virtual Anda untuk diselesaikan ke akun CosmosDB. Pelajari selengkapnya di: https://aka.ms/privatednszone. | DeployIfNotExists, Nonaktif | 2.0.0 |
| Konfigurasikan akun CosmosDB dengan titik akhir privat | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke akun CosmosDB Anda, risiko kebocoran data dapat berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Akun database Cosmos DB harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal akan meningkatkan keamanan dengan memastikan bahwa registri kontainer secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Akun CosmosDB harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke akun CosmosDB Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Dinonaktifkan | 1.0.0 |
| Menyebarkan Perlindungan Ancaman Tingkat Lanjut untuk Akun Cosmos DB | Kebijakan ini mengaktifkan Perlindungan Ancaman Lanjutan di seluruh akun Cosmos DB. | DeployIfNotExists, Nonaktif | 1.0.0 |
Penyedia Kustom
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Menyebarkan asosiasi untuk penyedia kustom | Menyebarkan sumber daya asosiasi yang mengaitkan jenis sumber daya yang dipilih ke penyedia kustom yang ditentukan. Penyebaran kebijakan ini tidak mendukung jenis sumber daya bertingkat. | deployIfNotExists | 1.0.0 |
Data Box
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pekerjaan Azure Data Box harus mengaktifkan enkripsi ganda untuk data tidak aktif di perangkat | Aktifkan enkripsi berbasis perangkat lunak lapisan kedua untuk data tidak aktif di perangkat. Perangkat sudah dilindungi melalui Standar Enkripsi Lanjutan enkripsi 256-bit untuk data saat tidak aktif. Opsi ini menambahkan enkripsi data lapis kedua. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Pekerjaan Azure Data Box harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi kata sandi pembuka kunci perangkat | Gunakan kunci yang dikelola pelanggan untuk mengontrol enkripsi kata sandi buka kunci perangkat untuk Azure Data Box. Kunci yang dikelola pelanggan juga membantu mengelola akses ke kata sandi buka kunci perangkat oleh layanan Azure Data Box untuk menyiapkan perangkat dan menyalin data secara otomatis. Data pada perangkat itu sendiri sudah dienkripsi saat istirahat dengan enkripsi Standar Enkripsi Lanjutan 256-bit, dan kata sandi pembuka kunci perangkat dienkripsi secara default dengan kunci yang dikelola Microsoft. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Data Factory
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Alur Azure Data Factory hanya boleh berkomunikasi dengan domain yang diizinkan | Untuk mencegah penyelundupan data & token, atur domain yang harus diizinkan untuk dikomunikasikan oleh Azure Data Factory. Catatan: Saat dalam pratinjau publik, kepatuhan untuk kebijakan ini tidak dilaporkan, & agar kebijakan diterapkan ke Data Factory, harap aktifkan fungsionalitas aturan keluar di studio ADF. Untuk informasi selengkapnya, kunjungi https://aka.ms/data-exfiltration-policy. | Tolak, Dinonaktifkan | 1.0.0-preview |
| Azure Data Factory harus dienkripsi dengan kunci yang dikelola pelanggan | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di seluruh Azure Data Factory Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/adf-cmk. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Runtime integrasi Azure Data Factory harus memiliki batas jumlah inti | Untuk mengelola sumber daya dan biaya, batasi jumlah inti runtime integrasi. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Jenis sumber daya layanan tertaut Azure Data Factory harus ada dalam daftar yang diizinkan | Tentukan daftar yang diizinkan untuk jenis layanan tertaut Azure Data Factory. Membatasi jenis sumber daya yang diizinkan memungkinkan kontrol atas batas pemindahan data. Misalnya, batasi cakupan untuk hanya mengizinkan penyimpanan blob dengan Data Lake Storage Gen1 dan Gen2 untuk analitik atau cakupan untuk hanya mengizinkan akses SQL dan Kusto untuk kueri real-time. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Layanan tertaut Azure Data Factory harus menggunakan Key Vault untuk menyimpan rahasia | Untuk memastikan rahasia (seperti string koneksi) dikelola dengan aman, pengguna harus memberikan rahasia menggunakan Azure Key Vault, bukan menentukannya secara sejajar di layanan tertaut. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Layanan tertaut Azure Data Factory harus menggunakan autentikasi identitas terkelola yang ditetapkan sistem jika didukung | Menggunakan identitas terkelola yang ditetapkan sistem saat berkomunikasi dengan penyimpanan data melalui layanan tertaut menghindari penggunaan kredensial yang kurang aman seperti kata sandi atau string koneksi. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Azure Data Factory harus menggunakan repositori Git untuk kontrol sumber | Konfigurasikan hanya pabrik data pengembangan Anda dengan integrasi Git. Perubahan pada pengujian dan produksi harus disebarkan melalui CI/CD dan TIDAK boleh memiliki integrasi Git. JANGAN terapkan kebijakan ini pada pabrik data QA / Test / Production Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Azure Data Factory harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Data Factory, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi Azure Data Factory untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk Azure Data Factory Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasikan zona DNS privat untuk titik akhir privat yang tersambung ke Azure Data Factory | Data DNS privat mengizinkan koneksi privat ke titik akhir privat. Koneksi titik akhir privat memungkinkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure Data Factory tanpa perlu alamat IP publik di sumber atau tujuan. Untuk mengetahui informasi selengkapnya tentang titik akhir privat dan zona DNS di Azure Data Factory, lihat https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi titik akhir privat untuk Azure Data Factory | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke Azure Data Factory, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Akses jaringan publik di Azure Data Factory harus dinonaktifkan | Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure Data Factory hanya dapat diakses dari titik akhir privat. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Runtime integrasi SSIS di Azure Data Factory harus digabungkan ke jaringan virtual | Penyebaran Azure Virtual Network meningkatkan keamanan dan isolasi untuk runtime integrasi SSIS Anda di Azure Data Factory, termasuk subnet, kebijakan kontrol akses, dan fitur lainnya untuk membatasi akses lebih lanjut. | Audit, Tolak, Dinonaktifkan | 2.3.0 |
Data Lake
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Memerlukan enkripsi pada akun Data Lake Store | Kebijakan ini memastikan enkripsi diaktifkan di semua akun Data Lake Store | tolak | 1.0.0 |
| Log sumber daya di Azure Data Lake Store harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Log sumber daya di Data Lake Analytics harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
Virtualisasi Desktop
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Hostpool Azure Virtual Desktop harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dan menjaga keamanan data Anda dengan memastikan bahwa akses ke layanan Azure Virtual Desktop tidak terekspos ke internet publik. Pelajari selengkapnya di: https://aka.ms/avdprivatelink. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Hostpool Azure Virtual Desktop harus menonaktifkan akses jaringan publik hanya pada host sesi | Menonaktifkan akses jaringan publik untuk host sesi hostpool Azure Virtual Desktop Anda, tetapi memungkinkan akses publik untuk pengguna akhir meningkatkan keamanan dengan membatasi paparan ke internet publik. Pelajari selengkapnya di: https://aka.ms/avdprivatelink. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Layanan Azure Virtual Desktop harus menggunakan tautan privat | Menggunakan Azure Private Link dengan sumber daya Azure Virtual Desktop Anda dapat meningkatkan keamanan dan menjaga keamanan data Anda. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/avdprivatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Ruang kerja Azure Virtual Desktop harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik untuk sumber daya ruang kerja Azure Virtual Desktop Anda mencegah umpan dapat diakses melalui internet publik. Mengizinkan hanya akses jaringan privat yang meningkatkan keamanan dan menjaga keamanan data Anda. Pelajari selengkapnya di: https://aka.ms/avdprivatelink. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi sumber daya hostpool Azure Virtual Desktop untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat ditautkan ke jaringan virtual Anda untuk diselesaikan ke sumber daya Azure Virtual Desktop. Pelajari selengkapnya di: https://aka.ms/privatednszone. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi hostpool Azure Virtual Desktop untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk host sesi dan pengguna akhir di sumber daya hostpool Azure Virtual Desktop Anda sehingga tidak dapat diakses melalui internet publik. Ini meningkatkan keamanan dan menjaga keamanan data Anda. Pelajari selengkapnya di: https://aka.ms/avdprivatelink. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi hostpool Azure Virtual Desktop untuk menonaktifkan akses jaringan publik hanya untuk host sesi | Nonaktifkan akses jaringan publik untuk host sesi hostpool Azure Virtual Desktop Anda, tetapi izinkan akses publik untuk pengguna akhir. Hal ini memungkinkan pengguna untuk tetap mengakses layanan AVD sambil memastikan host sesi hanya dapat diakses melalui rute privat. Pelajari selengkapnya di: https://aka.ms/avdprivatelink. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi hostpool Azure Virtual Desktop dengan titik akhir privat | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke sumber daya Azure Virtual Desktop, Anda dapat meningkatkan keamanan dan menjaga keamanan data Anda. Pelajari selengkapnya di: https://aka.ms/avdprivatelink. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi sumber daya ruang kerja Azure Virtual Desktop untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat ditautkan ke jaringan virtual Anda untuk diselesaikan ke sumber daya Azure Virtual Desktop. Pelajari selengkapnya di: https://aka.ms/privatednszone. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi ruang kerja Azure Virtual Desktop untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk sumber daya ruang kerja Azure Virtual Desktop Anda sehingga umpan tidak dapat diakses melalui internet publik. Ini meningkatkan keamanan dan menjaga keamanan data Anda. Pelajari selengkapnya di: https://aka.ms/avdprivatelink. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi ruang kerja Azure Virtual Desktop dengan titik akhir privat | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke sumber daya Azure Virtual Desktop, Anda dapat meningkatkan keamanan dan menjaga keamanan data Anda. Pelajari selengkapnya di: https://aka.ms/avdprivatelink. | DeployIfNotExists, Nonaktif | 1.0.0 |
DevCenter
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Kumpulan Microsoft Dev Box tidak boleh menggunakan Microsoft Hosted Networks. | Melarang penggunaan Microsoft Hosted Networks saat membuat sumber daya Pool. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
ElasticSan
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| ElasticSan harus menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk ElasticSan Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Grup Volume ElasticSan harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di seluruh VolumeGroup Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola platform, tetapi CMK biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda, dengan kontrol dan tanggung jawab penuh, termasuk rotasi dan manajemen. | Audit, Dinonaktifkan | 1.0.0 |
| Grup Volume ElasticSan harus menggunakan titik akhir privat | Titik akhir privat memungkinkan administrator menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke grup volume, administrator dapat mengurangi risiko kebocoran data | Audit, Dinonaktifkan | 1.0.0 |
Event Grid
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Domain Azure Event Grid harus mengaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya tidak terekspos di internet publik. Anda dapat membatasi paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Domain Azure Event Grid harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa domain Azure Event Grid secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/aeg-disablelocalauth. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Domain Azure Event Grid harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke domain Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Audit, Dinonaktifkan | 1.0.2 |
| Broker MQTT namespace Azure Event Grid harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace Layanan Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/aeg-ns-privateendpoints. | Audit, Dinonaktifkan | 1.0.0 |
| Broker topik namespace Layanan Azure Event Grid harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace Layanan Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/aeg-ns-privateendpoints. | Audit, Dinonaktifkan | 1.0.0 |
| Namespace Layanan Azure Event Grid harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya tidak terekspos di internet publik. Anda dapat membatasi paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari selengkapnya di: https://aka.ms/aeg-ns-privateendpoints. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Namespace mitra Azure Event Grid harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa namespace mitra Azure Event Grid secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/aeg-disablelocalauth. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Topik Azure Event Grid harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya tidak terekspos di internet publik. Anda dapat membatasi paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Topik Azure Event Grid harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa topik Azure Event Grid secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/aeg-disablelocalauth. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Topik Azure Event Grid harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke topik Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Audit, Dinonaktifkan | 1.0.2 |
| Konfigurasikan domain Azure Event Grid untuk menonaktifkan autentikasi lokal | Nonaktifkan metode autentikasi lokal sehingga domain Azure Event Grid Anda secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/aeg-disablelocalauth. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi broker MQTT namespace Azure Event Grid dengan titik akhir privat | Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke sumber daya Anda, titik akhir tersebut akan dilindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi namespace Azure Event Grid dengan titik akhir privat | Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke sumber daya Anda, titik akhir tersebut akan dilindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan namespace mitra Azure Event Grid untuk menonaktifkan autentikasi lokal | Nonaktifkan metode autentikasi lokal sehingga ruang nama mitra Azure Event Grid Anda secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/aeg-disablelocalauth. | Ubah, Non-fungsikan | 1.0.0 |
| Konfigurasikan topik Azure Event Grid untuk menonaktifkan autentikasi lokal | Nonaktifkan metode autentikasi lokal sehingga topik Azure Event Grid Anda secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/aeg-disablelocalauth. | Ubah, Non-fungsikan | 1.0.0 |
| Sebarkan - Konfigurasikan domain Azure Event Grid untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Pelajari selengkapnya di: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Dinonaktifkan | 1.1.0 |
| Sebarkan - Konfigurasikan domain Azure Event Grid dengan titik akhir privat | Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke sumber daya Anda, titik akhir tersebut akan dilindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Sebarkan - Mengonfigurasikan topik Azure Event Grid untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Pelajari selengkapnya di: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Dinonaktifkan | 1.1.0 |
| Sebarkan - Konfigurasikan topik Azure Event Grid dengan titik akhir privat | Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke sumber daya Anda, titik akhir tersebut akan dilindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Ubah - Konfigurasikan domain Azure Event Grid untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk sumber daya Azure Event Grid sehingga tidak dapat diakses melalui internet publik. Tindakan ini akan membantu melindungi mereka dari risiko kebocoran data. Anda dapat membatasi paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Ubah, Non-fungsikan | 1.0.0 |
| Ubah - Konfigurasikan topik Azure Event Grid untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk sumber daya Azure Event Grid sehingga tidak dapat diakses melalui internet publik. Tindakan ini akan membantu melindungi mereka dari risiko kebocoran data. Anda dapat membatasi paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Ubah, Non-fungsikan | 1.0.0 |
Pusat Aktivitas
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Semua aturan otorisasi kecuali RootManageSharedAccessKey harus dihapus dari namespace layanan Pusat Aktivitas | Klien Pusat Aktivitas tidak boleh menggunakan kebijakan akses tingkat namespace layanan yang menyediakan akses ke semua antrean dan topik pada namespace layanan. Untuk menyelaraskan dengan model keamanan hak istimewa minimal, Anda harus membuat kebijakan akses di tingkat entitas untuk antrean dan topik untuk menyediakan akses hanya ke entitas tertentu | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Aturan otorisasi pada instans Pusat Aktivitas harus ditentukan | Keberadaan audit pada aturan otorisasi pada entitas Pusat Aktivitas untuk memberikan akses izin terendah | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Namespace layanan Azure Event Hub harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa namespace Azure Event Hub secara eksklusif memerlukan identitas ID Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/disablelocalauth-eh. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Mengonfigurasikan namespace layanan Azure Event Hub untuk menonaktifkan autentikasi lokal | Nonaktifkan metode autentikasi lokal sehingga namespace Azure Event Hub Anda secara eksklusif memerlukan identitas ID Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/disablelocalauth-eh. | Ubah, Non-fungsikan | 1.0.1 |
| Mengonfigurasikan namespace layanan Event Hub untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat ditautkan ke jaringan virtual Anda untuk mengatasi ke namespace layanan Event Hub. Pelajari selengkapnya di: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan namespace layanan Pusat Aktivitas dengan titik akhir privat | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke namespace layanan Pusat Aktivitas, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Namespace Layanan Pusat Aktivitas harus menonaktifkan akses jaringan publik | Azure Event Hub harus menonaktifkan akses jaringan publik. Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya tidak terekspos di internet publik. Anda dapat membatasi paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/event-hubs/private-link-service | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Namespace Event Hub harus mengaktifkan enkripsi ganda | Mengaktifkan enkripsi ganda membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Ketika enkripsi ganda telah diaktifkan, data di akun penyimpanan dienkripsi dua kali, sekali di tingkat layanan dan sekali di tingkat infrastruktur, menggunakan dua algoritme enkripsi yang berbeda dan dua kunci yang berbeda. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Namespace layanan Pusat Aktivitas harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Pusat Aktivitas mendukung opsi enkripsi data tidak aktif dengan kunci yang dikelola Microsoft (default) atau kunci yang dikelola pelanggan. Memilih untuk mengenkripsi data menggunakan kunci yang dikelola pelanggan memungkinkan Anda untuk menetapkan, memutar, menonaktifkan, dan mencabut akses ke kunci yang akan digunakan Pusat Aktivitas untuk mengenkripsi data di namespace layanan Anda. Harap diingat bahwa Pusat Aktivitas hanya mendukung enkripsi dengan kunci yang dikelola pelanggan untuk namespace layanan di kluster khusus. | Audit, Dinonaktifkan | 1.0.0 |
| Namespace layanan Pusat Aktivitas harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Pusat Aktivitas, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Log sumber daya di Event Hub harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
Fluid Relay
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Fluid Relay harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di server Fluid Relay lainnya. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi CMK umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda, dengan kontrol dan tanggung jawab penuh, termasuk rotasi dan manajemen. Pelajari lebih lanjut di https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. | Audit, Dinonaktifkan | 1.0.0 |
Umum
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Lokasi yang diizinkan | Kebijakan ini memungkinkan Anda membatasi lokasi yang dapat ditentukan oleh organisasi Anda saat menggunakan sumber daya. Gunakan untuk menerapkan persyaratan kepatuhan geografis Anda. Tidak termasuk grup sumber daya, Microsoft.AzureActiveDirectory/b2cDirectories, dan sumber daya yang menggunakan wilayah 'global'. | tolak | 1.0.0 |
| Lokasi yang diizinkan untuk grup sumber daya | Kebijakan ini memungkinkan Anda membatasi lokasi tempat organisasi Anda dapat membuat sumber daya. Gunakan untuk menerapkan persyaratan kepatuhan geografis Anda. | tolak | 1.0.0 |
| Jenis sumber daya yang diizinkan | Kebijakan ini memungkinkan Anda menentukan jenis sumber daya yang dapat disebarkan oleh organisasi Anda. Hanya jenis sumber daya yang mendukung 'tag' dan 'lokasi' yang akan terpengaruh oleh kebijakan ini. Untuk membatasi semua sumber daya, silakan salin kebijakan ini dan ubah 'mode' menjadi 'Semua'. | tolak | 1.0.0 |
| Lokasi sumber daya audit cocok dengan lokasi grup sumber daya | Audit bahwa lokasi sumber daya cocok dengan lokasi grup sumber dayanya | audit | 2.0.0 |
| Mengaudit penggunaan peran RBAC kustom | Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman | Audit, Dinonaktifkan | 1.0.1 |
| Mengonfigurasi langganan untuk menyiapkan fitur pratinjau | Kebijakan ini mengevaluasi fitur pratinjau langganan yang ada. Langganan dapat diperbaiki untuk mendaftar ke fitur pratinjau baru. Langganan baru tidak akan didaftarkan secara otomatis. | AuditIfNotExists, DeployIfNotExists, Dinonaktifkan | 1.0.1 |
| Jangan izinkan penghapusan jenis sumber daya | Kebijakan ini memungkinkan Anda menentukan jenis sumber daya yang dapat dilindungi organisasi Anda dari penghapusan yang tidak disengaja dengan memblokir panggilan penghapusan menggunakan efek tindakan tolak. | DenyAction, Dinonaktifkan | 1.0.1 |
| Jangan Izinkan sumber daya M365 | Memblokir pembuatan sumber daya M365. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Jangan Izinkan sumber daya MCPP | Memblokir pembuatan sumber daya MCPP. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Mengecualikan Sumber Daya Biaya Penggunaan | Kebijakan ini memungkinkan Anda menjalankan Sumber Daya Biaya Penggunaan. Biaya penggunaan mencakup hal-hal seperti penyimpanan terukur dan sumber daya Azure yang ditagih berdasarkan penggunaan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Jenis sumber daya yang tidak diizinkan | Batasi jenis sumber daya mana yang dapat disebarkan di lingkungan Anda. Membatasi jenis sumber daya dapat mengurangi kompleksitas dan permukaan serangan lingkungan Anda sekaligus membantu mengelola biaya. Hasil kepatuhan hanya ditampilkan untuk sumber daya yang tidak patuh. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Konfigurasi Tamu
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Menambahkan identitas terkelola yang ditetapkan pengguna untuk mengaktifkan penetapan Konfigurasi Tamu pada komputer virtual | Kebijakan ini menambahkan identitas terkelola yang ditetapkan pengguna ke mesin virtual yang dihosting di Azure yang didukung oleh Konfigurasi Tamu. Identitas terkelola yang ditetapkan pengguna adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke mesin sebelum menggunakan definisi kebijakan Konfigurasi Tamu. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Dinonaktifkan | pratinjau-2.1.0 |
| [Pratinjau]: Konfigurasikan Windows Server untuk menonaktifkan pengguna lokal. | Membuat penetapan Konfigurasi Tamu untuk mengonfigurasi penonaktifan pengguna lokal di Windows Server. Ini memastikan bahwa Windows Server hanya dapat diakses oleh akun AAD (Azure Active Directory) atau daftar pengguna yang diizinkan secara eksplisit oleh kebijakan ini, meningkatkan postur keamanan secara keseluruhan. | DeployIfNotExists, Nonaktif | 1.2.0-preview |
| [Pratinjau]: Pembaruan Keamanan Diperpanjang harus diinstal pada komputer Windows Server 2012 Arc. | Komputer Windows Server 2012 Arc seharusnya telah menginstal semua Pembaruan Keamanan Diperpanjang yang dirilis oleh Microsoft. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Mesin Linux harus memenuhi persyaratan untuk dasar keamanan Azure untuk host Docker | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di garis besar keamanan Azure untuk host Docker. | AuditIfNotExists, Dinonaktifkan | 1.2.0-preview |
| [Pratinjau]: Komputer Linux harus memenuhi persyaratan kepatuhan STIG untuk komputasi Azure | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer tidak dikonfigurasi dengan benar untuk salah satu rekomendasi dalam persyaratan kepatuhan STIG untuk komputasi Azure. DISA (Badan Sistem Informasi Pertahanan) menyediakan panduan teknis STIG (Panduan Implementasi Teknis Keamanan) untuk mengamankan OS komputasi sebagaimana diwajibkan oleh Departemen Pertahanan (DoD). Untuk detail selengkapnya, https://public.cyber.mil/stigs/. | AuditIfNotExists, Dinonaktifkan | 1.2.0-preview |
| [Pratinjau]: Komputer Linux dengan OMI yang diinstal harus memiliki versi 1.6.8-1 atau yang lebih baru | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Karena perbaikan keamanan yang disertakan dalam versi 1.6.8-1 dari paket OMI untuk Linux, semua komputer harus diperbarui ke rilis terbaru. Tingkatkan aplikasi/paket yang menggunakan OMI untuk mengatasi masalah tersebut. Untuk informasi selengkapnya, lihat https://aka.ms/omiguidance . | AuditIfNotExists, Dinonaktifkan | 1.2.0-preview |
| [Pratinjau]: Komputer Komputasi Nexus harus memenuhi Garis Besar Keamanan | Menggunakan agen Konfigurasi Tamu Azure Policy untuk audit. Kebijakan ini memastikan bahwa mesin mematuhi garis besar keamanan komputasi Nexus, mencakup berbagai rekomendasi yang dirancang untuk membentengi mesin terhadap berbagai kerentanan dan konfigurasi yang tidak aman (hanya Linux). | AuditIfNotExists, Dinonaktifkan | 1.1.0-pratinjau |
| [Pratinjau]: Komputer Windows harus memenuhi persyaratan kepatuhan STIG untuk komputasi Azure | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin dianggap tidak patuh jika mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di persyaratan kepatuhan STIG untuk komputasi Azure. DISA (Badan Sistem Informasi Pertahanan) menyediakan panduan teknis STIG (Panduan Implementasi Teknis Keamanan) untuk mengamankan OS komputasi sebagaimana diwajibkan oleh Departemen Pertahanan (DoD). Untuk detail selengkapnya, https://public.cyber.mil/stigs/. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada komputer virtual tanpa identitas | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure dan didukung oleh Konfigurasi Tamu tetapi tidak memiliki identitas terkelola. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Tambahkan identitas terkelola yang ditetapkan sistem untuk mengaktifkan penugasan Konfigurasi Tamu pada VM dengan identitas yang ditetapkan pengguna | Kebijakan ini menambahkan identitas terkelola yang ditetapkan sistem ke komputer virtual yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu dan memiliki setidaknya satu identitas yang ditetapkan pengguna tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem adalah prasyarat untuk semua penetapan Konfigurasi Tamu dan harus ditambahkan ke komputer sebelum menggunakan definisi kebijaka apa pun. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | ubah | 4.1.0 |
| Mengaudit komputer Linux yang memungkinkan koneksi jarak jauh dari akun tanpa sandi | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux mengizinkan koneksi jarak jauh dari akun tanpa kata sandi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Audit mesin Linux yang tidak memiliki izin file passwd diatur ke 0644 | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux izin file kata sandinya tidak diatur ke 0644 | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Audit mesin Linux yang tidak memiliki aplikasi yang ditentukan terpasang | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika sumber daya Chef InSpec menunjukkan bahwa satu atau beberapa paket yang disediakan oleh parameter tidak terpasang. | AuditIfNotExists, Dinonaktifkan | 4.2.0 |
| Mengaudit komputer Linux yang memiliki akun tanpa kata sandi | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Linux memiliki akun tanpa kata sandi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Audit komputer Linux yang memiliki aplikasi yang ditentukan terpasang | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika sumber daya Chef InSpec menunjukkan bahwa satu atau beberapa paket yang disediakan oleh parameter terpasang. | AuditIfNotExists, Dinonaktifkan | 4.2.0 |
| Mengaudit komputer Windows tidak memiliki anggota yang ditentukan dalam grup Admin | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika grup administrator lokal tidak berisi satu atau lebih anggota yang tercantum dalam parameter kebijakan. | auditIfNotExists | 2.0.0 |
| Audit konektivitas jaringan komputer Windows | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika status koneksi jaringan ke port IP dan TCP tidak cocok dengan parameter kebijakan. | auditIfNotExists | 2.0.0 |
| Audit komputer Windows yang konfigurasi DSC-nya tidak patuh | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika perintah Windows PowerShell Get-DSCConfigurationStatus menampilkan bahwa konfigurasi DSC untuk komputer tidak sesuai. | auditIfNotExists | 3.0.0 |
| Mengaudit komputer Windows tempat agen Analitik Log tidak tersambung seperti yang diharapkan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika agen tidak diinstal, atau jika diinstal tetapi objek COM AgentConfigManager.MgmtSvcCfg mengembalikan bahwa itu terdaftar ke ruang kerja selain ID yang ditentukan dalam parameter kebijakan. | auditIfNotExists | 2.0.0 |
| Audit komputer Windows yang layanan yang ditentukannya tidak terpasang dan 'Berjalan' | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika hasil perintah Windows PowerShell Get-Service tidak menyertakan nama layanan dengan status pencocokan seperti yang ditentukan oleh parameter kebijakan. | auditIfNotExists | 3.0.0 |
| Audit komputer Windows yang Konsol Serial Windows-nya tidak diaktifkan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer tidak memiliki perangkat lunak Konsol Serial yang terpasang atau jika nomor port EMS atau tingkat baud tidak dikonfigurasi dengan nilai yang sama dengan parameter kebijakan. | auditIfNotExists | 3.0.0 |
| Mengaudit komputer Windows yang memungkinkan penggunaan kembali kata sandi setelah jumlah kata sandi unik yang ditentukan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows yang memungkinkan penggunaan kembali kata sandi setelah jumlah kata sandi unik yang ditentukan. Nilai default untuk kata sandi unik adalah 24 | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Audit komputer Windows yang tidak bergabung ke domain yang ditentukan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika nilai properti Domain di kelas WMI win32_computersystem tidak cocok dengan nilai dalam parameter kebijakan. | auditIfNotExists | 2.0.0 |
| Audit komputer Windows yang tidak diatur ke zona waktu yang ditentukan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika nilai properti StandardName di kelas WMI Win32_TimeZone tidak cocok dengan zona waktu yang dipilih untuk parameter kebijakan. | auditIfNotExists | 3.0.0 |
| Audit komputer Windows yang berisi sertifikat yang kedaluwarsa dalam jumlah hari yang ditentukan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika sertifikat di penyimpanan tertentu memiliki tanggal kedaluwarsa di luar rentang untuk jumlah hari yang ditentukan sebagai parameter. Kebijakan ini juga menyediakan opsi untuk hanya memeriksa sertifikat tertentu atau mengecualikan sertifikat tertentu, dan apakah akan melaporkan sertifikat yang kedaluwarsa. | auditIfNotExists | 2.0.0 |
| Mengaudit komputer Windows yang tidak berisi sertifikat yang ditentukan dalam Trusted Root | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika penyimpanan sertifikat Trusted Root komputer (Cert:\LocalMachine\Root) tidak berisi satu atau beberapa sertifikat yang dicantumkan oleh parameter kebijakan. | auditIfNotExists | 3.0.0 |
| Mengaudit komputer Windows yang tidak memiliki usia kata sandi maksimum yang diatur ke jumlah hari yang ditentukan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows yang tidak memiliki usia kata sandi maksimum yang diatur ke jumlah hari yang ditentukan. Nilai default untuk usia kata sandi maksimum adalah 70 hari | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Mengaudit komputer Windows yang tidak memiliki usia kata sandi minimum yang diatur ke jumlah hari yang ditentukan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows yang tidak memiliki usia kata sandi minimum yang diatur ke jumlah hari yang ditentukan. Nilai default untuk usia kata sandi minimum adalah 1 hari | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Audit komputer Windows dengan setelan kompleksitas kata sandi tidak diaktifkan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak memiliki setelan kompleksitas kata sandi yang diaktifkan | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Audit komputer Windows yang tidak memiliki kebijakan eksekusi Windows PowerShell yang ditentukan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika perintah Windows PowerShell Get-ExecutionPolicy menampilkan nilai selain yang dipilih dalam parameter kebijakan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Audit komputer Windows yang tidak memasang modul Windows PowerShell yang ditentukan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika modul tidak tersedia di lokasi yang ditentukan oleh variabel lingkungan PSModulePath. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Mengaudit komputer Windows yang tidak membatasi panjang kata sandi minimum untuk jumlah karakter yang ditentukan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows yang tidak membatasi panjang kata sandi minimum untuk jumlah karakter yang ditentukan. Nilai default untuk panjang kata sandi minimum adalah 14 karakter | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Mengaudit komputer Windows yang tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibalik | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer Windows tidak menyimpan kata sandi menggunakan enkripsi yang dapat dibatalkan | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Audit komputer Windows yang tidak memasang aplikasi yang ditentukan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika nama aplikasi tidak ditemukan di salah satu jalur registri berikut: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Mengaudit komputer Windows yang memiliki akun tambahan dalam grup Admin | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika grup administrator lokal berisi anggota yang tidak tercantum dalam parameter kebijakan. | auditIfNotExists | 2.0.0 |
| Audit komputer Windows yang tidak dihidupkan ulang dalam jumlah hari yang ditentukan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika properti WMI LastBootUpTime di kelas Win32_Operatingsystem berada di luar rentang hari yang disediakan oleh parameter kebijakan. | auditIfNotExists | 2.0.0 |
| Audit komputer Windows yang memasang aplikasi yang ditentukan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika nama aplikasi ditemukan di salah satu jalur registri berikut: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Mengaudit komputer Windows yang memiliki anggota yang ditentukan dalam grup Admin | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika grup Administrator lokal berisi satu atau lebih anggota yang tercantum dalam parameter kebijakan. | auditIfNotExists | 2.0.0 |
| Audit komputer virtual Windows dengan reboot yang tertunda | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika komputer menunda reboot karena salah satu alasan berikut: layanan berbasis komponen, Pembaruan Windows, ganti nama file tertunda, ganti nama komputer tertunda, reboot pengelola konfigurasi tertunda. Setiap deteksi memiliki jalur registri yang unik. | auditIfNotExists | 2.0.0 |
| Autentikasi ke komputer Linux memerlukan kunci SSH | Meskipun SSH sendiri menyediakan koneksi terenkripsi, menggunakan kata sandi dengan SSH masih membuat VM rentan terhadap serangan brute force. Opsi paling aman untuk mengautentikasi ke komputer virtual Linux Azure melalui SSH adalah dengan kunci publik-pribadi, juga dikenal sebagai kunci SSH. Pelajari selengkapnya: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Dinonaktifkan | 3.2.0 |
| Konfigurasikan Linux Server untuk menonaktifkan pengguna lokal. | Membuat penetapan Konfigurasi Tamu untuk mengonfigurasi penonaktifan pengguna lokal di Linux Server. Ini memastikan bahwa Server Linux hanya dapat diakses oleh akun AAD (Azure Active Directory) atau daftar pengguna yang diizinkan secara eksplisit oleh kebijakan ini, meningkatkan postur keamanan secara keseluruhan. | DeployIfNotExists, Nonaktif | 1.3.0-pratinjau |
| Mengonfigurasi protokol komunikasi aman (TLS 1.1 atau TLS 1.2) pada komputer Windows | Membuat penetapan Konfigurasi Tamu untuk mengonfigurasi versi protokol aman yang ditentukan (TLS 1.1 atau TLS 1.2) pada komputer Windows. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Konfigurasikan zona waktu pada komputer Windows. | Kebijakan ini membuat penugasan Konfigurasi Tamu untuk mengatur zona waktu tertentu pada komputer virtual Windows. | deployIfNotExists | 2.1.0 |
| Sebarkan ekstensi Konfigurasi Tamu Linux untuk mengaktifkan penugasan Konfigurasi Tamu di VM Linux | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Linux ke komputer virtual Linux yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Linux adalah prasyarat untuk semua penugasan Konfigurasi Tamu Linux dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Linux. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Sebarkan ekstensi Konfigurasi Tamu Windows untuk mengaktifkan penugasan Konfigurasi Tamu pada VM Windows | Kebijakan ini menyebarkan ekstensi Konfigurasi Tamu Windows ke komputer virtual Windows yang di-hosting di Azure yang didukung oleh Konfigurasi Tamu. Ekstensi Konfigurasi Tamu Windows adalah prasyarat untuk semua penugasan Konfigurasi Tamu Windows dan harus disebarkan ke komputer sebelum menggunakan definisi kebijakan Konfigurasi Tamu Windows. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Mesin Linux harus menginstal agen Analitik Log di Azure Arc | Mesin tidak sesuai jika agen Analitik Log tidak diinstal di server Linux yang didukung Azure Arc. | AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mesin Linux harus memenuhi persyaratan untuk dasar keamanan komputasi Azure | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di dasar keamanan komputasi Azure. | AuditIfNotExists, Dinonaktifkan | 2.2.0 |
| Komputer Linux hanya boleh memiliki akun lokal yang diizinkan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mengelola akun pengguna menggunakan Azure Active Directory adalah praktik terbaik untuk manajemen identitas. Mengurangi akun komputer lokal membantu mencegah penyebaran identitas terkelola di luar sistem pusat. Komputer tidak sesuai syarat jika ada akun pengguna lokal yang diaktifkan dan tidak tercantum dalam parameter kebijakan. | AuditIfNotExists, Dinonaktifkan | 2.2.0 |
| Komputer virtual Linux harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost. | Meskipun OS komputer virtual dan disk data dienkripsi saat tidak aktif secara default menggunakan kunci yang dikelola platform; disk sumber daya (disk sementara), cache data, dan data yang mengalir antara sumber daya Komputasi dan Penyimpanan tidak dienkripsi. Gunakan Azure Disk Encryption atau EncryptionAtHost untuk memulihkan. Kunjungi https://aka.ms/diskencryptioncomparison untuk membandingkan penawaran enkripsi. Kebijakan ini memerlukan dua prasyarat untuk disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 1.2.1 |
| Metode autentikasi lokal harus dinonaktifkan pada komputer Linux | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika server Linux tidak menonaktifkan metode autentikasi lokal. Ini untuk memvalidasi bahwa Server Linux hanya dapat diakses oleh akun AAD (Azure Active Directory) atau daftar pengguna yang diizinkan secara eksplisit oleh kebijakan ini, meningkatkan postur keamanan secara keseluruhan. | AuditIfNotExists, Dinonaktifkan | 1.2.0-preview |
| Metode autentikasi lokal harus dinonaktifkan di Windows Server | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Komputer tidak sesuai jika server Windows tidak menonaktifkan metode autentikasi lokal. Ini untuk memvalidasi bahwa Windows Server hanya dapat diakses oleh akun AAD (Azure Active Directory) atau daftar pengguna yang diizinkan secara eksplisit oleh kebijakan ini, meningkatkan postur keamanan secara keseluruhan. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| Titik akhir privat untuk penugasan Konfigurasi Tamu harus diaktifkan | Koneksi titik akhir privat memberlakukan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Konfigurasi Tamu untuk komputer virtual. Komputer virtual akan tidak sesuai kecuali mereka memiliki tag, 'EnablePrivateNetworkGC'. Tag ini memberlakukan komunikasi yang aman melalui konektivitas privat ke Konfigurasi Tamu untuk Komputer Virtual. Konektivitas privat membatasi akses ke lalu lintas yang hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk dalam Azure. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Windows Defender Exploit Guard harus diaktifkan di komputer Anda | Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows). | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Komputer Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman | Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, komputer Anda harus menggunakan versi terbaru protokol kriptografi standar industri, Keamanan Lapisan Transportasi (TLS). TLS mengamankan komunikasi melalui jaringan dengan mengenkripsi koneksi antar mesin. | AuditIfNotExists, Dinonaktifkan | 4.1.1 |
| Mesin Windows harus mengonfigurasi Windows Defender untuk memperbarui tanda tangan perlindungan dalam satu hari | Untuk memberikan perlindungan yang memadai terhadap malware yang baru dirilis, tanda tangan perlindungan Windows Defender perlu diperbarui secara teratur untuk menangani malware yang baru dirilis. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mesin Windows harus mengaktifkan perlindungan Real-time Windows Defender | Komputer Windows harus mengaktifkan perlindungan Real-time di Windows Defender untuk memberikan perlindungan yang memadai terhadap malware yang baru dirilis. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mesin Windows harus memasang agen Analitik Log di Azure Arc | Mesin tidak sesuai jika agen Analitik Log tidak diinstal di server windows yang didukung Azure Arc. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Komputer Windows harus memenuhi persyaratan untuk 'Template Administratif - Panel Kontrol' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Template Administratif - Panel Kontrol' untuk personalisasi input dan pencegahan pengaktifan layar penguncian. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan 'Template Administratif - MSS (Warisan)' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Template Administratif - MSS (Warisan)' untuk proses masuk otomatis, pengaman layar, perilaku jaringan, DLL aman, dan log peristiwa. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan untuk 'Templat Administratif - Jaringan' | Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Template Administratif - Jaringan' untuk login tamu, koneksi simultan, jembatan jaringan, ICS, dan resolusi nama multicast. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan 'Template Administratif - Sistem' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Template Administratif - Sistem' untuk pengaturan yang mengontrol pengalaman administratif dan Bantuan Jarak Jauh. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan untuk 'Opsi Keamanan: Akun' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Akun' untuk membatasi penggunaan akun lokal dari kata sandi kosong dan status akun tamu. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan untuk 'Opsi Keamanan: Audit' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Audit' untuk memaksa subkategori kebijakan audit dan mematikan jika tidak dapat mencatat audit keamanan. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan 'Opsi Keamanan - Perangkat' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Perangkat' untuk melepas tambatan tanpa masuk, memasang driver cetak, dan memformat/mengeluarkan media. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan 'Opsi Keamanan - Masuk Interaktif' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori ‘Opsi Keamanan - Masuk Interaktif’ untuk menampilkan nama pengguna terakhir dan mewajibkan ctrl-alt-del. Kebijakan ini mewajibkan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penugasan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan 'Opsi Keamanan - Klien Jaringan Microsoft' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Klien Jaringan Microsoft' untuk klien/server jaringan Microsoft dan SMB v1. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan untuk 'Opsi Keamanan - Server Jaringan Microsoft' | Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Server Jaringan Microsoft' untuk menonaktifkan server SMB v1. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan untuk 'Opsi Keamanan: Akses Jaringan' | Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Akses Jaringan' untuk menyertakan akses bagi pengguna anonim, akun lokal, dan akses jarak jauh ke registri. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan untuk 'Opsi Keamanan: Keamanan Jaringan' | Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Keamanan Jaringan' untuk menyertakan perilaku Sistem Lokal, PKU2U, Manajer LAN, klien LDAP, dan NTLM SSP. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan untuk 'Opsi Keamanan: Konsol pemulihan' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Konsol pemulihan' untuk memungkinkan penyalinan floppy dan akses ke semua drive dan folder. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan 'Opsi Keamanan - Matikan' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Matikan' untuk memungkinkan mati tanpa masuk dan membersihkan file halaman memori virtual. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan 'Opsi Keamanan - Objek sistem' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Objek sistem' untuk ketidakpekaan huruf besar/kecil untuk subsistem non-Windows dan izin objek sistem internal. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan 'Opsi Keamanan - Pengaturan sistem' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Pengaturan sistem' untuk aturan sertifikat pada file yang dapat dieksekusi untuk subsistem opsional dan SRP. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan untuk 'Opsi Keamanan: Kontrol Akun Pengguna' | Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Opsi Keamanan - Kontrol Akun Pengguna' untuk mode untuk admin, perilaku prompt elevasi, dan virtualisasi file dan kegagalan penulisan registri. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan untuk 'Pengaturan Keamanan: Kebijakan Akun' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Pengaturan Keamanan - Kebijakan Akun' untuk riwayat sandi, usia, panjang, kompleksitas, dan penyimpanan sandi menggunakan enkripsi yang dapat dibatalkan. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan 'Kebijakan Audit Sistem - Masuk Akun' | Komputer Windows harus memiliki setelan Kebijakan Grup yang ditentukan dalam kategori 'Kebijakan Audit Sistem - Masuk Akun' untuk mengaudit validasi kredensial dan peristiwa masuk akun lainnya. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan untuk 'Kebijakan Audit Sistem: Pengelolaan Akun' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Kebijakan Audit Sistem - Pengelolaan Akun' untuk mengaudit aplikasi, keamanan, dan pengelolaan grup pengguna, dan peristiwa pengelolaan lainnya. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan untuk 'Kebijakan Audit Sistem: Pelacakan Terperinci' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Kebijakan Audit Sistem - Pelacakan Terperinci' untuk mengaudit DPAPI, pembuatan/penghentian proses, peristiwa RPC, dan aktivitas PNP. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan 'Kebijakan Audit Sistem - Masuk-Keluar' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Kebijakan Audit Sistem - Masuk-Keluar' untuk mengaudit IPSec, kebijakan jaringan, klaim, penguncian akun, keanggotaan grup, dan peristiwa masuk/keluar. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan 'Kebijakan Audit Sistem - Akses Objek' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Kebijakan Audit Sistem - Akses Objek' untuk pengauditan file, registri, SAM, penyimpanan, pemfilteran, kernel, dan jenis sistem lainnya. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan untuk 'Kebijakan Audit Sistem: Perubahan Kebijakan' | Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Kebijakan Audit Sistem - Perubahan Kebijakan' untuk mengaudit perubahan kebijakan audit sistem. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan untuk 'Kebijakan Audit Sistem: Penggunaan Hak Istimewa' | Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Kebijakan Audit Sistem - Penggunaan Hak Istimewa' untuk mengaudit penggunaan hak istimewa yang tidak sensitif dan lainnya. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan 'Kebijakan Audit Sistem - Sistem' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Kebijakan Audit Sistem - Sistem' untuk mengaudit driver IPsec, integritas sistem, ekstensi sistem, perubahan status, dan peristiwa sistem lainnya. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan untuk 'Penugasan Hak Pengguna' | Mesin Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Penetapan Hak Pengguna' untuk mengizinkan masuk secara lokal, RDP, akses dari jaringan, dan banyak aktivitas pengguna lainnya. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan 'Komponen Windows' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Komponen Windows' untuk autentikasi dasar, lalu lintas tidak terenkripsi, akun Microsoft, telemetri, Cortana, dan perilaku Windows lainnya. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer Windows harus memenuhi persyaratan untuk 'Properti Windows Firewall' | Komputer Windows harus memiliki pengaturan Kebijakan Grup yang ditentukan dalam kategori 'Properti Windows Firewall' untuk status firewall, koneksi, pengelolaan aturan, dan pemberitahuan. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah diterapkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Mesin Windows harus memenuhi persyaratan dasar keamanan komputasi Azure | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di dasar keamanan komputasi Azure. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Komputer Windows hanya boleh memiliki akun lokal yang diizinkan | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Definisi ini tidak didukung di Windows Server 2012 atau 2012 R2. Mengelola akun pengguna menggunakan Azure Active Directory adalah praktik terbaik untuk manajemen identitas. Mengurangi akun komputer lokal membantu mencegah penyebaran identitas terkelola di luar sistem pusat. Komputer tidak sesuai syarat jika ada akun pengguna lokal yang diaktifkan dan tidak tercantum dalam parameter kebijakan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Mesin Windows harus menjadwalkan Windows Defender untuk melakukan pemindaian terjadwal setiap hari | Untuk memastikan deteksi malware yang cepat dan meminimalkan dampaknya pada sistem Anda, disarankan agar komputer Windows dengan Windows Defender menjadwalkan pemindaian harian. Pastikan Pertahanan Windows didukung, diinstal sebelumnya pada perangkat, dan prasyarat Konfigurasi Tamu disebarkan. Kegagalan untuk memenuhi persyaratan ini dapat menyebabkan hasil evaluasi yang tidak akurat. Pelajari selengkapnya tentang Konfigurasi Tamu di https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 1.2.0 |
| Mesin Windows harus menggunakan server NTP default | Atur 'time.windows.com' sebagai Server NTP default untuk semua mesin Windows guna memastikan log di semua sistem memiliki jam sistem yang semuanya sinkron. Kebijakan ini mengharuskan prasyarat Konfigurasi Tamu telah disebarkan ke cakupan penetapan kebijakan. Untuk informasi selengkapnya tentang Konfigurasi Tamu, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Komputer virtual Windows harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost. | Meskipun OS komputer virtual dan disk data dienkripsi saat tidak aktif secara default menggunakan kunci yang dikelola platform; disk sumber daya (disk sementara), cache data, dan data yang mengalir antara sumber daya Komputasi dan Penyimpanan tidak dienkripsi. Gunakan Azure Disk Encryption atau EncryptionAtHost untuk memulihkan. Kunjungi https://aka.ms/diskencryptioncomparison untuk membandingkan penawaran enkripsi. Kebijakan ini memerlukan dua prasyarat untuk disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 1.1.1 |
HDInsight
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Kluster Azure HDInsight harus dimasukkan ke jaringan virtual | Memasukkan kluster Azure HDInsight di jaringan virtual membuka fitur keamanan dan jaringan HDInsight tingkat lanjut serta memberi Anda kontrol atas konfigurasi keamanan jaringan. | Audit, Dinonaktifkan, Tolak | 1.0.0 |
| Kluster Azure HDInsight harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif kluster Azure HDInsight Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/hdi.cmk. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Kluster Azure HDInsight harus menggunakan enkripsi di host untuk mengenkripsi data tidak aktif | Mengaktifkan enkripsi di host membantu melindungi dan menjaga data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi. Saat Anda mengaktifkan enkripsi di host, data yang disimpan di host VM dienkripsi saat tidak aktif dan mengalirkan enkripsi ke layanan Microsoft Azure Storage. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Kluster Azure HDInsight harus menggunakan enkripsi pada transit untuk mengenkripsi komunikasi antar node kluster Microsoft Azure HDInsight | Data dapat diubah selama transmisi antar node kluster Microsoft Azure HDInsight. Mengaktifkan enkripsi pada transit mengatasi masalah penyalahgunaan dan pengubahan selama transmisi ini. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure HDInsight harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke kluster Azure HDInsight, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/hdi.pl. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi kluster Azure HDInsight untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat tertaut ke jaringan virtual Anda untuk diselesaikan ke kluster Azure HDInsight. Pelajari selengkapnya di: https://aka.ms/hdi.pl. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi kluster Azure HDInsight dengan titik akhir privat | Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke kluster Azure HDInsight, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/hdi.pl. | DeployIfNotExists, Nonaktif | 1.0.0 |
Azure Health Bot
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Health Bots harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan (CMK) untuk mengelola enkripsi di bot kesehatan Anda yang lainnya. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, namun CMK biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://docs.microsoft.com/azure/health-bot/cmk | Audit, Dinonaktifkan | 1.0.0 |
Ruang kerja Health Data Services
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Ruang kerja Azure Health Data Services harus menggunakan tautan privat | Ruang kerja Health Data Services harus memiliki setidaknya satu koneksi titik akhir privat yang disetujui. Klien dalam jaringan virtual dapat dengan aman mengakses sumber daya yang memiliki koneksi titik akhir pribadi melalui tautan pribadi. Untuk informasi lebih lanjut, kunjungi: https://aka.ms/healthcareapisprivatelink. | Audit, Dinonaktifkan | 1.0.0 |
API Kesehatan
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| CORS tidak boleh mengizinkan setiap domain mengakses API Anda untuk FHIR | Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses API Anda untuk FHIR. Untuk melindungi Layanan FHIR, hapus akses untuk semua domain dan tentukan secara eksplisit domain yang diizinkan untuk tersambung. | audit, Audit, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Layanan DICOM harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengontrol enkripsi di seluruh data yang disimpan di Layanan DICOM Azure Health Data Services saat ini adalah persyaratan peraturan atau kepatuhan. Kunci yang dikelola pelanggan juga memberikan enkripsi ganda dengan menambahkan enkripsi lapisan kedua di atas enkripsi default yang dilakukan dengan kunci yang dikelola layanan. | Audit, Dinonaktifkan | 1.0.0 |
| Layanan FHIR harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengontrol enkripsi di seluruh data yang disimpan di Layanan FHIR Azure Health Data Services saat ini adalah persyaratan peraturan atau kepatuhan. Kunci yang dikelola pelanggan juga memberikan enkripsi ganda dengan menambahkan enkripsi lapisan kedua di atas enkripsi default yang dilakukan dengan kunci yang dikelola layanan. | Audit, Dinonaktifkan | 1.0.0 |
Internet untuk segala
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Azure IoT Hub harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif | Enkripsi data tidak aktif di Azure IoT Hub dengan kunci yang dikelola pelanggan menambahkan enkripsi lapisan kedua di atas kunci yang dikelola layanan default, memungkinkan kontrol pelanggan atas kunci, kebijakan rotasi kustom, dan kemampuan untuk mengelola akses ke data melalui kontrol akses kunci. Kunci yang dikelola pelanggan harus dikonfigurasi selama pembuatan Azure IoT Hub. Untuk informasi selengkapnya tentang cara mengonfigurasi kunci yang dikelola pelanggan, lihat https://aka.ms/iotcmk. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Data layanan provisikan perangkat IoT Hub harus dienkripsi menggunakan kunci yang dikelola pelanggan (CMK) | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di seluruh layanan provisi perangkat Azure IoT Hub Anda. Data dienkripsi secara otomatis saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan (CMK) biasanya diperlukan untuk memenuhi standar kepatuhan terhadap peraturan. CMK memungkinkan data dienkripsi dengan kunci Azure Key Vault dibuat dan dimiliki oleh Anda. Pelajari lebih lanjut tentang enkripsi CMK di https://aka.ms/dps/CMK. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| Akun Pembaruan Perangkat Azure harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Enkripsi data tidak aktif di Azure Device Update dengan kunci yang dikelola pelanggan menambahkan enkripsi lapisan kedua di atas kunci yang dikelola layanan default, memungkinkan kontrol pelanggan terhadap kunci, kebijakan rotasi kustom, dan kemampuan untuk mengelola akses ke data melalui kontrol akses utama. Pelajari lebih lanjut di:https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun Azure Device Update untuk IoT Hub harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Device Update untuk akun IoT Hub, risiko kebocoran data dapat berkurang. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure App Service harus menonaktifkan metode autentikasi lokal untuk penyebaran FTP | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa Azure SignalR Service secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/iothubdisablelocalauth. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi akun Device Update for IoT Hub Azure untuk menonaktifkan akses jaringan publik | Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Pembaruan Perangkat Anda karena IoT Hub Anda hanya dapat diakses dari titik akhir privat. Kebijakan ini menonaktifkan akses jaringan publik pada sumber daya Device Update for IoT Hub. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi akun Azure Device Update for IoT Hub untuk menggunakan zona DNS privat | DNS Privat Azure menyediakan layanan DNS aman yang andal untuk mengelola dan mengatasi nama domain dalam jaringan virtual tanpa perlu menambahkan solusi DNS kustom. Anda dapat menggunakan zona DNS privat untuk mengambil alih resolusi DNS dengan menggunakan nama domain kustom Anda sendiri untuk titik akhir privat. Kebijakan ini menyebarkan Zona DNS privat untuk titik akhir privat Device Update for IoT Hub. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi akun Device Update for IoT Hub dengan titik akhir privat | Titik akhir privat adalah alamat IP privat yang dialokasikan di dalam jaringan virtual milik pelanggan melalui sumber daya Azure yang dapat dijangkau. Kebijakan ini menyebarkan titik akhir privat untuk Pembaruan Perangkat Anda untuk IoT Hub untuk memungkinkan layanan di dalam jaringan virtual Anda mencapai sumber daya ini tanpa mengharuskan lalu lintas dikirim ke Pembaruan Perangkat untuk titik akhir publik IoT Hub. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi Azure IoT Hub untuk menonaktifkan autentikasi lokal | Nonaktifkan metode autentikasi lokal agar akun Azure Automation Anda secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/iothubdisablelocalauth. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasikan instans provisi perangkat IoT Hub untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat tertaut ke jaringan virtual Anda untuk diselesaikan ke instans layanan provisi perangkat Azure IoT Hub. Pelajari selengkapnya di: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi instans layanan provisi perangkat IoT Hub untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk instans provisi perangkat Azure IoT Hub Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/iotdpsvnet. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi instans layanan provisi perangkat Azure IoT Hub dengan titik akhir privat | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke layanan provisi perangkat Azure IoT Hub, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Menyebarkan - Mengonfigurasi Azure IoT Hubs untuk menggunakan zona DNS privat | DNS Privat Azure menyediakan layanan DNS aman yang andal untuk mengelola dan mengatasi nama domain dalam jaringan virtual tanpa perlu menambahkan solusi DNS kustom. Anda dapat menggunakan zona DNS privat untuk mengambil alih resolusi DNS dengan menggunakan nama domain kustom Anda sendiri untuk titik akhir privat. Kebijakan ini menyebarkan Zona DNS privat untuk titik akhir privat Azure IoT Hub. | deployIfNotExists, DeployIfNotExists, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Menyebarkan - Mengonfigurasi Azure IoT Hubs dengan titik akhir privat | Titik akhir privat adalah alamat IP privat yang dialokasikan di dalam jaringan virtual milik pelanggan melalui sumber daya Azure yang dapat dijangkau. Kebijakan ini menyebarkan titik akhir privat untuk Azure IoT Hub Anda untuk memungkinkan layanan di dalam jaringan virtual Anda mencapai Azure IoT Hub tanpa mengharuskan lalu lintas dikirim ke titik akhir publik Azure IoT Hub. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Menyebarkan - Mengonfigurasi IoT Central untuk menggunakan zona DNS privat | DNS Privat Azure menyediakan layanan DNS aman yang andal untuk mengelola dan mengatasi nama domain dalam jaringan virtual tanpa perlu menambahkan solusi DNS kustom. Anda dapat menggunakan zona DNS privat untuk mengambil alih resolusi DNS dengan menggunakan nama domain kustom Anda sendiri untuk titik akhir privat. Kebijakan ini menyebarkan Zona DNS privat untuk titik akhir privat IoT Central. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Sebarkan - Konfigurasikan IoT Central dengan titik akhir privat | Titik akhir privat adalah alamat IP privat yang dialokasikan di dalam jaringan virtual milik pelanggan melalui sumber daya Azure yang dapat dijangkau. Kebijakan ini menyebarkan titik akhir privat untuk IoT Central Anda untuk memungkinkan layanan di dalam jaringan virtual Anda mencapai IoT Central tanpa mengharuskan lalu lintas dikirim ke titik akhir publik IoT Central. | DeployIfNotExists, Nonaktif | 1.0.0 |
| IoT Central harus menggunakan link privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke aplikasi IoT Central Anda alih-alih seluruh layanan, Anda akan mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/iotcentral-network-security-using-pe. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Instans layanan provisi perangkat Azure IoT Hub harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa instans layanan provisi perangkat Azure IoT Hub tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan instans provisi perangkat Azure IoT Hub. Pelajari selengkapnya di: https://aka.ms/iotdpsvnet. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Instans layanan provisi perangkat Azure IoT Hub harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan provisi perangkat Azure IoT Hub, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/iotdpsvnet. | Audit, Dinonaktifkan | 1.0.0 |
| Mengubah - Mengonfigurasi Azure IoT Hub untuk menonaktifkan akses jaringan publik | Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure IoT Hub Anda hanya dapat diakses dari titik akhir privat. Kebijakan ini menonaktifkan akses jaringan publik pada sumber daya Azure IoT Hub. | Ubah, Non-fungsikan | 1.0.0 |
| Ubah - Konfigurasi IoT Central untuk menonaktifkan akses jaringan publik | Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan IoT Central Anda hanya dapat diakses dari titik akhir privat. Kebijakan ini menonaktifkan akses jaringan publik pada sumber daya Azure IoT Hub. | Ubah, Non-fungsikan | 1.0.0 |
| Titik akhir privat harus diaktifkan untuk Azure IoT Hub | Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure IoT Hub. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | Audit, Dinonaktifkan | 1.0.0 |
| Akses jaringan publik untuk akun Device Update for IoT Hub Azure harus dinonaktifkan | Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan akun Device Update for IoT Hub Azure hanya dapat diakses dari titik akhir privat. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akses jaringan publik di Azure IoT Hub harus dinonaktifkan | Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure IoT Hub Anda hanya dapat diakses dari titik akhir privat. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akses jaringan publik harus dinonaktifkan untuk IoT Central | Untuk meningkatkan keamanan IoT Central, pastikan layanan tersebut tidak terekspos ke internet publik dan hanya dapat diakses dari titik akhir privat. Nonaktifkan properti akses jaringan publik seperti yang dijelaskan dalam https://aka.ms/iotcentral-restrict-public-access. Opsi ini menonaktifkan akses dari ruang alamat publik apa pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Ini mengurangi risiko kebocoran data. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Log sumber daya di Azure IoT Hub harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
Key Vault
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Kunci HSM Terkelola Azure Key Vault harus memiliki tanggal kedaluwarsa | Untuk menggunakan kebijakan ini dalam pratinjau, Anda harus terlebih dahulu mengikuti instruksi ini di https://aka.ms/mhsmgovernance. Kunci kriptografi harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak permanen. Kunci yang valid selamanya memberikan lebih banyak waktu bagi penyerang potensial untuk menyusupi kunci tersebut. Menetapkan tanggal kedaluwarsa pada kunci kriptografi adalah praktik keamanan yang direkomendasikan. | Audit, Tolak, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Kunci HSM Terkelola Azure Key Vault harus memiliki lebih dari jumlah hari yang ditentukan sebelum kedaluwarsa | Untuk menggunakan kebijakan ini dalam pratinjau, Anda harus terlebih dahulu mengikuti instruksi ini di https://aka.ms/mhsmgovernance. Jika kunci terlalu dekat dengan kedaluwarsa, penundaan organisasi untuk memutar kunci dapat mengakibatkan ketidaktersediaan. Kunci harus diputar pada jumlah hari yang ditentukan sebelum kedaluwarsa untuk memberikan waktu yang cukup untuk bereaksi terhadap kegagalan. | Audit, Tolak, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Kunci HSM Terkelola Azure Key Vault menggunakan kriptografi kurva elips harus memiliki nama kurva yang ditentukan | Untuk menggunakan kebijakan ini dalam pratinjau, Anda harus terlebih dahulu mengikuti instruksi ini di https://aka.ms/mhsmgovernance. Kunci yang didukung oleh kriptografi kurva elips dapat memiliki nama kurva yang berbeda. Beberapa aplikasi hanya kompatibel dengan kunci kurva eliptik tertentu. Terapkan jenis kunci kurva eliptik yang diizinkan untuk dibuat di lingkungan Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Kunci HSM Terkelola Azure Key Vault menggunakan kriptografi RSA harus memiliki ukuran kunci minimum yang ditentukan | Untuk menggunakan kebijakan ini dalam pratinjau, Anda harus terlebih dahulu mengikuti instruksi ini di https://aka.ms/mhsmgovernance. Atur ukuran kunci minimum yang diperbolehkan untuk digunakan dengan brankas kunci Anda. Penggunaan kunci RSA dengan ukuran kunci kecil bukanlah praktik yang aman dan tidak memenuhi banyak persyaratan sertifikasi industri. | Audit, Tolak, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Azure Key Vault Managed HSM harus menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk Azure Key Vault Managed HSM Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Azure Key Vault Managed HSM harus menggunakan tautan privat | Tautan pribadi menyediakan cara untuk menghubungkan Azure Key Vault Managed HSM ke sumber daya Azure Anda tanpa mengirimkan lalu lintas melalui internet publik. Tautan privat memberikan perlindungan mendalam terhadap penyelundupan data. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, Dinonaktifkan | 1.0.0-preview |
| [Pratinjau]: Sertifikat harus dikeluarkan oleh salah satu otoritas sertifikat yang tidak terintegrasi yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan otoritas sertifikat kustom atau internal yang dapat menerbitkan sertifikat di brankas kunci Anda. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Mengonfigurasikan Azure Key Vault Managed HSM untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk Azure Key Vault Managed HSM Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Ubah, Non-fungsikan | pratinjau-2.0.0 |
| [Pratinjau]: Mengonfigurasikan Azure Key Vault Managed HSM dengan titik akhir privat | Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke Azure Key Vault Managed HSM, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| Azure Key Vault yang Dikelola HSM harus mengaktifkan perlindungan hapus menyeluruh | Penghapusan berbahaya dari Azure Key Vault Terkelola HSM dapat menyebabkan hilangnya data permanen. Orang dalam jahat di organisasi Anda dapat berpotensi menghapus dan membersihkan Azure Key Vault Terkelola HSM. Perlindungan penghapusan melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk penghapusan sementara Azure Key Vault Terkelola HSM. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat membersihkan Azure Key Vault Terkelola HSM Anda selama periode penyimpanan penghapusan sementara. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Key Vault harus menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk brankas kunci Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/akvprivatelink. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Azure Key Vault harus mengaktifkan firewall | Aktifkan firewall brankas kunci agar brankas kunci tidak dapat diakses secara default ke IP publik mana pun. Secara opsional, Anda dapat mengonfigurasi rentang IP tertentu untuk membatasi akses ke jaringan tersebut. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Tolak, Dinonaktifkan | 3.2.1 |
| Azure Key Vault harus menggunakan model izin RBAC | Aktifkan model izin RBAC di seluruh Key Vault. Pelajari lebih lanjut di: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Azure Key Vault harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke brankas kunci, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Sertifikat harus diterbitkan oleh otoritas sertifikat terintegrasi yang ditetapkan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan otoritas sertifikat terintegrasi Azure yang dapat menerbitkan sertifikat di brankas kunci, seperti Digicert atau GlobalSign. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.0 |
| Sertifikat harus diterbitkan oleh otoritas sertifikat non-terintegrasi yang ditetapkan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan satu otoritas sertifikat kustom atau internal yang dapat menerbitkan sertifikat di brankas kunci Anda. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.1 |
| Sertifikat harus memiliki pemicu tindakan seumur hidup yang ditetapkan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan apakah tindakan seumur hidup sertifikat dipicu pada persentase tertentu dari masa pakainya atau pada jumlah hari tertentu sebelum kedaluwarsa. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.0 |
| Sertifikat harus memiliki masa berlaku maksimum yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan durasi masa berlaku sertifikat dalam brankas kunci. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.2.1 |
| Sertifikat tidak boleh kedaluwarsa dalam jumlah hari yang ditetapkan | Kelola sertifikat yang akan kedaluwarsa dalam jumlah hari yang ditetapkan agar organisasi Anda memiliki cukup waktu untuk merotasi sertifikat sebelum kedaluwarsa. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.1 |
| Sertifikat harus menggunakan jenis kunci yang diizinkan | Kelola persyaratan kepatuhan organisasi Anda dengan membatasi jenis kunci yang diizinkan untuk sertifikat. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.0 |
| Sertifikat yang menggunakan kriptografi kurva elips harus memiliki nama kurva yang diizinkan | Kelola nama kurva elips yang diperbolehkan untuk Sertifikat ECC yang disimpan dalam brankas kunci. Informasi selengkapnya dapat ditemukan di https://aka.ms/akvpolicy. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.0 |
| Sertifikat yang menggunakan kriptografi RSA harus memiliki ukuran kunci minimum yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menetapkan ukuran kunci minimum untuk sertifikat RSA yang disimpan di brankas kunci Anda. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.1.0 |
| Mengonfigurasi Azure Key Vault untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat menautkan ke jaringan virtual Anda untuk mengatasi brankas kunci. Pelajari selengkapnya di: https://aka.ms/akvprivatelink. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Konfigurasikan Azure Key Vault dengan titik akhir privat | Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke brankas kunci, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/akvprivatelink. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Konfigurasikan brankas kunci untuk mengaktifkan firewall | Aktifkan firewall brankas kunci agar brankas kunci tidak dapat diakses secara default ke IP publik mana pun. Anda kemudian dapat mengonfigurasi rentang IP tertentu untuk membatasi akses ke jaringan tersebut. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/key-vault/general/network-security | Ubah, Non-fungsikan | 1.1.1 |
| Sebarkan - Konfigurasikan pengaturan diagnostik untuk Azure Key Vault ke ruang kerja Log Analytics | Menyebarkan pengaturan diagnostik pada Azure Key Vault untuk mengalirkan log sumber daya ke ruang kerja Log Analytics saat Key Vault yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 2.0.1 |
| Sebarkan - Konfigurasikan pengaturan diagnostik ke Hub Peristiwa untuk diaktifkan di HSM Terkelola Azure Key Vault | Menyebarkan pengaturan diagnostik pada HSM Terkelola Azure Key Vault untuk mengalirkan ke Hub Peristiwa regional saat HSM Terkelola Azure Key Vault yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Menyebarkan Pengaturan Diagnostik untuk Azure Key Vault ke Event Hub | Menyebarkan pengaturan diagnostik pada Key Vault untuk mengalirkan ke Hub Peristiwa regional saat Key Vault yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 3.0.1 |
| Kunci Azure Key Vault harus memiliki tanggal kedaluwarsa | Kunci kriptografi harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak permanen. Kunci yang valid selamanya memberikan lebih banyak waktu bagi penyerang potensial untuk menyusupi kunci tersebut. Menetapkan tanggal kedaluwarsa pada kunci kriptografi adalah praktik keamanan yang direkomendasikan. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Rahasia Azure Key Vault harus memiliki tanggal kedaluwarsa | Rahasia harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak bersifat permanen. Rahasia yang berlaku selamanya memberi lebih banyak waktu kepada penyerang potensial untuk menyusupinya. Menetapkan tanggal kedaluwarsa pada rahasia adalah praktik keamanan yang direkomendasikan. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Brankas kunci harus mengaktifkan perlindungan penghapusan | Penghapusan brankas kunci yang berbahaya dapat menyebabkan hilangnya data secara permanen. Anda dapat mencegah kehilangan data permanen dengan mengaktifkan perlindungan penghapusan menyeluruh dan penghapusan sementara. Perlindungan penghapusan menyeluruh melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk brankas kunci yang dihapus sementara. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat membersihkan brankas kunci Anda selama periode penyimpanan penghapusan sementara. Perlu diingat bahwa brankas kunci yang dibuat setelah 1 September 2019 mengaktifkan penghapusan sementara secara default. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Brankas kunci harus mengaktifkan penghapusan sementara | Menghapus brankas kunci tanpa mengaktifkan penghapusan sementara akan menghapus semua rahasia, kunci, dan sertifikat yang disimpan di brankas kunci secara permanen. Penghapusan brankas kunci secara tidak sengaja dapat menyebabkan hilangnya data secara permanen. Penghapusan sementara memungkinkan Anda memulihkan brankas kunci yang terhapus secara tidak sengaja untuk periode retensi yang dapat dikonfigurasi. | Audit, Tolak, Dinonaktifkan | 3.0.0 |
| Kunci harus didukung oleh modul keamanan perangkat keras (HSM) | HSM adalah modul keamanan perangkat keras yang menyimpan kunci. HSM menyediakan lapisan perlindungan fisik untuk kunci kriptografi. Kunci kriptografi tidak dapat meninggalkan HSM fisik yang memberikan tingkat keamanan yang lebih besar daripada kunci perangkat lunak. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Kunci harus berupa RSA atau EC jenis kriptografi yang ditentukan | Beberapa aplikasi memerlukan penggunaan kunci yang didukung oleh jenis kriptografi tertentu. Terapkan jenis kunci kriptografik tertentu, RSA atau EC, di lingkungan Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Kunci harus memiliki kebijakan rotasi yang memastikan bahwa rotasinya dijadwalkan dalam jumlah hari yang ditentukan setelah pembuatan. | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan jumlah hari maksimum setelah pembuatan kunci hingga harus diputar. | Audit, Dinonaktifkan | 1.0.0 |
| Kunci harus memiliki lebih dari jumlah hari sebelum kedaluwarsa yang ditentukan | Jika kunci terlalu dekat dengan kedaluwarsa, penundaan organisasi untuk memutar kunci dapat mengakibatkan ketidaktersediaan. Kunci harus diputar pada jumlah hari yang ditentukan sebelum kedaluwarsa untuk memberikan waktu yang cukup untuk bereaksi terhadap kegagalan. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Kunci harus memiliki periode validitas maksimum yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan jumlah waktu maksimum dalam hari kunci berstatus valid dalam brankas kunci Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Kunci tidak boleh aktif lebih lama dari jumlah hari yang ditentukan | Tentukan jumlah hari untuk kunci harus aktif. Kunci yang digunakan untuk jangka waktu yang lama meningkatkan kemungkinan penyerang dapat menyusupi kunci. Sebagai praktik keamanan yang baik, pastikan kunci Anda tidak aktif lebih dari dua tahun. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Kunci yang menggunakan kriptografi kurva eliptik harus memiliki nama kurva yang ditentukan | Kunci yang didukung oleh kriptografi kurva elips dapat memiliki nama kurva yang berbeda. Beberapa aplikasi hanya kompatibel dengan kunci kurva eliptik tertentu. Terapkan jenis kunci kurva eliptik yang diizinkan untuk dibuat di lingkungan Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Kunci yang menggunakan kriptografi RSA harus memiliki ukuran kunci minimum yang ditentukan | Atur ukuran kunci minimum yang diperbolehkan untuk digunakan dengan brankas kunci Anda. Penggunaan kunci RSA dengan ukuran kunci kecil bukanlah praktik yang aman dan tidak memenuhi banyak persyaratan sertifikasi industri. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Log sumber daya di HSM Terkelola Azure Key Vault harus diaktifkan | Untuk membuat ulang jejak aktivitas untuk tujuan investigasi ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi, Anda mungkin ingin mengaudit dengan mengaktifkan log sumber daya pada HSM Terkelola. Silakan ikuti instruksi di sini: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Log sumber daya di Key Vault harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Rahasia harus memiliki jenis konten yang ditetapkan | Tag tipe konten membantu mengidentifikasi apakah rahasia adalah kata sandi, string koneksi, dll. Rahasia yang berbeda memiliki persyaratan rotasi yang berbeda. Tag jenis konten harus diatur pada rahasia. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Rahasia harus memiliki lebih dari jumlah hari sebelum kedaluwarsa yang ditentukan | Jika rahasia terlalu dekat dengan kedaluwarsa, penundaan organisasi untuk memutar rahasia dapat mengakibatkan ketidaktersediaan. Rahasia harus diputar pada jumlah hari yang ditentukan sebelum kedaluwarsa untuk memberikan waktu yang cukup untuk bereaksi terhadap kegagalan. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Rahasia harus memiliki periode validitas maksimum yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan jumlah waktu maksimum dalam hari rahasia berstatus valid dalam brankas kunci Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Rahasia tidak boleh aktif lebih lama dari jumlah hari yang ditentukan | Jika rahasia Anda telah dibuat dengan tanggal aktivasi yang ditetapkan di masa mendatang, Anda harus memastikan bahwa rahasia Anda tidak aktif lebih lama dari durasi yang ditentukan. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Kubernetes
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: [Integritas Gambar] Kluster Kube hanya boleh menggunakan gambar yang ditandatangani oleh notasi | Gunakan gambar yang ditandatangani oleh notasi untuk memastikan bahwa gambar berasal dari sumber tepercaya dan tidak akan dimodifikasi dengan berbahaya. Untuk info selengkapnya, kunjungi https://aka.ms/aks/image-integrity | Audit, Dinonaktifkan | 1.0.0-preview |
| [Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal | Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Dinonaktifkan | 6.0.0-pratinjau |
| [Pratinjau]: Tidak dapat mengedit simpul individual | Tidak dapat mengedit simpul individual. Pengguna tidak boleh mengedit simpul individual. Silakan edit kumpulan simpul. Memodifikasi simpul individu dapat menyebabkan pengaturan yang tidak konsisten, tantangan operasional, dan potensi risiko keamanan. | Audit, Tolak, Dinonaktifkan | 1.1.1-pratinjau |
| [Pratinjau]: Mengonfigurasi kluster Kubernetes dengan dukungan Azure Arc untuk menginstal ekstensi Microsoft Defender untuk Cloud | Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, Nonaktif | 7.1.0-preview |
| [Pratinjau]: Menyebarkan Integritas Gambar di Azure Kubernetes Service | Sebarkan Kluster Azure Kubernetes Integritas Gambar dan Add-On Kebijakan. Untuk info selengkapnya, kunjungi https://aka.ms/aks/image-integrity | DeployIfNotExists, Nonaktif | pratinjau-1.0.5 |
| [Pratinjau]: Gambar kontainer kluster Kube harus menyertakan hook preStop | Mengharuskan gambar kontainer menyertakan hook preStop untuk menghentikan proses dengan baik selama penonaktifan pod. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Gambar kontainer kluster Kube tidak boleh menyertakan tag gambar terbaru | Mengharuskan gambar kontainer tidak menggunakan tag terbaru di Kubernetes, ini adalah praktik terbaik untuk memastikan reproduktifitas, mencegah pembaruan yang tidak diinginkan, dan memfasilitasi penelusuran kesalahan dan pembatalan yang lebih mudah dengan menggunakan gambar kontainer eksplisit dan versi. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Kontainer kluster Kube hanya boleh menarik gambar ketika rahasia penarikan gambar ada | Membatasi penarikan gambar kontainer untuk memberlakukan keberadaan ImagePullSecrets, memastikan akses yang aman dan sah ke gambar dalam kluster Kubernetes | Audit, Tolak, Dinonaktifkan | 1.1.0-pratinjau |
| [Pratinjau]: Layanan kluster Kube harus menggunakan pemilih unik | Pastikan Layanan di Namespace Memiliki Pemilih Unik. Pemilih layanan unik memastikan bahwa setiap layanan dalam namespace dapat diidentifikasi secara unik berdasarkan kriteria tertentu. Kebijakan ini menyinkronkan sumber daya masuk ke OPA melalui Gatekeeper. Sebelum menerapkan, verifikasi kapasitas memori Pod Gatekeeper tidak akan terlampaui. Parameter berlaku untuk namespace tertentu, tetapi menyinkronkan semua sumber daya jenis tersebut di semua namespace layanan. Saat ini dalam pratinjau untuk Kubernetes Service (AKS). | Audit, Tolak, Dinonaktifkan | 1.1.1-pratinjau |
| [Pratinjau]: Kluster Kubernetes harus menerapkan Anggaran Gangguan Pod yang akurat | Mencegah Anggaran Gangguan Pod yang rusak, memastikan jumlah minimum pod operasional. Lihat dokumentasi resmi Kubernetes untuk detailnya. Bergantung pada replikasi data Gatekeeper dan menyinkronkan semua sumber daya ingress yang tercakup ke dalam OPA. Sebelum menerapkan kebijakan ini, pastikan bahwa sumber daya ingress yang disinkronkan tidak akan membatasi kapasitas memori Anda. Meskipun parameter mengevaluasi namespace tertentu, semua sumber daya semacam itu di seluruh namespace layanan akan disinkronkan. Catatan: saat ini dalam pratinjau untuk Kubernetes Service (AKS). | Audit, Tolak, Dinonaktifkan | 1.1.1-pratinjau |
| [Pratinjau]: Kluster Kubernetes harus membatasi pembuatan jenis sumber daya yang diberikan | Jenis sumber daya Kubernetes yang diberikan tidak boleh disebarkan di namespace layanan tertentu. | Audit, Tolak, Dinonaktifkan | 2.2.0-pratinjau |
| [Pratinjau]: Harus Memiliki Seperangkat Aturan Anti Afinitas | Kebijakan ini memastikan bahwa pod dijadwalkan pada node yang berbeda dalam kluster. Dengan memberlakukan aturan anti-afinitas, ketersediaan dipertahankan meskipun salah satu node menjadi tidak tersedia. Pod akan terus berjalan pada simpul lain, meningkatkan ketahanan. | Audit, Tolak, Dinonaktifkan | 1.1.1-pratinjau |
| [Pratinjau]: Tidak Ada Label Spesifik AKS | Mencegah pelanggan menerapkan label tertentu AKS. AKS menggunakan label yang diawali dengan kubernetes.azure.com untuk menunjukkan komponen yang dimiliki AKS. Pelanggan tidak boleh menggunakan label ini. |
Audit, Tolak, Dinonaktifkan | 1.1.1-pratinjau |
| [Pratinjau]: Taint Kumpulan Sistem Terpesan | Membatasi taint CriticalAddonsOnly hanya ke kumpulan sistem. AKS menggunakan taint CriticalAddonsOnly untuk menjauhkan pod pelanggan dari kumpulan sistem. Ini memastikan pemisahan yang jelas antara komponen AKS dan pod pelanggan, serta mencegah pod pelanggan dikeluarkan jika mereka tidak mentolerir taint CriticalAddonsOnly. | Audit, Tolak, Dinonaktifkan | 1.1.1-pratinjau |
| [Pratinjau]: Membatasi taint CriticalAddonsOnly hanya untuk kumpulan sistem. | Untuk menghindari pengeluaran aplikasi pengguna dari kumpulan pengguna dan mempertahankan pemisahan kekhawatiran antara pengguna dan kumpulan sistem, taint 'CriticalAddonsOnly' tidak boleh diterapkan ke kumpulan pengguna. | Bermutasi, Dinonaktifkan | 1.1.0-pratinjau |
| [Pratinjau]: Mengatur batas CPU kontainer kluster Kube ke nilai default jika tidak ada atau melebihi batas. | Mengatur batas CPU kontainer untuk mencegah serangan kelelahan sumber daya dalam kluster Kubernetes. | Bermutasi, Dinonaktifkan | 1.1.0-pratinjau |
| [Pratinjau]: Mengatur batas memori kontainer kluster Kube ke nilai default jika tidak ada atau melebihi batas. | Mengatur batas memori kontainer untuk mencegah serangan kelelahan sumber daya dalam kluster Kubernetes. | Bermutasi, Dinonaktifkan | 1.1.0-pratinjau |
| [Pratinjau]: Mengatur pod maxUnavailable ke 1 untuk sumber daya PodDisruptionBudget | Mengatur nilai pod maksimum yang tidak tersedia ke 1 memastikan bahwa aplikasi atau layanan Anda tersedia selama gangguan | Bermutasi, Dinonaktifkan | 1.1.0-pratinjau |
| [Pratinjau]: Mengatur readOnlyRootFileSystem dalam spesifikasi Pod dalam kontainer init ke true jika tidak diatur. | Mengatur readOnlyRootFileSystem ke true meningkatkan keamanan dengan mencegah kontainer menulis ke dalam sistem file akar. Ini hanya berfungsi untuk kontainer linux. | Bermutasi, Dinonaktifkan | 1.1.0-pratinjau |
| [Pratinjau]: Mengatur readOnlyRootFileSystem dalam spesifikasi Pod ke true jika tidak diatur. | Mengatur readOnlyRootFileSystem ke true meningkatkan keamanan dengan mencegah kontainer menulis ke dalam sistem file akar | Bermutasi, Dinonaktifkan | 1.1.0-pratinjau |
| Kluster Kubernetes dengan dukungan Azure Arc harus menginstal ekstensi Azure Policy | Ekstensi Azure Policy untuk Azure Arc menyediakan penegakan dan perlindungan skala besar pada kluster Kubernetes yang diaktifkan Arc Anda secara terpusat dan konsisten. Pelajari lebih lanjut di https://aka.ms/akspolicydoc. | AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Kluster Kubernetes yang didukung Azure Arc harus memasang ekstensi Open Service Mesh | Ekstensi Open Service Mesh menyediakan semua kemampuan jala layanan standar untuk keamanan, manajemen lalu lintas, dan observabilitas layanan aplikasi. Pelajari lebih lanjut di sini: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Kluster Kubernetes dengan dukungan Azure Arc harus menginstal ekstensi Strimzi Kafka | Ekstensi Strimzi Kafka menyediakan operator untuk menginstal Kafka untuk membangun alur data real time dan aplikasi streaming dengan kemampuan keamanan dan pengamatan. Pelajari lebih lanjut di sini: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Kluster Azure Kubernetes harus mengaktifkan Antarmuka Penyimpanan Kontainer (CSI) | Antarmuka Penyimpanan Kontainer (CSI) adalah standar untuk mengekspos blok arbitrer dan sistem penyimpanan file ke beban kerja kontainer di Azure Kubernetes Service. Untuk mempelajari selengkapnya, https://aka.ms/aks-csi-driver | Audit, Dinonaktifkan | 1.0.0 |
| Kluster Azure Kubernetes harus mengaktifkan Key Management Service (KMS) | Gunakan Key Management Service (KMS) untuk mengenkripsi data rahasia saat tidak aktif di etcd untuk keamanan kluster Kubernetes. Pelajari selengkapnya di: https://aka.ms/aks/kmsetcdencryption. | Audit, Dinonaktifkan | 1.0.0 |
| Kluster Azure Kubernetes harus menggunakan Azure CNI | Azure CNI adalah prasyarat untuk beberapa fitur Azure Kubernetes Service, termasuk kebijakan jaringan Azure, kumpulan node Windows, dan add-on node virtual. Pelajari lebih lanjut di: https://aka.ms/aks-azure-cni | Audit, Dinonaktifkan | 1.0.1 |
| Kluster Azure Kubernetes Service harus menonaktifkan Pemanggilan Perintah | Menonaktifkan pemanggilan perintah dapat meningkatkan keamanan dengan menghindari lewatan akses jaringan terbatas atau kontrol akses berbasis peran Kubernetes | Audit, Dinonaktifkan | 1.0.1 |
| Kluster Azure Kubernetes Service harus mengaktifkan peningkatan otomatis kluster | Peningkatan otomatis kluster AKS dapat memastikan kluster Anda sudah diperbarui dan jangan lewatkan fitur atau patch terbaru dari AKS dan Kubernetes upstream. Pelajari selengkapnya di: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, Dinonaktifkan | 1.0.0 |
| Kluster Azure Kubernetes Service harus mengaktifkan Image Cleaner | Image Cleaner melakukan identifikasi dan penghapusan gambar yang rentan dan tidak digunakan secara otomatis, yang mengurangi risiko gambar kedaluarsa dan mengurangi waktu yang diperlukan untuk membersihkannya. Pelajari selengkapnya di: https://aka.ms/aks/image-cleaner. | Audit, Dinonaktifkan | 1.0.0 |
| Kluster Azure Kubernetes Service harus mengaktifkan integrasi MICROSOFT Entra ID | Integrasi MICROSOFT Entra ID yang dikelola AKS dapat mengelola akses ke kluster dengan mengonfigurasi kontrol akses berbasis peran Kubernetes (Kubernetes RBAC) berdasarkan identitas pengguna atau keanggotaan grup direktori. Pelajari selengkapnya di: https://aka.ms/aks-managed-aad. | Audit, Dinonaktifkan | 1.0.2 |
| Kluster Azure Kubernetes Service harus mengaktifkan peningkatan otomatis os node | AKS node OS auto-upgrade mengontrol pembaruan keamanan OS tingkat simpul. Pelajari selengkapnya di: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, Dinonaktifkan | 1.0.0 |
| Kluster Azure Kubernetes Service harus mengaktifkan identitas beban kerja | Identitas beban kerja memungkinkan untuk menetapkan identitas unik ke setiap Pod Kubernetes dan mengaitkannya dengan sumber daya yang dilindungi Azure AD seperti Azure Key Vault, memungkinkan akses aman ke sumber daya ini dari dalam Pod. Pelajari selengkapnya di: https://aka.ms/aks/wi. | Audit, Dinonaktifkan | 1.0.0 |
| Kluster Azure Kubernetes Service harus mengaktifkan profil Defender | Microsoft Defender untuk Kontainer menyediakan kemampuan keamanan Kubernetes cloud-native termasuk penguatan lingkungan, perlindungan beban kerja, dan perlindungan run-time. Saat Anda mengaktifkan SecurityProfile.AzureDefender di kluster Azure Kubernetes Service Anda, agen akan disebarkan ke kluster Anda untuk mengumpulkan data peristiwa keamanan. Pelajari selengkapnya tentang Microsoft Defender untuk Kontainer di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Dinonaktifkan | 2.0.1 |
| Kluster Azure Kubernetes Service harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa Kluster Azure Kubernetes Service harus secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/aks-disable-local-accounts. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Kluster Azure Kubernetes Service harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk melakukan wrap around pada perwakilan layanan, menyederhanakan manajemen kluster, dan menghindari kompleksitas yang diperlukan untuk perwakilan layanan terkelola. Pelajari lebih lanjut di: https://aka.ms/aks-update-managed-identities | Audit, Dinonaktifkan | 1.0.1 |
| Kluster Privat Azure Kubernetes Service harus diaktifkan | Aktifkan fitur kluster privat untuk kluster Azure Kubernetes Service untuk memastikan lalu lintas jaringan antara server API dan kumpulan simpul tetap berada di jaringan privat saja. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Add-on Azure Policy untuk layanan Kube (AKS) harus dipasang dan diaktifkan di kluster Anda | Azure Policy Add-on for Kubernetes service (AKS) memperluas Gatekeeper v3, webhook pengontrol penerimaan untuk Open Policy Agent (OPA), untuk menerapkan penegakan dan pengamanan skala besar pada klaster Anda secara terpusat dan konsisten. | Audit, Dinonaktifkan | 1.0.2 |
| Sistem operasi dan disk data di kluster Azure Kubernetes Service harus dienkripsi dengan kunci yang dikelola pelanggan | Mengenkripsi OS dan disk data menggunakan kunci yang dikelola pelanggan memberikan lebih banyak kontrol dan fleksibilitas yang lebih besar dalam manajemen kunci. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Mengonfigurasi kluster Kubernetes dengan dukungan Azure Arc untuk menginstal ekstensi Azure Policy | Sebarkan ekstensi Azure Policy untuk Azure Arc untuk menyediakan penegakan skala dan melindungi kluster Kubernetes yang diaktifkan Arc Anda secara terpusat dan konsisten. Pelajari lebih lanjut di https://aka.ms/akspolicydoc. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Konfigurasikan kluster Azure Kubernetes Service untuk mengaktifkan profil Defender | Microsoft Defender untuk Kontainer menyediakan kemampuan keamanan Kubernetes cloud-native termasuk penguatan lingkungan, perlindungan beban kerja, dan perlindungan run-time. Saat Anda mengaktifkan SecurityProfile.Defender pada kluster Azure Kubernetes Service, agen disebarkan ke kluster Anda untuk mengumpulkan data peristiwa keamanan. Pelajari selengkapnya tentang Microsoft Defender untuk Kontainer: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Nonaktif | 4.1.0 |
| Mengonfigurasi penginstalan ekstensi Flux pada kluster Kubernetes | Pasang ekstensi Flux pada kluster Kubernetes untuk mengaktifkan penyebaran 'fluxconfigurations' di kluster | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan kluster Kubernetes dengan konfigurasi Flux v2 menggunakan sumber dan rahasia Wadah di KeyVault | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari Wadah yang ditentukan. Definisi ini memerlukan SecretKey Wadah yang disimpan di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git dan Sertifikat OS HTTPS | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini memerlukan Sertifikat OS HTTPS. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git dan rahasia HTTPS | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini memerlukan rahasia kunci HTTPS yang disimpan di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git dan rahasia lokal | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini memerlukan rahasia autentikasi lokal yang disimpan di kluster Kubernetes. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git dan rahasia SSH | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini memerlukan rahasia kunci privat SSH di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi kluster Kubernetes dengan konfigurasi Flux v2 menggunakan repositori Git publik | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori Git yang ditentukan. Definisi ini tidak memerlukan rahasia. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi kluster Kubernetes dengan sumber Wadah Flux v2 tertentu menggunakan rahasia lokal | Sebarkan 'fluxConfiguration' ke kluster Kubernetes untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari Wadah yang ditentukan. Definisi ini memerlukan rahasia autentikasi lokal yang disimpan di kluster Kubernetes. Untuk mengetahui instruksinya, kunjungi https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan kluster Kube dengan konfigurasi GitOps yang ditentukan menggunakan rahasia HTTPS | Sebarkan 'sourceControlConfiguration' ke kluster Kube untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori git yang ditentukan. Definisi ini memerlukan pengguna HTTPS dan rahasia kunci yang tersimpan di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Konfigurasikan kluster Kubernetes dengan konfigurasi GitOps yang ditentukan tanpa rahasia | Sebarkan 'sourceControlConfiguration' ke kluster Kube untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori git yang ditentukan. Definisi ini tidak memerlukan rahasia. Untuk mengetahui instruksinya, kunjungi https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Konfigurasikan kluster Kube dengan konfigurasi GitOps yang ditentukan menggunakan rahasia SSH | Sebarkan 'sourceControlConfiguration' ke kluster Kube untuk memastikan bahwa kluster mendapatkan sumber kebenarannya untuk beban kerja dan konfigurasi dari repositori git yang ditentukan. Definisi ini memerlukan rahasia kunci privat SSH di Key Vault. Untuk mengetahui instruksinya, kunjungi https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Mengonfigurasi Kluster Azure Kubernetes Service terintegrasi ID Microsoft Entra dengan Akses Grup Admin yang diperlukan | Pastikan untuk meningkatkan keamanan kluster dengan mengatur akses Administrator secara terpusat ke kluster AKS terintegrasi Microsoft Entra ID. | DeployIfNotExists, Nonaktif | 2.1.0 |
| Mengonfigurasi peningkatan Otomatis OS Node pada Kluster Azure Kubernetes | Gunakan peningkatan otomatis OS Node untuk mengontrol pembaruan keamanan OS tingkat simpul kluster Azure Kubernetes Service (AKS). Untuk informasi selengkapnya, kunjungi https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Sebarkan - Mengonfigurasi pengaturan diagnostik untuk Azure Kubernetes Service ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik Azure Kubernetes Service untuk mengalirkan log sumber daya ke ruang kerja Analitik Log. | DeployIfNotExists, Nonaktif | 3.0.0 |
| Terapkan Add-on Azure Policy ke klaster Azure Kubernetes Service | Gunakan Add-on Azure Policy untuk mengelola dan melaporkan status kepatuhan kluster Azure Kubernetes Service (AKS) Anda. Untuk informasi selengkapnya, lihat https://aka.ms/akspolicydoc . | DeployIfNotExists, Nonaktif | 4.1.0 |
| Menyebarkan Image Cleaner di Azure Kubernetes Service | Sebarkan Image Cleaner pada kluster Azure Kubernetes. Untuk info selengkapnya, kunjungi https://aka.ms/aks/image-cleaner | DeployIfNotExists, Nonaktif | 1.0.4 |
| Menyebarkan Pemeliharaan Terencana untuk menjadwalkan dan mengontrol peningkatan untuk kluster Azure Kubernetes Service (AKS) Anda | Pemeliharaan Terencana memungkinkan Anda menjadwalkan jendela pemeliharaan mingguan untuk melakukan pembaruan dan meminimalkan dampak beban kerja. Setelah dijadwalkan, peningkatan hanya terjadi selama jendela yang Anda pilih. Pelajari lebih lanjut di: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Menonaktifkan Pemanggilan Perintah pada kluster Azure Kubernetes Service | Menonaktifkan pemanggilan perintah dapat meningkatkan keamanan dengan menolak akses memanggil-memerintah ke kluster | DeployIfNotExists, Nonaktif | 1.2.0 |
| Pastikan kontainer kluster memiliki probe kesiapan atau keaktifan yang dikonfigurasi | Kebijakan ini menerapkan bahwa semua pod memiliki probe kesiapan dan/atau keaktifan yang dikonfigurasi. Jenis Probe dapat berupa tcpSocket, httpGet dan exec. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk petunjuk tentang penggunaan kebijakan ini, kunjungi https://aka.ms/kubepolicydoc. | Audit, Tolak, Dinonaktifkan | 3.2.0 |
| Batas sumber daya memori dan CPU kontainer kluster Kube tidak boleh melebihi batas yang ditetapkan | Terapkan batas sumber daya CPU dan memori kontainer untuk mencegah serangan kehabisan sumber daya di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.2.0 |
| Wadah klaster Kubernetes tidak boleh berbagi ID proses host atau namespace IPC host | Blokir kontainer pod agar tidak membagikan namespace ID proses host dan namespace IPC host di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.2 dan CIS 5.2.3 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.1.0 |
| Kontainer kluster Kubernetes tidak boleh menggunakan antarmuka sysctl terlarang | Kontainer tidak boleh menggunakan antarmuka sysctl terlarang dalam kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.1.1 |
| Kontainer kluster Kube hanya boleh menggunakan profil AppArmor yang diizinkan | Container hanya boleh menggunakan profil AppArmor yang diizinkan di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.1.1 |
| Kontainer kluster Kube hanya boleh menggunakan kemampuan yang diizinkan | Batasi kemampuan untuk mengurangi permukaan serangan kontainer di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.8 dan CIS 5.2.9 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.1.0 |
| Kontainer kluster Kube hanya boleh menggunakan gambar yang diizinkan | Gunakan gambar dari registry tepercaya untuk mengurangi risiko paparan kluster Kubernetes terhadap kerentanan yang tidak diketahui, masalah keamanan, dan gambar berbahaya. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.2.0 |
| Kontainer kluster Kubernetes hanya boleh menggunakan ProcMountType yang diizinkan | Kontainer Pod hanya dapat menggunakan ProcMountTypes yang diizinkan dalam kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.1.1 |
| Kontainer kluster Kubernetes hanya boleh menggunakan kebijakan tarik yang diizinkan | Batasi kebijakan tarik kontainer untuk mengatur agar kontainer hanya menggunakan gambar yang diizinkan pada penyebaran | Audit, Tolak, Dinonaktifkan | 3.1.0 |
| Kontainer kluster Kubernetes hanya boleh menggunakan profil seccomp yang diizinkan | Kontainer Pod hanya dapat menggunakan profil seccomp yang diizinkan dalam kluster Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.1.1 |
| Kontainer kluster Kube harus dijalankan dengan sistem file akar baca saja | Jalankan kontainer dengan sistem file root hanya baca untuk melindungi dari perubahan saat run-time dengan binari berbahaya yang ditambahkan ke PATH di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
| Volume FlexVolume pod kluster Kube hanya boleh menggunakan driver yang diizinkan | Volume FlexVolume pod hanya boleh menggunakan driver yang diizinkan dalam kluster Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.1.1 |
| Volume hostPath pod kluster Kube hanya boleh menggunakan jalur host yang diizinkan | Batasi mount volume HostPath pod ke jalur host yang diizinkan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.1.1 |
| Pod dan kontainer kluster Kube hanya boleh dijalankan dengan ID pengguna dan grup yang disetujui | Kontrol ID pengguna, grup utama, grup tambahan, dan grup sistem file yang dapat digunakan pod dan kontainer untuk dijalankan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.1.1 |
| Pod dan kontainer kluster Kubernetes hanya boleh menggunakan opsi SELinux yang diizinkan | Pod dan kontainer hanya boleh menggunakan opsi SELinux yang diizinkan dalam kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.1.1 |
| Pod kluster Kubernetes hanya boleh menggunakan jenis volume yang diizinkan | Pod hanya dapat menggunakan jenis volume yang diizinkan dalam kluster Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.1.1 |
| Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui | Batasi akses pod ke jaringan host dan rentang port host yang diizinkan di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.4 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.1.0 |
| Pod kluster Kube harus menggunakan label yang ditentukan | Gunakan label yang ditentukan untuk mengidentifikasi pod dalam kluster Kube. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.1.0 |
| Layanan kluster Kube hanya boleh mendengarkan port yang diizinkan | Batasi layanan untuk mendengarkan hanya pada port yang diizinkan untuk mengamankan akses ke kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.1.0 |
| Layanan kluster Kube hanya boleh menggunakan IP eksternal yang diizinkan | Gunakan IP eksternal yang diizinkan untuk menghindari potensi serangan (CVE-2020-8554) pada kluster Kube. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.1.0 |
| Kluster Kube seharusnya tidak mengizinkan kontainer dengan hak istimewa | Jangan izinkan pembuatan kontainer yang diistimewakan di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.1 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.1.0 |
| Kluster Kubernetes tidak boleh menggunakan pod polos | Memblokir penggunaan Pod polos. Pod polos tidak akan dijadwalkan ulang jika terjadi kegagalan simpul. Pod harus dikelola oleh Deployment, Replicset, Daemonset, atau Jobs | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Kontainer Windows kluster Kubernetes tidak boleh menggunakan cpu dan memori berlebihan | Permintaan sumber daya kontainer Windows harus kurang atau sama dengan batas sumber daya atau tidak ditentukan untuk menghindari kelebihan. Jika memori Windows disediakan secara berlebihan, itu akan memproses halaman dalam disk - yang dapat memperlambat performa - alih-alih mengakhiri kontainer yang kehabisan memori | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Kontainer Windows kluster Kubernetes tidak boleh berjalan sebagai ContainerAdministrator | Cegah penggunaan ContainerAdministrator sebagai pengguna untuk menjalankan proses kontainer untuk pod atau kontainer Windows. Rekomendasi ini dimaksudkan untuk meningkatkan keamanan simpul Windows. Untuk informasi selengkapnya, lihat https://kubernetes.io/docs/concepts/windows/intro/ . | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Kontainer Windows kluster Kubernetes hanya boleh berjalan dengan pengguna dan grup pengguna domain yang disetujui | Kontrol pengguna yang dapat digunakan pod dan Kontainer Windows untuk dijalankan di Kluster Kubernetes. Rekomendasi ini merupakan bagian dari Kebijakan Keamanan Pod pada node Windows yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Cluster Kubernetes hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Kemampuan ini saat ini umumnya tersedia untuk Kubernetes Service (AKS), dan dalam pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk info selengkapnya, kunjungi https://aka.ms/kubepolicydoc | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.1.0 |
| Kluster Kube harus menonaktifkan pemasangan otomatis info masuk API | Nonaktifkan pemasangan otomatis info masuk API untuk mencegah sumber daya Pod yang berpotensi disusupi untuk menjalankan perintah API terhadap kluster Kube. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 4.1.0 |
| Kluster Kubernetes harus memastikan bahwa peran cluster-admin hanya digunakan jika diperlukan | Peran 'cluster-admin' menyediakan kekuatan berkisar luas atas lingkungan dan harus digunakan hanya di mana dan ketika diperlukan. | Audit, Dinonaktifkan | 1.0.0 |
| Kluster Kubernetes harus meminimalkan penggunaan kartubebas dalam peran dan peran kluster | Menggunakan kartubebas '*' dapat menjadi risiko keamanan karena memberikan izin luas yang mungkin tidak diperlukan untuk peran tertentu. Jika peran memiliki terlalu banyak izin, peran tersebut berpotensi disalahgunakan oleh penyerang atau pengguna yang disusupi untuk mendapatkan akses tidak sah ke sumber daya di kluster. | Audit, Dinonaktifkan | 1.0.0 |
| Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer | Jangan izinkan kontainer berjalan dengan eskalasi hak istimewa untuk melakukan root di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.5 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.1.0 |
| Kluster Kubernetes tidak boleh mengizinkan izin pengeditan titik akhir ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit tidak boleh mengizinkan izin pengeditan titik akhir karena CVE-2021-25740, izin Titik Akhir & EndpointSlice memungkinkan penerusan lintas-Namespace, https://github.com/kubernetes/kubernetes/issues/103675. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | Audit, Dinonaktifkan | 3.1.0 |
| Kluster Kube tidak boleh memberi kemampuan keamanan CAP_SYS_ADMIN | Untuk mengurangi permukaan serangan kontainer Anda, batasi kemampuan CAP_SYS_ADMIN Linux. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.1.0 |
| Kluster Kube tidak boleh menggunakan kemampuan keamanan tertentu | Cegah kemampuan keamanan tertentu pada kluster Kube untuk mencegah hak istimewa yang tidak diberikan pada sumber daya Pod. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.1.0 |
| Kluster Kube tidak boleh menggunakan namespace layanan default | Cegah penggunaan namespace layanan default di kluster Kub untuk melindungi akses tidak diotorisasi untuk jenis sumber daya ConfigMap, Pod, Secret, Service, dan ServiceAccount. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 4.1.0 |
| Kluster Kubernetes harus menggunakan StorageClass driver Container Storage Interface(CSI) | Container Storage Interface (CSI) adalah standar untuk mengekspos blok abritrer dan sistem penyimpanan file ke beban kerja kontainer pada Kube. StorageClass pemrovisi dalam-pohon tidak akan digunakan lagi sejak AKS versi 1.21. Untuk mempelajari selengkapnya, https://aka.ms/aks-csi-driver | Audit, Tolak, Dinonaktifkan | 2.2.0 |
| Kluster Kubernetes harus menggunakan penyeimbang muatan internal | Gunakan penyeimbang muatan internal untuk membuat layanan Kubernetes hanya dapat diakses oleh aplikasi yang berjalan di jaringan virtual yang sama dengan kluster Kubernetes. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.1.0 |
| Sumber daya Kubernetes harus memiliki anotasi yang diperlukan | Pastikan bahwa anotasi yang diperlukan dilampirkan pada jenis sumber daya Kubernetes tertentu untuk meningkatkan manajemen sumber daya dari sumber daya Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc . | Audit, Tolak, Dinonaktifkan | 3.1.0 |
| Log sumber daya dalam Azure Kubernetes Service harus diaktifkan | Log sumber daya Azure Kubernetes Service dapat membantu menciptakan kembali jalur aktivitas saat menyelidiki insiden keamanan. Aktifkan untuk memastikan log akan ada saat dibutuhkan | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Disk dan cache sementara untuk kumpulan simpul agen di kluster Azure Kubernetes Service harus dienkripsi di host | Untuk meningkatkan keamanan data, data tersimpan pada host komputer virtual (VM) dari VM simpul Azure Kubernetes Service harus dienkripsi saat tidak aktif. Ini adalah persyaratan umum dalam banyak standar kepatuhan peraturan dan industri. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Lab Services
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Lab Services harus mengaktifkan semua opsi untuk penonaktifan otomatis | Kebijakan ini memberikan bantuan terkait manajemen biaya dengan memberlakukan semua opsi penonaktifan otomatis yang diaktifkan untuk lab. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Lab Services tidak boleh mengizinkan mesin virtual templat untuk lab | Kebijakan ini mencegah pembuatan dan kustomisasi mesin virtual templat untuk lab yang dikelola melalui Lab Services. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Lab Services harus mewajibkan pengguna non-admin untuk lab | Kebijakan ini mengharuskan akun pengguna non-admin dibuat untuk lab yang dikelola melalui layanan lab. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Lab Services harus membatasi ukuran SKU mesin virtual yang diizinkan | Kebijakan ini memungkinkan Anda membatasi SKU VM Komputasi tertentu untuk lab yang dikelola melalui Layanan Lab. Ini akan membatasi ukuran mesin virtual tertentu. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
Lighthouse
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengizinkan id penyewa pengelola untuk onboarding melalui Azure Lighthouse | Membatasi delegasi Azure Lighthouse untuk penyewa pengelola tertentu dapat meningkatkan keamanan dengan membatasi mereka yang dapat mengelola sumber daya Azure Anda. | tolak | 1.0.1 |
| Delegasi audit cakupan ke penyewa pengelola | Delegasi audit cakupan ke penyewa pengelola melalui Azure Lighthouse. | Audit, Dinonaktifkan | 1.0.0 |
Logic Apps
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Lingkungan Layanan Integrasi Logic Apps harus dienkripsi dengan kunci yang dikelola pelanggan | Sebarkan ke Lingkungan Layanan Integrasi untuk mengelola enkripsi di seluruh data Logic Apps menggunakan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Logic Apps harus disebarkan ke dalam Lingkungan Layanan Integrasi | Menyebarkan Logic Apps ke Lingkungan Layanan Integrasi dalam jaringan virtual membuka fitur jaringan dan keamanan Logic Apps tingkat lanjut dan memberi Anda kontrol yang lebih besar atas konfigurasi jaringan Anda. Pelajari selengkapnya di: https://aka.ms/integration-service-environment. Penyebaran ke Lingkungan Layanan Integrasi juga memungkinkan enkripsi dengan kunci yang dikelola pelanggan yang memberikan perlindungan data yang ditingkatkan dengan memungkinkan Anda mengelola kunci enkripsi. Kunci enkripsi sering kali untuk memenuhi persyaratan kepatuhan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Log sumber daya di Logic Apps harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.1.0 |
Machine Learning
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Penyebaran Azure Pembelajaran Mesin Model Registry dibatasi kecuali untuk Registri yang diizinkan | Hanya sebarkan Model Registri di Registri yang diizinkan dan yang tidak dibatasi. | Tolak, Dinonaktifkan | 1.0.0-preview |
| Instans Komputasi Azure Machine Learning harus memiliki pematian yang menganggur. | Memiliki jadwal pematian yang menganggur mengurangi biaya dengan mematikan komputasi yang menganggur setelah periode aktivitas yang ditentukan sebelumnya. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Instans komputasi Azure Pembelajaran Mesin harus dibuat ulang untuk mendapatkan pembaruan perangkat lunak terbaru | Pastikan instans komputasi Azure Pembelajaran Mesin berjalan pada sistem operasi terbaru yang tersedia. Keamanan ditingkatkan dan kerentanan berkurang dengan menjalankan dengan patch keamanan terbaru. Untuk informasi selengkapnya, kunjungi https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Azure Pembelajaran Mesin Computes harus berada di jaringan virtual | Azure Virtual Networks menyediakan keamanan dan isolasi yang ditingkatkan untuk Azure Pembelajaran Mesin Kluster dan Instans Komputasi Anda, serta subnet, kebijakan kontrol akses, dan fitur lainnya untuk membatasi akses lebih lanjut. Ketika komputasi dikonfigurasi dengan jaringan virtual, komputasi tidak dapat diatasi secara publik dan hanya dapat diakses dari komputer virtual dan aplikasi dalam jaringan virtual. | Audit, Dinonaktifkan | 1.0.1 |
| Azure Pembelajaran Mesin Computes harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa komputasi Pembelajaran Mesin memerlukan identitas Azure Active Directory secara eksklusif untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/azure-ml-aad-policy. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Ruang kerja Azure Machine Learning harus dienkripsi dengan kunci yang dikelola pelanggan | Kelola enkripsi pada data ruang kerja Azure Machine Learning lainnya dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/azureml-workspaces-cmk. | Audit, Tolak, Dinonaktifkan | 1.0.3 |
| Ruang Kerja Azure Pembelajaran Mesin harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa ruang kerja Pembelajaran Mesin tidak terekspos di internet publik. Anda dapat mengontrol paparan ruang kerja Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari lebih lanjut di: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
| Ruang kerja Azure Machine Learning harus mengaktifkan V1LegacyMode untuk mendukung kompatibilitas mundur isolasi jaringan | Azure ML sedang melakukan transisi ke platform V2 API baru di Azure Resource Manager dan Anda dapat mengontrol versi platform API menggunakan parameter V1LegacyMode. Mengaktifkan parameter V1LegacyMode akan memungkinkan Anda menjaga ruang kerja dalam isolasi jaringan yang sama seperti V1, meskipun Anda tidak akan menggunakan fitur V2 baru. Sebaiknya aktifkan V1 Legacy Mode hanya jika Anda ingin menyimpan data sarana kontrol AzureML di dalam jaringan privat Anda. Pelajari selengkapnya di: https://aka.ms/V1LegacyMode. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Machine Learning, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Dinonaktifkan | 1.0.0 |
| Ruang kerja Azure Machine Learning harus menggunakan identitas terkelola yang ditetapkan pengguna | Akses Manange ke ruang kerja Azure ML dan sumber daya terkait, Azure Container Registry, KeyVault, Azure Storage, dan App Insights menggunakan identitas terkelola yang ditetapkan pengguna. Secara default, identitas terkelola yang ditetapkan sistem digunakan oleh ruang kerja Azure ML untuk mengakses sumber daya terkait. Identitas terkelola yang ditetapkan pengguna memungkinkan Anda untuk membuat identitas sebagai sumber daya Azure dan mempertahankan siklus hidup identitas tersebut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi Azure Pembelajaran Mesin Computes untuk menonaktifkan metode autentikasi lokal | Nonaktifkan metode autentikasi lokasi sehingga Komputasi Pembelajaran Mesin Anda memerlukan identitas Azure Active Directory khusus untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/azure-ml-aad-policy. | Ubah, Non-fungsikan | 2.1.0 |
| Mengonfigurasikan ruang kerja Azure Machine Learning untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat menautkan ke jaringan virtual Anda untuk mengatasi ke ruang kerja Azure Machine Learning. Pelajari selengkapnya di: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi Ruang Kerja Azure Pembelajaran Mesin untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk Ruang Kerja Azure Pembelajaran Mesin sehingga ruang kerja Anda tidak dapat diakses melalui internet publik. Ini membantu melindungi ruang kerja dari risiko kebocoran data. Anda dapat mengontrol paparan ruang kerja Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari lebih lanjut di: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Ubah, Non-fungsikan | 1.0.3 |
| Konfigurasikan ruang kerja Azure Machine Learning dengan titik akhir privat | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke ruang kerja Azure Machine Learning Anda, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi pengaturan diagnostik untuk Ruang Kerja Azure Pembelajaran Mesin ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Ruang Kerja Azure Pembelajaran Mesin untuk mengalirkan log sumber daya ke Ruang Kerja Analitik Log saat Ruang Kerja Azure Pembelajaran Mesin yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Log sumber daya di Azure Pembelajaran Mesin Workspaces harus diaktifkan | Log sumber daya memungkinkan pembuatan ulang jejak aktivitas untuk digunakan untuk tujuan investigasi ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Aplikasi Terkelola
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Definisi aplikasi untuk Aplikasi Terkelola harus menggunakan akun penyimpanan yang disediakan pelanggan | Gunakan akun penyimpanan Anda sendiri untuk mengontrol data definisi aplikasi ketika proses ini merupakan persyaratan peraturan atau kepatuhan. Anda dapat memilih untuk menyimpan definisi aplikasi terkelola dalam akun penyimpanan yang Anda sediakan selama pembuatan, sehingga lokasi dan aksesnya dapat dikelola sepenuhnya oleh Anda untuk memenuhi persyaratan kepatuhan peraturan. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Menyebarkan asosiasi untuk aplikasi terkelola | Menyebarkan sumber daya asosiasi yang mengasosiasikan jenis sumber daya terpilih ke aplikasi terkelola yang ditentukan. Penyebaran kebijakan ini tidak mendukung jenis sumber daya bertingkat. | deployIfNotExists | 1.0.0 |
Managed Grafana
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Azure Managed Grafana harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Grafana Terkelola, Anda dapat mengurangi risiko kebocoran data. | Audit, Dinonaktifkan | 1.0.0 |
| Ruang kerja Azure Managed Grafana harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa ruang kerja Azure Managed Grafana Anda tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan ruang kerja Anda. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi dasbor Azure Managed Grafana dengan titik akhir privat | Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke Azure Managed Grafana, Anda dapat mengurangi risiko kebocoran data. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi ruang kerja Azure Managed Grafana untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk ruang kerja Azure Managed Grafana Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi ruang kerja Azure Managed Grafana untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat ditautkan ke jaringan virtual Anda untuk diselesaikan ke ruang kerja Azure Managed Grafana. | DeployIfNotExists, Nonaktif | 1.0.0 |
Identitas Terkelola
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Kredensial Federasi Identitas Terkelola dari Azure Kubernetes harus berasal dari sumber tepercaya | Kebijakan ini membatasi federeasi dengan kluster Azure Kubernetes hanya untuk kluster dari penyewa yang disetujui, wilayah yang disetujui, dan daftar pengecualian tertentu dari kluster tambahan. | Audit, Dinonaktifkan, Tolak | 1.0.0-preview |
| [Pratinjau]: Kredensial Federasi Identitas Terkelola dari GitHub harus berasal dari pemilik repositori tepercaya | Kebijakan ini membatasi federasi dengan repositori GitHub hanya untuk pemilik repositori yang disetujui. | Audit, Dinonaktifkan, Tolak | 1.0.1-pratinjau |
| [Pratinjau]: Kredensial Federasi Identitas Terkelola harus berasal dari jenis penerbit yang diizinkan | Kebijakan ini membatasi apakah Identitas Terkelola dapat menggunakan kredensial federasi, jenis penerbit umum mana yang diizinkan, dan menyediakan daftar pengecualian penerbit yang diizinkan. | Audit, Dinonaktifkan, Tolak | 1.0.0-preview |
| [Pratinjau]: Tetapkan Identitas Terkelola Bawaan yang Ditetapkan Pengguna ke Set Skala Komputer Virtual | Buat dan tetapkan identitas terkelola bawaan yang ditetapkan pengguna atau tetapkan identitas terkelola yang ditetapkan pengguna yang telah dibuat sebelumnya dalam skala besar ke set skala mesin virtual. Untuk dokumentasi yang lebih terperinci, kunjungi aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Dinonaktifkan | 1.0.6-pratinjau |
| [Pratinjau]: Tetapkan Identitas Terkelola Bawaan yang Ditetapkan Pengguna ke Komputer Virtual | Buat dan tetapkan identitas terkelola bawaan yang ditetapkan pengguna atau tetapkan identitas terkelola yang ditetapkan pengguna yang telah dibuat sebelumnya dalam skala besar ke mesin virtual. Untuk dokumentasi yang lebih terperinci, kunjungi aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Dinonaktifkan | 1.0.6-pratinjau |
Maps
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| CORS tidak boleh mengizinkan setiap sumber daya mengakses akun map Anda. | Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses akun peta Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan akun peta Anda. | Tolak, Nonaktifkan, Audit | 1.0.0 |
Media Services
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Akun Azure Media Services harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya Media Services tidak terpapar di internet publik. Membuat titik akhir privat dapat membatasi pemaparan sumber daya Media Services. Pelajari selengkapnya di: https://aka.ms/mediaservicesprivatelinkdocs. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun Azure Media Services harus menggunakan API yang mendukung Private Link | Akun Media Services harus dibuat dengan API yang mendukung private link. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun Azure Media Services yang mengizinkan akses ke warisan v2 API harus diblokir | Media Services warisan v2 API memungkinkan permintaan yang tidak dapat dikelola menggunakan Azure Policy. Sumber daya Media Services yang dibuat menggunakan API 01-05-2020 atau yang lebih baru memblokir akses ke warisan v2 API. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Kebijakan kunci konten Azure Media Services harus menggunakan autentikasi token | Kebijakan kunci konten menentukan kondisi yang harus dipenuhi untuk mengakses kunci konten. Pembatasan token memastikan kunci konten hanya dapat diakses oleh pengguna yang memiliki token yang valid dari layanan autentikasi, misalnya ID Microsoft Entra. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Pekerjaan Azure Media Services dengan input HTTPS harus membatasi URI input ke pola URI yang diizinkan | Batasi input HTTPS yang digunakan oleh pekerjaan Media Services ke titik akhir yang diketahui. Input dari titik akhir HTTPS dapat dinonaktifkan sepenuhnya dengan mengatur daftar kosong pola input pekerjaan yang diizinkan. Di mana input pekerjaan menentukan 'baseUri', polanya akan dicocokkan dengan nilai ini; ketika 'baseUri' tidak diatur, pola dicocokkan dengan properti 'file'. | Tolak, Dinonaktifkan | 1.0.1 |
| Azure Media Services harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif di akun Media Services Anda. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/mediaservicescmkdocs. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Media Services harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Media Services, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Konfigurasi Azure Media Services untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat ditautkan ke jaringan virtual Anda untuk diselesaikan ke akun Media Services. Pelajari selengkapnya di: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasi Azure Media Services dengan titik akhir privat | Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke Media Services, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Nonaktif | 1.0.0 |
Migrate
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengonfigurasi sumber daya Azure Migrate untuk menggunakan zona DNS pribadi | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS pribadi tertaut ke jaringan virtual Anda untuk mengatasi proyek Azure Migrate Anda. Pelajari selengkapnya di: https://aka.ms/privatednszone. | DeployIfNotExists, Nonaktif | 1.0.0 |
Jaringan Seluler
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengonfigurasi akses diagnostik Packet Core Control Plane untuk menggunakan jenis autentikasi Microsoft EntraID | Jenis Authenticaton harus Microsoft EntraID untuk akses diagnostik inti paket melalui API lokal | Ubah, Non-fungsikan | 1.0.0 |
| Akses diagnostik Sarana Kontrol Inti Paket hanya boleh menggunakan jenis autentikasi Microsoft EntraID | Jenis Authenticaton harus Microsoft EntraID untuk akses diagnostik inti paket melalui API lokal | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Grup SIM harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi di sisa rahasia SIM dalam Grup SIM. Kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan dan mereka memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Pemantauan
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Mengonfigurasi mesin Linux berkemampuan Azure Arc dengan agen Log Analytics yang tersambung ke ruang kerja Log Analytics default | Lindungi komputer Linux dengan dukungan Azure Arc dengan kemampuan Microsoft Defender untuk Cloud, dengan menginstal agen Analitik Log yang mengirim data ke ruang kerja Analitik Log default yang dibuat oleh Microsoft Defender untuk Cloud. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| [Pratinjau]: Mengonfigurasi mesin Windows yang mendukung Azure Arc dengan agen Analisis Log yang tersambung ke ruang kerja Analisis Log default | Lindungi komputer Windows dengan dukungan Azure Arc dengan kemampuan Microsoft Defender untuk Cloud, dengan menginstal agen Analitik Log yang mengirim data ke ruang kerja Analitik Log default yang dibuat oleh Microsoft Defender untuk Cloud. | DeployIfNotExists, Nonaktif | 1.1.0-pratinjau |
| [Pratinjau]: Mengonfigurasi identitas terkelola yang ditetapkan sistem untuk mengaktifkan penetapan Azure Monitor di VM | Konfigurasikan identitas terkelola yang ditetapkan sistem ke mesin virtual yang dihosting di Azure yang didukung oleh Azure Monitor dan yang tidak memiliki identitas terkelola yang ditetapkan sistem. Identitas terkelola yang ditetapkan sistem merupakan prasyarat untuk semua penugasan Azure Monitor dan harus ditambahkan ke komputer sebelum menggunakan ekstensi Azure Monitor apa pun. Komputer virtual target harus berada di lokasi yang didukung. | Ubah, Non-fungsikan | 6.0.0-pratinjau |
| [Pratinjau]: Ekstensi Analitik Log harus diaktifkan untuk citra mesin virtual yang tercantum | Melaporkan mesin virtual sebagai tidak sesuai jika citra mesin virtual tidak ada dalam daftar yang ditentukan dan ekstensi tidak terinstal. | AuditIfNotExists, Dinonaktifkan | 2.0.1-pratinjau |
| [Pratinjau]: Ekstensi Analitik Log harus diinstal di mesin Azure Arc Linux | Kebijakan ini mengaudit mesin Linux Azure Arc jika ekstensi Analitik Log tidak terpasang. | AuditIfNotExists, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Ekstensi Analitik Log harus diinstal di mesin Azure Arc Windows | Kebijakan ini mengaudit mesin Windows Azure Arc jika ekstensi Analitik Log tidak terpasang. | AuditIfNotExists, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux | Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. | AuditIfNotExists, Dinonaktifkan | pratinjau-1.0.2 |
| [Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows | Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. | AuditIfNotExists, Dinonaktifkan | pratinjau-1.0.2 |
| Log aktivitas harus disimpan setidaknya selama satu tahun | Kebijakan ini mengaudit log aktivitas jika retensi tidak disetel selama 365 hari atau selamanya (hari retensi disetel ke 0). | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Peringatan log aktivitas harus ada untuk operasi Administratif tertentu | Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Peringatan log aktivitas harus ada untuk operasi Kebijakan tertentu | Kebijakan ini mengaudit operasi Kebijakan tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Peringatan log aktivitas harus ada untuk operasi Keamanan tertentu | Kebijakan ini mengaudit operasi Keamanan tertentu tanpa peringatan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Komponen Application Insights harus memblokir penyerapan log dan kueri dari jaringan publik | Tingkatkan keamanan Application Insights dengan memblokir penyerapan log dan kueri dari jaringan publik. Hanya jaringan yang tersambung dengan tautan privat yang dapat menyerap dan mengkueri log komponen ini. Pelajari lebih lanjut di https://aka.ms/AzMonPrivateLink#configure-application-insights. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Komponen Application Insights akan memblokir penyerapan yang tidak berbasis Azure Active Directory. | Menerapkan penyerapan log untuk mewajibkan autentikasi Azure Active Directory akan mencegah log tak terautentikasi dari penyerang yang dapat mengakibatkan kesalahan status, pemberitahuan palsu, dan penyimpanan log yang salah di sistem. | Tolak, Audit, Nonaktifkan | 1.0.0 |
| Komponen Application Insights dengan Private Link yang diaktifkan harus menggunakan akun Bring Your Own Storage untuk profiler dan debugger. | Untuk mendukung tautan privat dan kebijakan kunci yang dikelola pelanggan, buat akun penyimpanan Anda sendiri untuk profiler dan debugger. Pelajari lebih lanjut di https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage | Tolak, Audit, Nonaktifkan | 1.0.0 |
| Pengaturan diagnostik audit untuk jenis sumber daya yang dipilih | Audit pengaturan diagnostik untuk jenis sumber daya yang dipilih. Pastikan untuk memilih hanya jenis sumber daya yang mendukung pengaturan diagnostik. | AuditIfNotExists | 2.0.1 |
| Azure Application Gateway harus mengaktifkan log Sumber Daya | Aktifkan Log sumber daya untuk Azure Application Gateway (ditambah WAF) dan streaming ke ruang kerja Analitik Log. Dapatkan visibilitas terperinci ke lalu lintas web masuk dan tindakan yang diambil untuk mengurangi serangan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Front Door harus mengaktifkan log Sumber Daya | Aktifkan log Sumber Daya untuk Azure Front Door (ditambah WAF) dan streaming ke ruang kerja Analitik Log. Dapatkan visibilitas terperinci ke lalu lintas web masuk dan tindakan yang diambil untuk mengurangi serangan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Front Door Standard atau Premium (Plus WAF) harus mengaktifkan log sumber daya | Aktifkan log Sumber Daya untuk Azure Front Door Standard atau Premium (plus WAF) dan streaming ke ruang kerja Analitik Log. Dapatkan visibilitas terperinci ke lalu lintas web masuk dan tindakan yang diambil untuk mengurangi serangan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Log Search Alerts di ruang kerja Log Analytics harus menggunakan kunci yang dikelola pelanggan | Pastikan Azure Log Search Alerts menerapkan kunci yang dikelola pelanggan, dengan menyimpan teks kueri menggunakan akun penyimpanan yang telah disediakan pelanggan untuk ruang kerja Log Analytics yang dikueri. Untuk informasi selengkapnya, kunjungi https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | Audit, Dinonaktifkan, Tolak | 1.0.0 |
| Profil log Azure Monitor harus mengumpulkan log untuk kategori 'tulis,' 'hapus,' dan 'tindakan' | Kebijakan ini memastikan bahwa profil log mengumpulkan log untuk kategori 'tulis,' 'hapus,' dan 'tindakan' | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Kluster Log Azure Monitor harus dibuat dengan enkripsi infrastruktur yang diaktifkan (enkripsi ganda) | Untuk memastikan enkripsi data yang aman diaktifkan di tingkat layanan dan tingkat infrastruktur dengan dua algoritma enkripsi yang berbeda dan dua kunci yang berbeda, gunakan kluster khusus Azure Monitor. Opsi ini diaktifkan secara default bila didukung di wilayah tersebut, lihat https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Kluster Log Azure Monitor harus dienkripsi dengan kunci yang dikelola pelanggan | Buat kluster log Azure Monitor dengan enkripsi kunci yang dikelola pelanggan. Secara default, data log dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi kepatuhan terhadap peraturan. Kunci yang dikelola pelanggan di Azure Monitor memberi lebih banyak kontrol atas akses ke data Anda, lihat https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Log Azure Monitor untuk Application Insights harus ditautkan ke ruang kerja Analitik Log | Tautkan komponen Application Insights ke ruang kerja Analitik Log untuk enkripsi log. Kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi kepatuhan terhadap peraturan dan untuk kontrol yang lebih atas akses ke data Anda di Azure Monitor. Menautkan komponen Anda ke ruang kerja Analitik Log yang diaktifkan dengan kunci yang dikelola pelanggan, memastikan bahwa log Application Insights Anda memenuhi persyaratan kepatuhan ini, lihat https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Cakupan Private Link Azure Monitor harus memblokir akses ke sumber daya tautan non privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke sumber daya Azure melalui titik akhir privat ke cakupan Azure Monitor Private Link (AMPLS). Mode Akses Private Link diatur pada AMPLS untuk mengontrol jika permintaan penyerapan dan kueri dari jaringan Anda dapat menjangkau semua sumber daya, atau hanya sumber daya Private Link (untuk mencegah eksfiltrasi data). Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Monitor Private Link Scope harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Monitor Private Link Scope, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Monitor harus mengumpulkan log aktivitas dari semua wilayah | Kebijakan ini mengaudit profil log Azure Monitor yang tidak mengekspor aktivitas dari semua wilayah yang didukung Azure termasuk global. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Solusi Azure Monitor 'Keamanan dan Audit' harus disebarkan | Kebijakan ini memastikan bahwa Keamanan dan Audit disebarkan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Langganan Azure harus memiliki profil log untuk Log Aktivitas | Kebijakan ini memastikan jika profil log diaktifkan untuk mengekspor log aktivitas. Ini mengaudit jika tidak ada profil log yang dibuat untuk mengekspor log ke akun penyimpanan atau ke hub acara. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi log Aktivitas Azure untuk mengalirkan ke ruang kerja Analitik Log yang ditentukan | Menyebarkan pengaturan diagnostik untuk Aktivitas Azure untuk mengalirkan jejak audit langganan ke ruang kerja Analitik Log guna memantau kejadian tingkat langganan | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi komponen Azure Application Insights untuk menonaktifkan akses jaringan publik untuk penyerapan dan pengkuerian log | Nonaktifkan penyerapan dan pengkuerian log komponen dari akses jaringan publik untuk meningkatkan keamanan. Hanya jaringan yang tersambung dengan tautan privat yang dapat menyerap dan mengkueri log di ruang kerja ini. Pelajari lebih lanjut di https://aka.ms/AzMonPrivateLink#configure-application-insights. | Ubah, Non-fungsikan | 1.1.0 |
| Mengonfigurasi ruang kerja Azure Log Analytics untuk menonaktifkan akses jaringan publik penyerapan dan pengkuerian log | Tingkatkan keamanan ruang kerja dengan memblokir penyerapan log dan kueri dari jaringan publik. Hanya jaringan yang tersambung dengan tautan privat yang dapat menyerap dan mengkueri log di ruang kerja ini. Pelajari lebih lanjut di https://aka.ms/AzMonPrivateLink#configure-log-analytics. | Ubah, Non-fungsikan | 1.1.0 |
| Konfigurasikan Cakupan Private Link Azure Monitor untuk memblokir akses ke sumber daya tautan non privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke sumber daya Azure melalui titik akhir privat ke cakupan Azure Monitor Private Link (AMPLS). Mode Akses Private Link diatur pada AMPLS untuk mengontrol jika permintaan penyerapan dan kueri dari jaringan Anda dapat menjangkau semua sumber daya, atau hanya sumber daya Private Link (untuk mencegah eksfiltrasi data). Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi Azure Monitor Private Link Scope untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat menautkan ke jaringan virtual Anda untuk menangani cakupan tautan privat Azure Monitor. Pelajari selengkapnya di: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi Azure Monitor Private Link Scope dengan titik akhir privat | Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke Azure Monitor Private Link Scope, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi agen Dependensi pada server Linux yang diaktifkan Azure Arc | Aktifkan insight VM di server dan komputer yang tersambung ke Azure melalui server yang diaktifkan Arc dengan memasang ekstensi komputer virtual agen Dependensi. Insight VM menggunakan agen Dependensi untuk mengumpulkan metrik jaringan dan menemukan data tentang proses yang berjalan pada komputer dan dependensi proses eksternal. Lihat selengkapnya - https://aka.ms/vminsightsdocs. | DeployIfNotExists, Nonaktif | 2.0.0 |
| Mengonfigurasi Agen Dependensi pada server Linux berkemampuan Azure Arc dengan pengaturan Agen Azure Monitor | Aktifkan insight VM di server dan komputer yang terhubung ke Azure melalui server yang diaktifkan Arc dengan menginstal ekstensi mesin virtual agen Dependensi dengan pengaturan Agen Azure Monitor. Insight VM menggunakan agen Dependensi untuk mengumpulkan metrik jaringan dan menemukan data tentang proses yang berjalan pada komputer dan dependensi proses eksternal. Lihat selengkapnya - https://aka.ms/vminsightsdocs. | DeployIfNotExists, Nonaktif | 1.1.2 |
| Mengonfigurasi agen Dependensi pada server Windows yang diaktifkan Azure Arc | Aktifkan insight VM di server dan komputer yang tersambung ke Azure melalui server yang diaktifkan Arc dengan memasang ekstensi komputer virtual agen Dependensi. Insight VM menggunakan agen Dependensi untuk mengumpulkan metrik jaringan dan menemukan data tentang proses yang berjalan pada komputer dan dependensi proses eksternal. Lihat selengkapnya - https://aka.ms/vminsightsdocs. | DeployIfNotExists, Nonaktif | 2.0.0 |
| Mengonfigurasi agen Dependensi pada server Windows yang diaktifkan Azure Arc dengan pengaturan Agen Azure Monitor | Aktifkan insight VM di server dan komputer yang terhubung ke Azure melalui server yang diaktifkan Arc dengan menginstal ekstensi mesin virtual agen Dependensi dengan pengaturan Agen Azure Monitor. Insight VM menggunakan agen Dependensi untuk mengumpulkan metrik jaringan dan menemukan data tentang proses yang berjalan pada komputer dan dependensi proses eksternal. Lihat selengkapnya - https://aka.ms/vminsightsdocs. | DeployIfNotExists, Nonaktif | 1.1.2 |
| Mengonfigurasi Linux Arc Machines untuk dikaitkan dengan Aturan Pengumpulan Data atau Titik Akhir Pengumpulan Data | Sebarkan Asosiasi untuk menautkan komputer Linux Arc ke Aturan Pengumpulan Data yang ditentukan atau Titik Akhir Pengumpulan Data yang ditentukan. Daftar lokasi diperbarui dari waktu ke waktu karena dukungan meningkat. | DeployIfNotExists, Nonaktif | 2.2.0 |
| Mengonfigurasikan mesin Linux dengan dukungan Arc untuk menjalankan Agen Azure Monitor | Mengotomatiskan penyebaran ekstensi Azure Monitor Agent di mesin dengan Arc Linux Anda untuk mengumpulkan data telemetri dari OS tamu. Kebijakan ini akan memasang ekstensi jika wilayah didukung. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 2.4.0 |
| Mengonfigurasi Komputer Linux untuk dikaitkan dengan Aturan Pengumpulan Data atau Titik Akhir Pengumpulan Data | Sebarkan Asosiasi untuk menautkan komputer virtual Linux, set skala komputer virtual, dan komputer Arc ke Aturan Pengumpulan Data yang ditentukan atau Titik Akhir Pengumpulan Data yang ditentukan. Daftar lokasi dan citra OS diperbarui seiring dengan peningkatan dukungan. | DeployIfNotExists, Nonaktif | 6.3.0 |
| Mengonfigurasi Kumpulan Skala Komputer Virtual Linux untuk dikaitkan dengan Aturan Pengumpulan Data atau Titik Akhir Pengumpulan Data | Sebarkan Asosiasi untuk menautkan set skala komputer virtual Linux ke Aturan Pengumpulan Data yang ditentukan atau Titik Akhir Pengumpulan Data yang ditentukan. Daftar lokasi dan citra OS diperbarui seiring dengan peningkatan dukungan. | DeployIfNotExists, Nonaktif | 4.2.0 |
| Mengonfigurasikan kumpulan skala mesin virtual Linux untuk menjalankan Agen Azure Monitor dengan autentikasi berbasis identitas terkelola yang ditetapkan sistem | Otomatiskan penyebaran ekstensi Agen Azure Monitor di set skala mesin virtual Linux Anda untuk mengumpulkan data telemetri dari OS tamu. Kebijakan ini akan menginstal ekstensi jika OS dan kawasan didukung serta identitas terkelola yang ditetapkan sistem diaktifkan, dan lewati penginstalan jika tidak. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 3.5.0 |
| Mengonfigurasikan kumpulan skala mesin virtual Linux untuk menjalankan Agen Azure Monitor dengan autentikasi berbasis identitas terkelola yang ditetapkan pengguna | Otomatiskan penyebaran ekstensi Agen Azure Monitor di set skala mesin virtual Linux Anda untuk mengumpulkan data telemetri dari OS tamu. Kebijakan ini akan menginstal ekstensi dan mengonfigurasinya untuk menggunakan identitas terkelola yang ditetapkan pengguna yang ditentukan jika OS dan wilayah mendukung, dan melompati pemasangan sebaliknya. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 3.6.0 |
| Mengonfigurasi Komputer Virtual Linux untuk dikaitkan dengan Aturan Pengumpulan Data atau Titik Akhir Pengumpulan Data | Sebarkan Asosiasi untuk menautkan komputer virtual Linux ke Aturan Pengumpulan Data yang ditentukan atau Titik Akhir Pengumpulan Data yang ditentukan. Daftar lokasi dan citra OS diperbarui seiring dengan peningkatan dukungan. | DeployIfNotExists, Nonaktif | 4.2.0 |
| Mengonfigurasikan mesin virtual Linux untuk menjalankan Agen Azure Monitor dengan autentikasi berbasis identitas terkelola yang ditetapkan sistem | Otomatiskan penyebaran ekstensi Agen Azure Monitor di set skala mesin virtual Linux Anda untuk mengumpulkan data telemetri dari OS tamu. Kebijakan ini akan menginstal ekstensi jika OS dan kawasan didukung serta identitas terkelola yang ditetapkan sistem diaktifkan, dan lewati penginstalan jika tidak. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 3.5.0 |
| Mengonfigurasikan mesin virtual Linux untuk menjalankan Agen Azure Monitor dengan autentikasi berbasis identitas terkelola yang ditetapkan pengguna | Otomatiskan penyebaran ekstensi Agen Azure Monitor di set skala mesin virtual Linux Anda untuk mengumpulkan data telemetri dari OS tamu. Kebijakan ini akan menginstal ekstensi dan mengonfigurasinya untuk menggunakan identitas terkelola yang ditetapkan pengguna yang ditentukan jika OS dan wilayah mendukung, dan melompati pemasangan sebaliknya. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 3.6.0 |
| Konfigurasikan ekstensi Log Analytics pada server Linux dengan dukungan Azure Arc. Lihat pemberitahuan penghentian di bawah ini | Aktifkan wawasan mesin virtual di server dan mesin yang terhubung ke Server dengan dukungan Azure melalui Arc dengan memasang ekstensi mesin virtual Analitik Log. Insight VM menggunakan agen Analitik Log untuk mengumpulkan data performa OS tamu, dan memberikan insight tentang performa OS tamu. Lihat selengkapnya - https://aka.ms/vminsightsdocs. Pemberitahuan penghentian: Agen Analitik Log berada di jalur penghentian dan tidak akan didukung setelah 31 Agustus 2024. Anda harus bermigrasi ke 'agen Azure Monitor' pengganti sebelum tanggal tersebut | DeployIfNotExists, Nonaktif | 2.1.1 |
| Konfigurasikan ekstensi Analitik Log pada Windows Server dengan dukungan Azure Arc | Aktifkan wawasan mesin virtual di server dan mesin yang terhubung ke Server dengan dukungan Azure melalui Arc dengan memasang ekstensi mesin virtual Analitik Log. Insight VM menggunakan agen Analitik Log untuk mengumpulkan data performa OS tamu, dan memberikan insight tentang performa OS tamu. Lihat selengkapnya - https://aka.ms/vminsightsdocs. Pemberitahuan penghentian: Agen Analitik Log berada di jalur penghentian dan tidak akan didukung setelah 31 Agustus 2024. Anda harus bermigrasi ke 'agen Azure Monitor' pengganti sebelum tanggal tersebut. | DeployIfNotExists, Nonaktif | 2.1.1 |
| Mengonfigurasi ruang kerja dan akun automasi Log Analytics untuk memusatkan log dan pemantauan | Terapkan grup sumber daya yang berisi ruang kerja Log Analytics dan akun automasi tertaut untuk memusatkan log dan pemantauan. Akun automasi adalah prasyarat untuk solusi seperti Pembaruan dan Pelacakan Perubahan. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Mengonfigurasi Windows Arc Machines untuk dikaitkan dengan Aturan Pengumpulan Data atau Titik Akhir Pengumpulan Data | Sebarkan Asosiasi untuk menautkan komputer Windows Arc ke Aturan Pengumpulan Data yang ditentukan atau Titik Akhir Pengumpulan Data yang ditentukan. Daftar lokasi diperbarui dari waktu ke waktu karena dukungan meningkat. | DeployIfNotExists, Nonaktif | 2.2.0 |
| Mengonfigurasikan mesin Windows dengan dukungan Arc untuk menjalankan Agen Azure Monitor | Automasikan penyebaran ekstensi Agen Azure Monitor di mesin Windows dengan dukungan Arc untuk mengumpulkan data telemetri dari OS tamu. Kebijakan ini akan menginstal ekstensi jika OS dan kawasan didukung serta identitas terkelola yang ditetapkan sistem diaktifkan, dan lewati penginstalan jika tidak. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 2.4.0 |
| Mengonfigurasi Windows Machines untuk dikaitkan dengan Aturan Pengumpulan Data atau Titik Akhir Pengumpulan Data | Sebarkan Asosiasi untuk menautkan komputer virtual Windows, set skala komputer virtual, dan komputer Arc ke Aturan Pengumpulan Data yang ditentukan atau Titik Akhir Pengumpulan Data yang ditentukan. Daftar lokasi dan citra OS diperbarui seiring dengan peningkatan dukungan. | DeployIfNotExists, Nonaktif | 4.5.0 |
| Mengonfigurasi Windows Virtual Machine Scale Sets untuk dikaitkan dengan Aturan Pengumpulan Data atau Titik Akhir Pengumpulan Data | Sebarkan Asosiasi untuk menautkan set skala komputer virtual Windows ke Aturan Pengumpulan Data yang ditentukan atau Titik Akhir Pengumpulan Data yang ditentukan. Daftar lokasi dan citra OS diperbarui seiring dengan peningkatan dukungan. | DeployIfNotExists, Nonaktif | 3.3.0 |
| Mengonfigurasikan kumpulan skala mesin virtual Windows untuk menjalankan Agen Azure Monitor dengan menggunakan identitas terkelola yang ditetapkan sistem | Otomatiskan penyebaran ekstensi Agen Azure Monitor di set skala mesin virtual Windows Anda untuk mengumpulkan data telemetri dari OS tamu. Kebijakan ini akan menginstal ekstensi jika OS dan kawasan didukung serta identitas terkelola yang ditetapkan sistem diaktifkan, dan lewati penginstalan jika tidak. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 3.4.0 |
| Mengonfigurasikan kumpulan skala mesin virtual Windows untuk menjalankan Agen Azure Monitor dengan menggunakan autentikasi berbasis identitas terkelola yang ditetapkan pengguna | Otomatiskan penyebaran ekstensi Agen Azure Monitor di set skala mesin virtual Windows Anda untuk mengumpulkan data telemetri dari OS tamu. Kebijakan ini akan menginstal ekstensi dan mengonfigurasinya untuk menggunakan identitas terkelola yang ditetapkan pengguna yang ditentukan jika OS dan wilayah mendukung, dan melompati pemasangan sebaliknya. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 1.4.0 |
| Mengonfigurasi Windows Virtual Machines untuk dikaitkan dengan Aturan Pengumpulan Data atau Titik Akhir Pengumpulan Data | Sebarkan Asosiasi untuk menautkan komputer virtual Windows ke Aturan Pengumpulan Data yang ditentukan atau Titik Akhir Pengumpulan Data yang ditentukan. Daftar lokasi dan citra OS diperbarui seiring dengan peningkatan dukungan. | DeployIfNotExists, Nonaktif | 3.3.0 |
| Mengonfigurasikan mesin virtual Windows untuk menjalankan Agen Azure Monitor dengan menggunakan identitas terkelola yang ditetapkan sistem | Otomatiskan penyebaran ekstensi Agen Azure Monitor di mesin virtual Windows Anda untuk mengumpulkan data telemetri dari OS tamu. Kebijakan ini akan menginstal ekstensi jika OS dan kawasan didukung serta identitas terkelola yang ditetapkan sistem diaktifkan, dan lewati penginstalan jika tidak. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 4.4.0 |
| Mengonfigurasikan mesin virtual Windows untuk menjalankan Agen Azure Monitor dengan menggunakan autentikasi berbasis identitas terkelola yang ditetapkan pengguna | Otomatiskan penyebaran ekstensi Agen Azure Monitor di mesin virtual Windows Anda untuk mengumpulkan data telemetri dari OS tamu. Kebijakan ini akan menginstal ekstensi dan mengonfigurasinya untuk menggunakan identitas terkelola yang ditetapkan pengguna yang ditentukan jika OS dan wilayah mendukung, dan melompati pemasangan sebaliknya. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 1.4.0 |
| Agen dependensi harus diaktifkan untuk citra komputer virtual yang tercantum | Melaporkan komputer virtual sebagai tidak sesuai jika gambar komputer virtual tidak ada dalam daftar yang ditentukan dan agen tidak diinstal. Daftar gambar OS diperbarui dari waktu ke waktu saat dukungan diperbarui. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Agen Dependensi harus diaktifkan dalam set skala komputer virtual untuk citra komputer virtual yang tercantum | Melaporkan set skala komputer virtual sebagai tidak sesuai jika gambar komputer virtual tidak ada dalam daftar yang ditentukan dan agen tidak diinstal. Daftar gambar OS diperbarui dari waktu ke waktu saat dukungan diperbarui. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Sebarkan - Mengonfigurasikan agen Dependensi yang akan diaktifkan pada set skala komputer virtual Windows | Sebarkan agen Dependensi untuk set skala komputer virtual Windows jika gambar komputer virtual ada dalam daftar yang ditentukan dan agen tidak dipasang. Jika upgradePolicy set skala Anda diatur ke Manual, Anda perlu menerapkan ekstensi ke semua komputer virtual di set dengan memperbaruinya. | DeployIfNotExists, Nonaktif | 3.1.0 |
| Sebarkan - Mengonfigurasi agen Dependensi yang akan diaktifkan pada komputer virtual Windows | Menyebarkan agen Dependensi untuk komputer virtual Windows jika gambar komputer virtual ada dalam daftar yang ditentukan dan agen tidak dipasang. | DeployIfNotExists, Nonaktif | 3.1.0 |
| Sebarkan - Konfigurasikan pengaturan diagnostik ke ruang kerja Log Analytics untuk diaktifkan di HSM Terkelola Azure Key Vault | Menyebarkan pengaturan diagnostik untuk HSM Terkelola Azure Key Vault untuk mengalirkan ke ruang kerja Analitik Log wilayah saat HSM Terkelola Azure Key Vault yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Deploy - Konfigurasikan ekstensi Analitik Log yang akan diaktifkan pada set skala mesin virtual Windows | Sebarkan ekstensi Analitik Log untuk set skala mesin virtual Windows jika citra mesin virtual ada di dalam daftar yang ditentukan dan ekstensi tidak terinstal. Jika upgradePolicy set skala Anda diatur ke Manual, Anda perlu menerapkan ekstensi ke semua komputer virtual di set dengan memperbaruinya. Pemberitahuan penghentian: Agen Analitik Log berada di jalur penghentian dan tidak akan didukung setelah 31 Agustus 2024. Anda harus bermigrasi ke 'agen Azure Monitor' pengganti sebelum tanggal tersebut. | DeployIfNotExists, Nonaktif | 3.1.0 |
| Sebarkan - Konfigurasikan ekstensi Analitik Log yang akan diaktifkan di mesin virtual Windows | Sebarkan ekstensi Analitik Log untuk mesin virtual Windows jika citra mesin virtual ada di dalam daftar yang ditentukan dan ekstensi tidak terinstal. Pemberitahuan penghentian: Agen Analitik Log berada di jalur penghentian dan tidak akan didukung setelah 31 Agustus 2024. Anda harus bermigrasi ke 'agen Azure Monitor' pengganti sebelum tanggal tersebut. | DeployIfNotExists, Nonaktif | 3.1.0 |
| Sebarkan agen Dependensi untuk set skala komputer virtual Linux | Sebarkan agen Dependensi untuk set skala komputer virtual Linux jika Gambar VM (OS) ada dalam daftar yang ditentukan dan agen tidak dipasang. Catatan: jika set skala upgradePolicy diatur ke Manual, Anda perlu menerapkan ekstensi ke semua komputer virtual di set dengan memanggil peningkatan pada komputer virtual. Dalam CLI ini akan berupa az vmss update-instances. | deployIfNotExists | 5.0.0 |
| Sebarkan agen Dependensi untuk set skala mesin virtual Linux dengan pengaturan Agen Azure Monitoring | Sebarkan agen Dependensi untuk mesin virtual Linux dengan pengaturan Agen Azure Monitoring jika Gambar VM (OS) ada dalam daftar yang ditentukan dan agen belum terinstal. Catatan: jika set skala upgradePolicy diatur ke Manual, Anda perlu menerapkan ekstensi ke semua komputer virtual di set dengan memanggil peningkatan pada komputer virtual. Dalam CLI ini akan berupa az vmss update-instances. | DeployIfNotExists, Nonaktif | 3.1.1 |
| Menyebarkan agen Dependensi untuk komputer virtual Linux | Menyebarkan agen Dependensi untuk komputer virtual Linux jika Gambar VM (OS) ada dalam daftar yang ditentukan dan agen tidak dipasang. | deployIfNotExists | 5.0.0 |
| Sebarkan agen Dependensi untuk mesin virtual Linux dengan pengaturan Agen Azure Monitoring | Sebarkan agen Dependensi untuk mesin virtual Linux dengan pengaturan Agen Azure Monitoring jika Gambar VM (OS) ada dalam daftar yang ditentukan dan agen belum terinstal. | DeployIfNotExists, Nonaktif | 3.1.1 |
| Menyebarkan agen Dependensi untuk diaktifkan pada set skala mesin virtual Windows dengan pengaturan Agen Azure Monitor | Sebarkan agen Dependensi untuk mesin virtual Windows dengan pengaturan Agen Azure Monitoring jika gambar mesin virtual ada dalam daftar yang ditentukan dan agen belum terinstal. Jika upgradePolicy set skala Anda diatur ke Manual, Anda perlu menerapkan ekstensi ke semua komputer virtual di set dengan memperbaruinya. | DeployIfNotExists, Nonaktif | 1.2.2 |
| Menyebarkan agen Dependensi untuk diaktifkan pada mesin virtual Windows dengan pengaturan Agen Azure Monitor | Sebarkan agen Dependensi untuk mesin virtual Windows dengan pengaturan Agen Azure Monitoring jika gambar mesin virtual ada dalam daftar yang ditentukan dan agen belum terinstal. | DeployIfNotExists, Nonaktif | 1.2.2 |
| Menyebarkan Pengaturan Diagnostik untuk Akun Batch ke Hub Kejadian | Menyebarkan pengaturan diagnostik untuk Akun Batch untuk mengalirkan ke Hub Kejadian wilayah saat Akun Batch yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 2.0.0 |
| Menyebarkan Pengaturan Diagnostik untuk Akun Batch ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Akun Batch untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Akun Batch yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Menyebarkan Pengaturan Diagnostik untuk Data Lake Analytics ke Hub Kejadian | Menyebarkan pengaturan diagnostik untuk Data Lake Analytics untuk mengalirkan ke Hub Kejadian wilayah saat Data Lake Analytics yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 2.0.0 |
| Menyebarkan Pengaturan Diagnostik untuk Data Lake Analytics ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Data Lake Analytics untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Data Lake Analytics yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Menyebarkan Pengaturan Diagnostik untuk Azure Data Lake Storage Gen1 ke Hub Kejadian | Menyebarkan pengaturan diagnostik untuk Azure Data Lake Storage Gen1 untuk mengalirkan ke Hub Kejadian wilayah saat Azure Data Lake Storage Gen1 yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 2.0.0 |
| Menyebarkan Pengaturan Diagnostik untuk Azure Data Lake Storage Gen1 ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Azure Data Lake Storage Gen1 untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Azure Data Lake Storage Gen1 yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Menyebarkan Pengaturan Diagnostik untuk Hub Kejadian ke Hub Kejadian | Menyebarkan pengaturan diagnostik untuk Hub Kejadian untuk mengalirkan ke Hub Kejadian wilayah saat Hub Kejadian yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 2.1.0 |
| Menyebarkan Pengaturan Diagnostik untuk Hub Kejadian untuk ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Hub Kejadian untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Hub Kejadian yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 2.0.0 |
| Menyebarkan Pengaturan Diagnostik untuk Azure Key Vault ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Azure Key Vault untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Azure Key Vault yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 3.0.0 |
| Menyebarkan Pengaturan Diagnostik untuk Azure Logic Apps ke Hub Kejadian | Menyebarkan pengaturan diagnostik untuk Azure Logic Apps untuk mengalirkan ke Hub Kejadian wilayah saat Azure Logic Apps yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 2.0.0 |
| Menyebarkan Pengaturan Diagnostik untuk Azure Logic Apps ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Azure Logic Apps untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Azure Logic Apps yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Menyebarkan Pengaturan Diagnostik untuk Grup Keamanan Jaringan | Kebijakan ini secara otomatis menyebarkan pengaturan diagnostik ke kelompok keamanan jaringan. Akun penyimpanan dengan nama '{storagePrefixParameter}{NSGLocation}' akan dibuat secara otomatis. | deployIfNotExists | 2.0.1 |
| Menyebarkan Pengaturan Diagnostik untuk Layanan Pencarian ke Hub Kejadian | Menyebarkan pengaturan diagnostik untuk Layanan Pencarian untuk mengalirkan ke Hub Kejadian wilayah saat Layanan Pencarian yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 2.0.0 |
| Menyebarkan Pengaturan Diagnostik untuk Layanan Pencarian ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Layanan Pencarian untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Layanan Pencarian yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Menyebarkan Pengaturan Diagnostik untuk Azure Service Bus ke Hub Kejadian | Menyebarkan pengaturan diagnostik untuk Azure Service Bus untuk mengalirkan ke Hub Kejadian wilayah saat Azure Service Bus yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 2.0.0 |
| Menyebarkan Pengaturan Diagnostik untuk Azure Service Bus ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Azure Service Bus untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Azure Service Bus yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 2.1.0 |
| Menyebarkan Pengaturan Diagnostik untuk Azure Stream Analytics ke Hub Kejadian | Menyebarkan pengaturan diagnostik untuk Azure Stream Analytics untuk mengalirkan ke Hub Kejadian wilayah saat Azure Stream Analytics yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 2.0.0 |
| Menyebarkan Pengaturan Diagnostik untuk Azure Stream Analytics ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Azure Stream Analytics untuk mengalirkan ke ruang kerja Analitik Log wilayah saat Azure Stream Analytics yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Sebarkan ekstensi Log Analytics untuk set skala mesin virtual Linux. Lihat pemberitahuan penghentian di bawah ini | Sebarkan ekstensi Analitik Log untuk set skala mesin virtual Linux jika citra VM (OS) ada dalam daftar yang ditentukan dan ekstensi tidak terinstal. Catatan: jika upgradePolicy set skala Anda diatur ke Manual, Anda perlu menerapkan ekstensi ke semua VM dalam set dengan memanggil peningkatan pada mereka. Dalam CLI ini akan berupa az vmss update-instances. Pemberitahuan penghentian: Agen Log Analytics tidak akan didukung setelah 31 Agustus 2024. Anda harus bermigrasi ke 'agen Azure Monitor' pengganti sebelum tanggal tersebut | deployIfNotExists | 3.0.0 |
| Sebarkan ekstensi Log Analytics untuk mesin virtual Linux. Lihat pemberitahuan penghentian di bawah ini | Sebarkan ekstensi Analitik Log untuk VM Linux jika Citra VM (OS) ada dalam daftar yang ditentukan dan ekstensi tidak terinstal. Pemberitahuan penghentian: Agen Analitik Log berada di jalur penghentian dan tidak akan didukung setelah 31 Agustus 2024. Anda harus bermigrasi ke 'agen Azure Monitor' pengganti sebelum tanggal tersebut | deployIfNotExists | 3.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk layanan API Management (microsoft.apimanagement/service) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk layanan API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk layanan API Management (microsoft.apimanagement/service) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Log Analytics untuk layanan API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk layanan API Management (microsoft.apimanagement/service) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk layanan API Management (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk App Configuration (microsoft.appconfiguration/configurationstores) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk App Configuration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk App Configuration (microsoft.appconfiguration/configurationstores) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk App Configuration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk App Configuration (microsoft.appconfiguration/configurationstores) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk App Configuration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk App Service (microsoft.web/sites) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Grup aplikasi (microsoft.desktopvirtualization/applicationgroups) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk grup Aplikasi Azure Virtual Desktop (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Application Insights (Microsoft.Insights/components) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Log Analytics untuk Application Insights (Microsoft.Insights/components). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk penyedia Pengesahan (microsoft.attestation/attestationproviders) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk penyedia Pengesahan (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk penyedia Pengesahan (microsoft.attestation/attestationproviders) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk penyedia Pengesahan (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk penyedia Pengesahan (microsoft.attestation/attestationproviders) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk penyedia Pengesahan (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Akun Automation (microsoft.automation/automationaccounts) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk Akun Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Akun Automation (microsoft.automation/automationaccounts) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Akun Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk Akun Automation (microsoft.automation/automationaccounts) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Akun Automation (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk cloud AVS Private (microsoft.avs/privateclouds) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk cloud Privat AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk cloud AVS Private (microsoft.avs/privateclouds) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Log Analytics untuk cloud AVS Private (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk cloud AVS Private (microsoft.avs/privateclouds) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk cloud Privat AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Azure Cache for Redis (microsoft.cache/redis) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk Azure Cache for Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Azure Cache for Redis (microsoft.cache/redis) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Azure Cache for Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Azure Cache for Redis (microsoft.cache/redis) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Azure Cache for Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Azure Cosmos DB (microsoft.documentdb/databaseaccounts) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Log Analytics untuk Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Azure FarmBeats (microsoft.agfoodplatform/farmbeats) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Azure FarmBeats (microsoft.agfoodplatform/farmbeats) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk Azure FarmBeats (microsoft.agfoodplatform/farmbeats) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Azure Pembelajaran Mesin (microsoft.machinelearningservices/workspaces) ke Azure Event Hubs | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk Azure Pembelajaran Mesin (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Azure Pembelajaran Mesin (microsoft.machinelearningservices/workspaces) ke Log Analytics | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Log Analytics untuk Azure Pembelajaran Mesin (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Azure Pembelajaran Mesin (microsoft.machinelearningservices/workspaces) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Azure Pembelajaran Mesin (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Bastions (microsoft.network/bastionhosts) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Bastions (microsoft.network/bastionhosts) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk Bastions (microsoft.network/bastionhosts) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Cognitive Services (microsoft.cognitiveservices/accounts) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Cognitive Services (microsoft.cognitiveservices/accounts) ke Log Analytics | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk Cognitive Services (microsoft.cognitiveservices/accounts) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk registri Kontainer (microsoft.containerregistry/registries) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk registri Kontainer (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk registri Kontainer (microsoft.containerregistry/registries) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk registri Kontainer (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk registri Kontainer (microsoft.containerregistry/registries) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk registri Kontainer (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Domain Event Grid (microsoft.eventgrid/domains) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Event Hub for Event Grid Domains (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Domain Event Grid (microsoft.eventgrid/domains) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Domain Event Grid (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Domain Event Grid (microsoft.eventgrid/domains) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Domain Event Grid (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Namespace Mitra Event Grid (microsoft.eventgrid/partnernamespaces) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk Namespace Mitra Event Grid (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Aktifkan pengelogan menurut grup kategori untuk Namespace Mitra Event Grid (microsoft.eventgrid/partnernamespaces) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Namespace Mitra Event Grid (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk Namespace Mitra Event Grid (microsoft.eventgrid/partnernamespaces) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Namespace Mitra Event Grid (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Topik Event Grid (microsoft.eventgrid/topics) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk Topik Event Grid (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Topik Event Grid (microsoft.eventgrid/topics) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Topik Event Grid (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Topik Event Grid (microsoft.eventgrid/topics) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Topik Event Grid (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Namespace Layanan Azure Event Hubs (microsoft.eventhub/namespaces) ke Azure Event Hubs | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Event Hub for Event Hubs Namespaces (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.2.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Namespace Layanan Azure Event Hubs (microsoft.eventhub/namespaces) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Namespace Layanan Azure Event Hubs (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Aktifkan pengelogan menurut grup kategori untuk Namespace Layanan Azure Event Hubs (microsoft.eventhub/namespaces) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Namespace Layanan Azure Event Hubs (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Firewall (microsoft.network/azurefirewalls) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk profil Front Door dan CDN (microsoft.cdn/profiles) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk Profil Azure Front Door dan CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk profil Front Door dan CDN (microsoft.cdn/profiles) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk profil Front Door dan CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk profil Front Door dan CDN (microsoft.cdn/profiles) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk profil Front Door dan CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk profil Front Door dan CDN (microsoft.network/frontdoors) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk Profil Azure Front Door dan CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk profil Front Door dan CDN (microsoft.network/frontdoors) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk profil Front Door dan CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk profil Front Door dan CDN (microsoft.network/frontdoors) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk profil Front Door dan CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Aplikasi Fungsi (microsoft.web/sites) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Aplikasi Fungsi (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk Kumpulan host (microsoft.desktopvirtualization/hostpools) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk kumpulan Host Azure Virtual Desktop (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk IoT Hub (microsoft.devices/iothubs) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Event Hub for IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk IoT Hub (microsoft.devices/iothubs) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk IoT Hub (microsoft.devices/iothubs) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Brankas kunci (microsoft.keyvault/vaults) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Event Hub for Key vaults (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Brankas kunci (microsoft.keyvault/vaults) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Brankas kunci (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Key vault (microsoft.keyvault/vaults) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Key vault (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk ruang kerja Log Analytics (microsoft.operationalinsights/workspaces) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk ruang kerja Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk ruang kerja Log Analytics (microsoft.operationalinsights/workspaces) ke Log Analytics | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Log Analytics untuk ruang kerja Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk ruang kerja Log Analytics (microsoft.operationalinsights/workspaces) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk ruang kerja Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk HSM Terkelola (microsoft.keyvault/managedhsms) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk HSM Terkelola (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk HSM Terkelola (microsoft.keyvault/managedhsms) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk HSM Terkelola (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk HSM Terkelola (microsoft.keyvault/managedhsms) ke Penyimpanan | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk HSM Terkelola (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Media Services (microsoft.media/mediaservices) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Media Services (microsoft.media/mediaservices) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk Media Services (microsoft.media/mediaservices) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk akun Microsoft Purview (microsoft.purview/accounts) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk akun Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk akun Microsoft Purview (microsoft.purview/accounts) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Log Analytics untuk akun Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk akun Microsoft Purview (microsoft.purview/accounts) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk akun Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk microsoft.network/p2svpngateways ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk microsoft.network/p2svpngateways ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk microsoft.network/p2svpngateways ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk server fleksibel PostgreSQL (microsoft.dbforpostgresql/flexibleservers) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk server fleksibel Azure Database for PostgreSQL (microsoft.dbforpostgresql/flexibleservers). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk alamat IP Publik (microsoft.network/publicipaddresses) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk alamat IP Publik (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.2.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk alamat IP Publik (microsoft.network/publicipaddresses) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk alamat IP Publik (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Aktifkan pengelogan menurut grup kategori untuk alamat IP Publik (microsoft.network/publicipaddresses) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk alamat IP Publik (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Bus Layanan Namespaces (microsoft.servicebus/namespaces) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk Bus Layanan Namespace (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Bus Layanan Namespaces (microsoft.servicebus/namespaces) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Bus Layanan Namespace (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk Bus Layanan Namespaces (microsoft.servicebus/namespaces) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Bus Layanan Namespace (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk SignalR (microsoft.signalrservice/signalr) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk SignalR (microsoft.signalrservice/signalr) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk SignalR (microsoft.signalrservice/signalr) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk database SQL (microsoft.sql/server/database) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk database SQL (microsoft.sql/server/database). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.2.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk database SQL (microsoft.sql/server/database) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk database SQL (microsoft.sql/server/database). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk database SQL (microsoft.sql/server/database) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk database SQL (microsoft.sql/server/database). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk instans terkelola SQL (microsoft.sql/managedinstances) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk instans terkelola SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk instans terkelola SQL (microsoft.sql/managedinstances) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk instans terkelola SQL (microsoft.sql/managedinstance). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk instans terkelola SQL (microsoft.sql/managedinstances) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk instans terkelola SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Video Analyzers (microsoft.media/videoanalyzers) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk Video Analyzer (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Aktifkan pengelogan menurut grup kategori untuk Video Analyzer (microsoft.media/videoanalyzers) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Video Analyzer (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk Video Analyzer (microsoft.media/videoanalyzers) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Video Analyzer (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Gateway jaringan virtual (microsoft.network/virtualnetworkgateways) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk gateway jaringan virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Gateway jaringan virtual (microsoft.network/virtualnetworkgateways) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Gateway jaringan virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk Gateway jaringan virtual (microsoft.network/virtualnetworkgateways) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Gateway jaringan virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Volume (microsoft.netapp/netappaccounts/capacitypools/volumes) ke Azure Event Hubs | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk Volume (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Volume (microsoft.netapp/netappaccounts/capacitypools/volumes) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Volume (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk Volume (microsoft.netapp/netappaccounts/capacitypools/volumes) ke Storage | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Volume (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Layanan Web PubSub (microsoft.signalrservice/webpubsub) ke Event Hub | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Pusat Aktivitas untuk Layanan Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Layanan Web PubSub (microsoft.signalrservice/webpubsub) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Layanan Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aktifkan pengelogan menurut grup kategori untuk Layanan Web PubSub (microsoft.signalrservice/webpubsub) ke Penyimpanan | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke Akun Penyimpanan untuk Layanan Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Ruang Kerja (microsoft.desktopvirtualization/workspaces) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Ruang Kerja Azure Virtual Desktop (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mesin Linux dengan dukungan Arc harus sudah memasang Agen Azure Monitor | Mesin Linux yang didukung Arc harus dipantau dan diamankan melalui Agen Azure Monitor yang disebarkan. Agen Azure Monitor mengumpulkan data telemetri dari OS tamu. Kebijakan ini akan mengaudit mesin Arc di wilayah yang didukung. Pelajari selengkapnya: https://aka.ms/AMAOverview. | AuditIfNotExists, Dinonaktifkan | 1.2.0 |
| Agen Azure Monitor harus diinstal di kumpulan skala mesin virtual Linux | Set skala mesin virtual Linux harus dipantau dan diamankan melalui Agen Azure Monitor yang disebarkan. Agen Azure Monitor mengumpulkan data telemetri dari OS tamu. Kebijakan ini akan mengaudit set skala mesin virtual dengan citra OS yang didukung di kawasan yang didukung. Pelajari selengkapnya: https://aka.ms/AMAOverview. | AuditIfNotExists, Dinonaktifkan | 3.2.0 |
| Agen Azure Monitor harus diinstal di mesin virtual Linux | Mesin virtual Linux harus dipantau dan diamankan melalui Agen Azure Monitor yang disebarkan. Agen Azure Monitor mengumpulkan data telemetri dari OS tamu. Kebijakan ini akan mengaudit set skala mesin virtual dengan citra OS yang didukung di kawasan yang didukung. Pelajari selengkapnya: https://aka.ms/AMAOverview. | AuditIfNotExists, Dinonaktifkan | 3.2.0 |
| Ekstensi Analitik Log harus diaktifkan dalam set skala mesin virtual untuk citra mesin virtual yang tercantum | Melaporkan set skala mesin virtual sebagai tidak sesuai jika citra mesin virtual tidak ada dalam daftar yang ditentukan dan ekstensi tidak terinstal. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Ruang kerja Analitik Log harus memblokir penyerapan log dan kueri dari jaringan publik | Tingkatkan keamanan ruang kerja dengan memblokir penyerapan log dan kueri dari jaringan publik. Hanya jaringan yang tersambung dengan tautan privat yang dapat menyerap dan mengkueri log di ruang kerja ini. Pelajari lebih lanjut di https://aka.ms/AzMonPrivateLink#configure-log-analytics. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Ruang Kerja Log Analytics akan memblokir penyerapan yang tidak berbasis Azure Active Directory. | Menerapkan penyerapan log untuk mewajibkan autentikasi Azure Active Directory akan mencegah log tak terautentikasi dari penyerang yang dapat mengakibatkan kesalahan status, pemberitahuan palsu, dan penyimpanan log yang salah di sistem. | Tolak, Audit, Nonaktifkan | 1.0.0 |
| Alamat IP publik harus mengaktifkan log sumber daya untuk Azure DDoS Protection | Aktifkan log sumber daya untuk alamat IP publik di pengaturan diagnostik untuk dialirkan ke ruang kerja Analitik Log. Dapatkan visibilitas mendetail tentang lalu lintas serangan dan tindakan yang diambil untuk mengurangi serangan DDoS melalui pemberitahuan, laporan, dan log alur. | AuditIfNotExists, DeployIfNotExists, Dinonaktifkan | 1.0.1 |
| Log sumber daya harus diaktifkan untuk Audit pada sumber daya yang didukung | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Keberadaan pengaturan diagnostik untuk grup kategori Audit pada jenis sumber daya yang dipilih memastikan bahwa log ini diaktifkan dan diambil. Jenis sumber daya yang berlaku adalah jenis yang mendukung grup kategori "Audit". | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Kueri tersimpan di Azure Monitor harus disimpan di akun penyimpanan pelanggan untuk enkripsi log | Tautkan akun penyimpanan ke ruang kerja Analitik Log untuk melindungi kueri tersimpan dengan enkripsi akun penyimpanan. Kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi kepatuhan peraturan dan untuk kontrol yang lebih atas akses ke kueri tersimpan Anda di Azure Monitor. Untuk detail selengkapnya tentang hal di atas, lihat https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Akun penyimpanan yang berisi kontainer dengan log aktivitas harus dienkripsi dengan BYOK | Kebijakan ini mengaudit jika akun Azure Storage yang berisi kontainer dengan log aktivitas dienkripsi dengan BYOK. Kebijakan hanya berfungsi jika akun penyimpanan berada pada langganan yang sama dengan log aktivitas berdasarkan desain. Informasi selengkapnya tentang enkripsi Azure Storage saat tidak aktif dapat ditemukan di sini https://aka.ms/azurestoragebyok. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Ekstensi Analitik Log warisan tidak boleh diinstal di server Linux dengan dukungan Azure Arc | Secara otomatis mencegah penginstalan Agen Analitik Log warisan sebagai langkah terakhir migrasi dari agen warisan ke Agen Azure Monitor. Setelah Anda menghapus ekstensi warisan yang ada, kebijakan ini akan menolak semua penginstalan ekstensi agen warisan di server Linux yang diaktifkan Azure Arc di masa mendatang. Pelajari selengkapnya: https://aka.ms/migratetoAMA | Tolak, Audit, Nonaktifkan | 1.0.0 |
| Ekstensi Analitik Log warisan tidak boleh diinstal di server Windows dengan dukungan Azure Arc | Secara otomatis mencegah penginstalan Agen Analitik Log warisan sebagai langkah terakhir migrasi dari agen warisan ke Agen Azure Monitor. Setelah Anda menghapus ekstensi warisan yang ada, kebijakan ini akan menolak semua penginstalan ekstensi agen warisan di server Windows yang diaktifkan Azure Arc di masa mendatang. Pelajari selengkapnya: https://aka.ms/migratetoAMA | Tolak, Audit, Nonaktifkan | 1.0.0 |
| Ekstensi Analitik Log warisan tidak boleh diinstal pada set skala komputer virtual Linux | Secara otomatis mencegah penginstalan Agen Analitik Log warisan sebagai langkah terakhir migrasi dari agen warisan ke Agen Azure Monitor. Setelah Anda menghapus ekstensi warisan yang ada, kebijakan ini akan menolak semua penginstalan ekstensi agen warisan di masa mendatang pada set skala komputer virtual Linux. Pelajari selengkapnya: https://aka.ms/migratetoAMA | Tolak, Audit, Nonaktifkan | 1.0.0 |
| Ekstensi Analitik Log warisan tidak boleh diinstal pada komputer virtual Linux | Secara otomatis mencegah penginstalan Agen Analitik Log warisan sebagai langkah terakhir migrasi dari agen warisan ke Agen Azure Monitor. Setelah Anda menghapus ekstensi warisan yang ada, kebijakan ini akan menolak semua penginstalan ekstensi agen warisan di komputer virtual Linux di masa mendatang. Pelajari selengkapnya: https://aka.ms/migratetoAMA | Tolak, Audit, Nonaktifkan | 1.0.0 |
| Ekstensi Analitik Log warisan tidak boleh diinstal pada set skala komputer virtual | Secara otomatis mencegah penginstalan Agen Analitik Log warisan sebagai langkah terakhir migrasi dari agen warisan ke Agen Azure Monitor. Setelah Anda menghapus ekstensi warisan yang ada, kebijakan ini akan menolak semua penginstalan ekstensi agen warisan di masa mendatang pada set skala komputer virtual Windows. Pelajari selengkapnya: https://aka.ms/migratetoAMA | Tolak, Audit, Nonaktifkan | 1.0.0 |
| Ekstensi Analitik Log warisan tidak boleh diinstal pada komputer virtual | Secara otomatis mencegah penginstalan Agen Analitik Log warisan sebagai langkah terakhir migrasi dari agen warisan ke Agen Azure Monitor. Setelah Anda menghapus ekstensi warisan yang ada, kebijakan ini akan menolak semua penginstalan ekstensi agen warisan di masa mendatang pada komputer virtual Windows. Pelajari selengkapnya: https://aka.ms/migratetoAMA | Tolak, Audit, Nonaktifkan | 1.0.0 |
| Ekstensi Analitik Log harus diinstal di Virtual Machine Scale Sets | Kebijakan ini mengaudit Virtual Machine Scale Sets Windows/Linux jika ekstensi Analitik Log tidak terinstal. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Komputer virtual harus terhubung ke ruang kerja yang ditentukan | Melaporkan komputer virtual sebagai tidak patuh jika tidak masuk ke ruang kerja Log Analytics yang ditentukan dalam penugasan kebijakan/inisiatif. | AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Ekstensi Analitik Log harus terinstal di mesin virtual | Kebijakan ini mengaudit setiap mesin virtual Windows/Linux jika ekstensi Analitik Log tidak terinstal. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Mesin Windows dengan dukungan Arc harus sudah memiliki Agen Azure Monitor terinstal | Mesin Windows dengan dukungan Arc harus dipantau dan diamankan melalui Agen Azure Monitor yang disebarkan. Agen Azure Monitor mengumpulkan data telemetri dari OS tamu. Mesin Windows dengan dukungan Arc di wilayah yang didukung, dipantau untuk penyebaran Agen Azure Monitor. Pelajari selengkapnya: https://aka.ms/AMAOverview. | AuditIfNotExists, Dinonaktifkan | 1.2.0 |
| Agen Azure Monitor harus diinstal di set skala mesin virtual Windows | Set skala mesin virtual Windows harus dipantau dan diamankan melalui Agen Azure Monitor yang disebarkan. Agen Azure Monitor mengumpulkan data telemetri dari OS tamu. Set skala mesin virtual dengan OS yang didukung dan di kawasan yang didukung dipantau untuk penyebaran Agen Azure Monitor. Pelajari selengkapnya: https://aka.ms/AMAOverview. | AuditIfNotExists, Dinonaktifkan | 3.2.0 |
| Agen Azure Monitor harus diinstal di mesin virtual Windows | Mesin virtual Windows harus dipantau dan diamankan melalui Agen Azure Monitor yang disebarkan. Agen Azure Monitor mengumpulkan data telemetri dari OS tamu. Set skala mesin virtual Windows dengan OS yang didukung dan di kawasan yang didukung dipantau untuk penyebaran Agen Azure Monitor. Pelajari selengkapnya: https://aka.ms/AMAOverview. | AuditIfNotExists, Dinonaktifkan | 3.2.0 |
| Buku kerja harus disimpan ke akun penyimpanan yang Anda kontrol | Dengan membawa penyimpanan sendiri (BYOS), buku kerja diunggah ke akun penyimpanan yang Anda kontrol. Itu berarti Anda mengontrol kebijakan enkripsi saat tidak aktif, kebijakan manajemen seumur hidup, dan akses jaringan. Namun, Anda akan bertanggung jawab atas biaya yang terkait dengan akun penyimpanan tersebut. Untuk informasi selengkapnya, buka https://aka.ms/workbooksByos | tolak, Tolak, audit, Audit, dinonaktifkan, Dinonaktifkan | 1.1.0 |
Jaringan
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Semua lalu lintas Internet harus dirutekan melalui Azure Firewall yang Anda sebarkan | Azure Security Center telah mengidentifikasi bahwa beberapa subnet Anda tidak dilindungi dengan firewall generasi berikutnya. Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke mereka dengan Azure Firewall atau firewall generasi berikutnya yang didukung | AuditIfNotExists, Dinonaktifkan | 3.0.0-pratinjau |
| [Pratinjau]: Container Registry harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit setiap Container Registry yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | Audit, Dinonaktifkan | 1.0.0-preview |
| Kebijakan IPsec/IKE kustom harus diterapkan ke semua koneksi gateway jaringan virtual Azure | Kebijakan ini memastikan bahwa semua koneksi gateway jaringan virtual Azure menggunakan kebijakan Keamanan Protokol Internet(Ipsec)/Pertukaran Kunci Internet(IKE) kustom. Algoritme yang didukung dan kekuatan kunci - https://aka.ms/AA62kb0 | Audit, Dinonaktifkan | 1.0.0 |
| Semua sumber daya log alur harus dalam status diaktifkan | Audit sumber daya log alur untuk memverifikasi jika status log alur diaktifkan. Mengaktifkan log alur memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir. Ini dapat digunakan untuk mengoptimalkan aliran jaringan, memantau throughput, memverifikasi kepatuhan, mendeteksi intrusi, dan banyak lagi. | Audit, Dinonaktifkan | 1.0.1 |
| Aplikasi App Service harus menggunakan titik akhir layanan jaringan virtual | Menggunakan titik akhir layanan jaringan virtual untuk membatasi akses ke aplikasi Anda dari subnet yang dipilih dari jaringan virtual Azure. Untuk mempelajari lebih lanjut tentang titik akhir layanan App Service, kunjungi https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Konfigurasi log alur audit untuk setiap jaringan virtual | Audit untuk jaringan virtual untuk memverifikasi apakah log alur dikonfigurasi. Mengaktifkan log alur memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui jaringan virtual. Ini dapat digunakan untuk mengoptimalkan aliran jaringan, memantau throughput, memverifikasi kepatuhan, mendeteksi intrusi, dan banyak lagi. | Audit, Dinonaktifkan | 1.0.1 |
| Azure Application Gateway harus disebarkan dengan Azure WAF | Mengharuskan sumber daya Azure Application Gateway disebarkan dengan Azure WAF. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Kebijakan firewall Azure harus mengaktifkan pemeriksaan TLS dalam aturan aplikasi | Mengaktifkan pemeriksaan TLS direkomendasikan agar semua aturan aplikasi untuk mendeteksi, memperingatkan, dan mengurangi aktivitas berbahaya di HTTPS. Untuk mempelajari selengkapnya tentang pemeriksaan TLS dengan Azure Firewall, kunjungi https://aka.ms/fw-tlsinspect | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Firewall Premium harus mengonfigurasi sertifikat perantara yang valid untuk mengaktifkan inspeksi TLS | Konfigurasikan sertifikat perantara yang valid dan aktifkan inspeksi TLS Azure Firewall Premium untuk mendeteksi, memperingatkan, dan mengurangi aktivitas berbahaya di HTTPS. Untuk mempelajari selengkapnya tentang pemeriksaan TLS dengan Azure Firewall, kunjungi https://aka.ms/fw-tlsinspect | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| VPN gateway Azure tidak boleh menggunakan SKU 'dasar' | Kebijakan ini memastikan bahwa VPN gateway tidak menggunakan SKU 'dasar'. | Audit, Dinonaktifkan | 1.0.0 |
| Azure Web Application Firewall di Azure Application Gateway harus mengaktifkan pemeriksaan isi permintaan | Pastikan bahwa Web Application Firewall yang terkait dengan Azure Application Gateway mengaktifkan pemeriksaan isi Permintaan. Ini memungkinkan WAF untuk memeriksa properti dalam isi HTTP yang mungkin tidak dievaluasi di header HTTP, cookie, atau URI. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Web Application Firewall di Azure Front Door harus mengaktifkan pemeriksaan isi permintaan | Pastikan bahwa Web Application Firewall yang terkait dengan Azure Front Doors mengaktifkan pemeriksaan isi permintaan. Ini memungkinkan WAF untuk memeriksa properti dalam isi HTTP yang mungkin tidak dievaluasi di header HTTP, cookie, atau URI. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure Web Application Firewall harus diaktifkan untuk titik masuk Azure Front Door | Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
| Perlindungan Bot harus diaktifkan untuk Azure Application Gateway WAF | Kebijakan ini memastikan bahwa perlindungan bot diaktifkan di semua kebijakan Azure Application Gateway Web Application Firewall (WAF) | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Perlindungan Bot harus diaktifkan untuk Azure Front Door WAF | Kebijakan ini memastikan bahwa perlindungan bot diaktifkan di semua kebijakan Azure Front Door Web Application Firewall (WAF) | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Melewati daftar Sistem Deteksi dan Pencegahan Intrusi (IDPS) harus kosong di Firewall Policy Premium | Daftar Bypass Sistem Deteksi dan Pencegahan Intrusi (IDPS) memungkinkan Anda untuk tidak memfilter lalu lintas ke salah satu alamat IP, rentang, dan subnet yang ditentukan dalam daftar bypass. Namun, mengaktifkan IDPS diminta kembali untuk semua arus lalu lintas untuk mengidentifikasi ancaman yang diketahui dengan lebih baik. Untuk mempelajari selengkapnya tentang tanda tangan Sistem Deteksi dan Pencegahan Intrusi (IDPS) dengan Azure Firewall Premium, kunjungi https://aka.ms/fw-idps-signature | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi pengaturan diagnostik untuk Kelompok Keamanan Jaringan Azure untuk mencatat ruang kerja Analitik Log | Sebarkan pengaturan diagnostik ke Kelompok Keamanan Jaringan Azure untuk mengalirkan log sumber daya ke ruang kerja Analitik Log. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasikan grup keamanan jaringan untuk mengaktifkan analitik lalu lintas | Analitik lalu lintas dapat diaktifkan untuk semua grup keamanan jaringan yang dihosting di wilayah tertentu dengan pengaturan yang disediakan selama pembuatan kebijakan. Jika sudah mengaktifkan Analitik lalu lintas, kebijakan tidak akan menimpa pengaturannya. Log Alur juga diaktifkan untuk Grup keamanan jaringan yang tidak memilikinya. Analitik lalu lintas adalah solusi berbasis cloud yang menyediakan visibilitas ke dalam aktivitas pengguna dan aplikasi di jaringan cloud. | DeployIfNotExists, Nonaktif | 1.2.0 |
| Mengonfigurasi grup keamanan jaringan untuk menggunakan ruang kerja, akun penyimpanan, dan kebijakan penyimpanan flowlog tertentu untuk analitik lalu lintas | Jika sudah mengaktifkan analitik lalu lintas, kebijakan akan menimpa pengaturan yang ada dengan yang disediakan selama pembuatan kebijakan. Analitik lalu lintas adalah solusi berbasis cloud yang menyediakan visibilitas ke dalam aktivitas pengguna dan aplikasi di jaringan cloud. | DeployIfNotExists, Nonaktif | 1.2.0 |
| Mengonfigurasi jaringan virtual untuk mengaktifkan Log Alur dan Analitik Lalu Lintas | Analitik lalu lintas dan Log alur dapat diaktifkan untuk semua jaringan virtual yang dihosting di wilayah tertentu dengan pengaturan yang disediakan selama pembuatan kebijakan. Kebijakan ini tidak menimpa pengaturan saat ini untuk jaringan virtual yang sudah mengaktifkan fitur ini. Analitik lalu lintas adalah solusi berbasis cloud yang menyediakan visibilitas ke dalam aktivitas pengguna dan aplikasi di jaringan cloud. | DeployIfNotExists, Nonaktif | 1.1.1 |
| Mengonfigurasi jaringan virtual untuk menerapkan ruang kerja, akun penyimpanan, dan interval retensi untuk log Alur dan Analitik Lalu Lintas | Jika jaringan virtual sudah mengaktifkan analitik lalu lintas, kebijakan ini akan menimpa pengaturan yang ada dengan yang disediakan selama pembuatan kebijakan. Analitik lalu lintas adalah solusi berbasis cloud yang menyediakan visibilitas ke dalam aktivitas pengguna dan aplikasi di jaringan cloud. | DeployIfNotExists, Nonaktif | 1.1.2 |
| Cosmos DB harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit setiap Cosmos DB yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | Audit, Dinonaktifkan | 1.0.0 |
| Menyebarkan sumber daya log alur dengan grup keamanan jaringan target | Konfigurasi log alur untuk grup keamanan jaringan tertentu. Hal ini akan memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui grup keamanan jaringan. Log alur membantu mengidentifikasi lalu lintas yang tidak diketahui atau tidak diinginkan, memverifikasi isolasi jaringan dan kepatuhan terhadap aturan akses perusahaan, menganalisis aliran jaringan dari IP dan antarmuka jaringan yang disusupi. | deployIfNotExists | 1.1.0 |
| Menyebarkan sumber daya Log Alur dengan jaringan virtual target | Mengonfigurasi log alur untuk jaringan virtual tertentu. Ini akan memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui jaringan virtual. Log alur membantu mengidentifikasi lalu lintas yang tidak diketahui atau tidak diinginkan, memverifikasi isolasi jaringan dan kepatuhan terhadap aturan akses perusahaan, menganalisis aliran jaringan dari IP dan antarmuka jaringan yang disusupi. | DeployIfNotExists, Nonaktif | 1.1.1 |
| Menyebarkan pengamat jaringan saat jaringan virtual dibuat | Kebijakan ini membuat resource network watcher di wilayah dengan jaringan virtual. Anda perlu memastikan keberadaan grup sumber daya bernama networkWatcherRG, yang akan digunakan untuk menyebarkan instans network watcher. | DeployIfNotExists | 1.0.0 |
| Mengaktifkan aturan Batas Laju untuk melindungi dari serangan DDoS di Azure Front Door WAF | Aturan batas tarif Azure Web Application Firewall (WAF) untuk Azure Front Door mengontrol jumlah permintaan yang diizinkan dari alamat IP klien tertentu ke aplikasi selama durasi batas laju. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Event Hub harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit Pusat Peristiwa apa pun yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Firewall Policy Premium harus mengaktifkan semua aturan tanda tangan IDPS untuk memantau semua arus lalu lintas masuk dan keluar | Mengaktifkan semua aturan tanda tangan Sistem Deteksi dan Pencegahan Intrusi (IDPS) disarankan untuk mengidentifikasi ancaman yang diketahui dengan lebih baik dalam arus lalu lintas. Untuk mempelajari selengkapnya tentang tanda tangan Sistem Deteksi dan Pencegahan Intrusi (IDPS) dengan Azure Firewall Premium, kunjungi https://aka.ms/fw-idps-signature | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Firewall Policy Premium harus mengaktifkan Sistem Deteksi dan Pencegahan Intrusi (IDPS) | Mengaktifkan Sistem Deteksi dan Pencegahan Intrusi (IDPS) memungkinkan Anda memantau jaringan Anda untuk aktivitas berbahaya, mencatat informasi tentang aktivitas ini, melaporkannya, dan secara opsional mencoba memblokirnya. Untuk mempelajari selengkapnya tentang Sistem Deteksi dan Pencegahan Intrusi (IDPS) dengan Azure Firewall Premium, kunjungi https://aka.ms/fw-idps | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Log alur harus dikonfigurasi untuk setiap grup keamanan jaringan | Audit untuk grup keamanan jaringan untuk memverifikasi apakah log aliran dikonfigurasi. Mengaktifkan log aliran memungkinkan untuk mencatat informasi tentang lalu lintas IP yang mengalir melalui grup keamanan jaringan. Ini dapat digunakan untuk mengoptimalkan aliran jaringan, memantau throughput, memverifikasi kepatuhan, mendeteksi intrusi, dan banyak lagi. | Audit, Dinonaktifkan | 1.1.0 |
| Subnet gateway tidak boleh dikonfigurasi dengan grup keamanan jaringan | Kebijakan ini menolak jika subnet gateway dikonfigurasi dengan grup keamanan jaringan. Menetapkan grup keamanan jaringan ke subnet gateway akan menyebabkan gateway berhenti berfungsi. | tolak | 1.0.0 |
| Key Vault harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit Key Vault yang tidak dikonfigurasi untuk menggunakan endpoint layanan jaringan virtual. | Audit, Dinonaktifkan | 1.0.0 |
| Memigrasikan WAF dari Konfigurasi WAF ke Kebijakan WAF di Application Gateway | Jika Anda memiliki Konfigurasi WAF alih-alih Kebijakan WAF, maka Anda mungkin ingin pindah ke Kebijakan WAF baru. Selanjutnya, kebijakan firewall akan mendukung pengaturan kebijakan WAF, aturan terkelola, pengecualian, dan grup aturan yang dinonaktifkan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Antarmuka jaringan harus menonaktifkan penerusan IP | Kebijakan ini menolak antarmuka jaringan yang mengaktifkan penerusan IP. Pengaturan penerusan IP menonaktifkan pemeriksaan Azure terhadap sumber dan destinasi untuk antarmuka jaringan. Hal ini harus ditinjau oleh tim keamanan jaringan. | tolak | 1.0.0 |
| Antarmuka jaringan tidak boleh memiliki IP publik | Kebijakan ini menolak antarmuka jaringan yang dikonfigurasi dengan IP publik apa pun. Alamat IP publik memungkinkan sumber daya internet untuk berkomunikasi masuk ke sumber daya Azure, dan sumber daya Azure berkomunikasi keluar ke internet. Hal ini harus ditinjau oleh tim keamanan jaringan. | tolak | 1.0.0 |
| Log alur Network Watcher harus mengaktifkan analitik lalu lintas | Analitik lalu lintas menganalisis log alur untuk memberikan wawasan tentang arus lalu lintas di cloud Azure Anda. Ini dapat digunakan untuk memvisualisasikan aktivitas jaringan di seluruh langganan Azure Anda dan mengidentifikasi titik panas, mengidentifikasi ancaman keamanan, memahami pola arus lalu lintas, menentukan kesalahan konfigurasi jaringan, dan banyak lagi. | Audit, Dinonaktifkan | 1.0.1 |
| Network Watcher harus diaktifkan | Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| SQL Server harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit SQL Server yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun Penyimpanan harus menggunakan titik akhir layanan jaringan virtual | Kebijakan ini mengaudit Akun Penyimpanan yang tidak dikonfigurasi untuk menggunakan titik akhir layanan jaringan virtual. | Audit, Dinonaktifkan | 1.0.0 |
| Langganan harus mengonfigurasi Azure Firewall Premium untuk memberikan lapisan perlindungan tambahan | Azure Firewall Premium memberikan perlindungan ancaman tingkat lanjut yang memenuhi kebutuhan lingkungan yang sangat sensitif dan teregulasi. Sebarkan Azure Firewall Premium ke langganan Anda dan pastikan semua lalu lintas layanan dilindungi oleh Azure Firewall Premium. Untuk mempelajari selengkapnya tentang Azure Firewall Premium, kunjungi https://aka.ms/fw-premium | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Komputer virtual harus terhubung ke jaringan virtual yang disetujui | Kebijakan ini mengaudit setiap komputer virtual yang terhubung ke jaringan virtual yang tidak disetujui. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Jaringan virtual harus dilindungi oleh Azure DDoS Protection | Lindungi jaringan virtual Anda dari serangan volumetrik dan protokol dengan Azure DDoS Protection. Untuk informasi selengkapnya, kunjungi https://aka.ms/ddosprotectiondocs. | Ubah, Audit, Dinonaktifkan | 1.0.1 |
| Jaringan virtual harus menggunakan gateway jaringan virtual yang ditentukan | Kebijakan ini mengaudit jaringan virtual apa pun jika rute default tidak mengarah ke gateway jaringan virtual yang ditentukan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Gateway VPN hanya boleh menggunakan autentikasi Azure Active Directory (Azure AD) untuk pengguna titik-ke-situs | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa Gateway VPN hanya menggunakan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya tentang autentikasi Azure Active Directory di https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Web Application Firewall (WAF) harus diaktifkan untuk Application Gateway | Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Web Application Firewall (WAF) harus mengaktifkan semua aturan firewall untuk Application Gateway | Mengaktifkan semua aturan Web Application Firewall (WAF) memperkuat keamanan aplikasi Anda dan melindungi aplikasi web Anda dari kerentanan umum. Untuk mempelajari lebih lanjut tentang Web Application Firewall (WAF) dengan Application Gateway, kunjungi https://aka.ms/waf-ag | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Firewall Aplikasi Web (WAF) harus menggunakan mode yang ditentukan untuk Gateway Aplikasi | Mengamanatkan penggunaan mode 'Deteksi' atau 'Pencegahan' untuk aktif di semua kebijakan Web Application Firewall untuk Azure Application Gateway. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Web Application Firewall (WAF) harus menggunakan mode yang ditentukan untuk Web Application Firewall | Mengamanatkan penggunaan mode 'Deteksi' atau 'Pencegahan' untuk aktif di semua kebijakan Web Application Firewall untuk Azure Front Door Service. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Portal
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Dasbor bersama tidak boleh memiliki ubin penurunan harga dengan konten sebaris | Larang pembuatan dasbor bersama yang memiliki konten sebaris di ubin penurunan harga dan terapkan bahwa konten harus disimpan sebagai file penurunan harga yang dihosting secara online. Jika Anda menggunakan konten sebaris di ubin penurunan harga, Anda tidak dapat mengelola enkripsi konten. Dengan mengonfigurasi penyimpanan Anda sendiri, Anda dapat mengenkripsi, mengenkripsi ganda, dan bahkan membawa kunci Anda sendiri. Mengaktifkan kebijakan ini akan membatasi pengguna untuk menggunakan REST API dasbor bersama versi 01-09-2020 atau lebih tinggi. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Ketahanan
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Layanan API Management harus Zona Redundan | Layanan API Management dapat dikonfigurasi menjadi Zona Redundan atau tidak. Layanan API Management adalah Zona Redundan jika nama skunya adalah 'Premium' dan memiliki setidaknya dua entri di array zonanya. Kebijakan ini mengidentifikasi API Management Services yang tidak memiliki redundansi yang diperlukan untuk menahan pemadaman zona. | Audit, Tolak, Dinonaktifkan | 1.0.1-pratinjau |
| [Pratinjau]: Paket App Service harus Zona Redundan | Paket App Service dapat dikonfigurasi menjadi Zona Redundan atau tidak. Ketika properti 'zoneRedundant' diatur ke 'false' untuk Paket App Service, properti tidak dikonfigurasi untuk Zona Redundansi. Kebijakan ini mengidentifikasi dan memberlakukan konfigurasi Redundansi Zona untuk Paket App Service. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Application Gateway harus Tangguh Zona | Application Gateway dapat dikonfigurasi menjadi Zone Aligned, Zone Redundant, atau tidak keduanya. Application Gatewaysmyang belum pasti satu entri di array zona mereka dianggap Zona Selaras. Sebaliknya, Application Gatmways dengann3 atau lebih entri di array zona mereka dikenali sebagai Zona Redundan. Kebijakan ini membantu mengidentifikasi dan menerapkan konfigurasi ketahanan ini. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Layanan Pencarian Azure AI harus Zona Redundan | Layanan Pencarian Azure AI dapat dikonfigurasi menjadi Zona Redundan atau tidak. Zona ketersediaan digunakan saat Anda menambahkan dua replika atau lebih ke layanan pencarian Anda. Setiap replika ditempatkan di zona ketersediaan yang berbeda dalam wilayah tersebut. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Azure Cache for Redis Enterprise &Flash harus Zona Redundan | Azure Cache for Redis Enterprise &Flash dapat dikonfigurasi menjadi Zona Redundan atau tidak. Instans Azure Cache for Redis Enterprise & Flash dengan kurang dari 3 entri di array zonanya bukan Zona Redundan. Kebijakan ini mengidentifikasi instans Azure Cache for Redis Enterprise &Flash yang tidak memiliki redundansi yang diperlukan untuk menahan pemadaman zona. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Azure Cache for Redis harus Zona Redundan | Azure Cache for Redis dapat dikonfigurasi menjadi Zona Redundan atau tidak. Instans Azure Cache for Redis dengan kurang dari 2 entri di array zonanya bukan Zona Redundan. Kebijakan ini mengidentifikasi instans Azure Cache for Redis yang tidak memiliki redundansi yang diperlukan untuk menahan pemadaman zona. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Kluster Azure Data Explorer harus Zona Redundan | Kluster Azure Data Explorer dapat dikonfigurasi menjadi Zona Redundan atau tidak. Kluster Azure Data Explorer dianggap Zona Redundan jika memiliki setidaknya dua entri dalam array zonanya. Kebijakan ini membantu memastikan Kluster Azure Data Explorer Anda adalah Zona Redundan. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Server Fleksibel Azure Database for MySQL harus Tangguh Zona | Azure Database for MySQL Flexible Server dapat dikonfigurasi menjadi Zone Aligned, Zone Redundant, atau tidak keduanya. Server MySQL yang memiliki server siaga yang dipilih di zona yang sama untuk ketersediaan tinggi dianggap Selaras Zona. Sebaliknya, Server MySQL yang memiliki server siaga yang dipilih untuk berada di zona yang berbeda untuk ketersediaan tinggi dikenali sebagai Zona Redundan. Kebijakan ini membantu mengidentifikasi dan menerapkan konfigurasi ketahanan ini. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Server Fleksibel Azure Database for PostgreSQL harus Tangguh Zona | Server Fleksibel Azure Database for PostgreSQL dapat dikonfigurasi menjadi Zone Aligned, Zone Redundant, atau tidak keduanya. Server PostgreSQL yang memiliki server siaga yang dipilih di zona yang sama untuk ketersediaan tinggi dianggap Zona Selaras. Sebaliknya, Server PostgreSQL yang memiliki server siaga yang dipilih untuk berada di zona yang berbeda untuk ketersediaan tinggi dikenali sebagai Zona Redundan. Kebijakan ini membantu mengidentifikasi dan menerapkan konfigurasi ketahanan ini. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Azure HDInsight harus Diselaraskan Zona | Azure HDInsight dapat dikonfigurasi menjadi Zone Aligned atau tidak. Azure HDInsight yang memiliki satu entri tepat di array zonanya dianggap Zone Aligned. Kebijakan ini memastikan bahwa kluster Azure HDInsight dikonfigurasi untuk beroperasi dalam satu zona ketersediaan. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Kluster Terkelola Azure Kubernetes Service harus Zona Redundan | Kluster Terkelola Azure Kubernetes Service dapat dikonfigurasi menjadi Zona Redundan atau tidak. Kebijakan memeriksa kumpulan simpul di kluster dan memastikan bahwa zona avaialbilty diatur untuk semua kumpulan simpul. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Azure Managed Grafana harus Zona Redundan | Azure Managed Grafana dapat dikonfigurasi menjadi Zona Redundan atau tidak. Instans Azure Managed Grafana adalah Zone Redundant adalah properti 'zoneRedundancy' diatur ke 'Diaktifkan'. Memberlakukan kebijakan ini membantu memastikan bahwa Azure Managed Grafana Anda dikonfigurasi dengan tepat untuk ketahanan zona, mengurangi risiko waktu henti selama pemadaman zona. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Pencadangan dan Site Recovery harus Zona Redundan | Pencadangan dan Site Recovery dapat dikonfigurasi menjadi Zona Redundan atau tidak. Pencadangan dan Site Recovery adalah Zona Redundan jika properti 'standardTierStorageRedundancy' diatur ke 'ZoneRedundant'. Memberlakukan kebijakan ini membantu memastikan bahwa Pencadangan dan Site Recovery dikonfigurasi dengan tepat untuk ketahanan zona, mengurangi risiko waktu henti selama pemadaman zona. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Brankas Cadangan harus Zona Redundan | Vault Cadangan dapat dikonfigurasi menjadi Zona Redundan atau tidak. Brankas Cadangan adalah Zona Redundan jika jenis pengaturan penyimpanan diatur ke 'ZoneRedundant' dan dianggap tangguh. Geo Redundan atau Vault Cadangan Redundan Lokal tidak dianggap tangguh. Memberlakukan kebijakan ini membantu memastikan bahwa Brankas Cadangan dikonfigurasi dengan tepat untuk ketahanan zona, mengurangi risiko waktu henti selama pemadaman zona. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Aplikasi Kontainer harus Zona Redundan | Aplikasi Kontainer dapat dikonfigurasi menjadi Zona Redundan atau tidak. Aplikasi Kontainer adalah Zona Redundan jika properti 'ZoneRedundant' lingkungan terkelolanya diatur ke true. Kebijakan ini mengidentifikasi Aplikasi Kontainer yang tidak memiliki redundansi yang diperlukan untuk menahan pemadaman zona. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Instans Kontainer harus Diselaraskan Zona | Container Instances dapat dikonfigurasi menjadi Zone Aligned atau tidak. Mereka dianggap Zona Selaras jika mereka hanya memiliki satu entri di array zona mereka. Kebijakan ini memastikan bahwa kebijakan tersebut dikonfigurasi untuk beroperasi dalam satu zona ketersediaan. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Container Registry harus Zona Redundan | Container Registry dapat dikonfigurasi menjadi Zona Redundan atau tidak. Ketika properti zoneRedundancy untuk Container Registry diatur ke 'Dinonaktifkan', itu berarti registri bukan Zona Redundan. Menerapkan kebijakan ini membantu memastikan bahwa Container Registry Anda dikonfigurasi dengan tepat untuk ketahanan zona, mengurangi risiko waktu henti selama pemadaman zona. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Akun Database Cosmos harus Zona Redundan | Akun Database Cosmos dapat dikonfigurasi menjadi Zona Redundan atau tidak. Jika 'enableMultipleWriteLocations' diatur ke 'true' maka semua lokasi harus memiliki properti 'isZoneRedundant' dan harus diatur ke 'true'. Jika 'enableMultipleWriteLocations' diatur ke 'false' maka lokasi utama ('failoverPriority' diatur ke 0) harus memiliki properti 'isZoneRedundant' dan harus diatur ke 'true'. Memberlakukan kebijakan ini memastikan Akun Database Cosmos dikonfigurasi dengan tepat untuk redundansi zona. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Azure Event Hubs harus Zona Redundan | Azure Event Hubs dapat dikonfigurasi menjadi Zona Redundan atau tidak. Azure Event Hubs adalah Zona Redundan jika properti 'zoneRedundant' diatur ke 'true'. Memberlakukan kebijakan ini membantu memastikan bahwa Azure Event Hubs dikonfigurasi dengan tepat untuk ketahanan zona, mengurangi risiko waktu henti selama pemadaman zona. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Firewall harus Tangguh Zona | Firewall dapat dikonfigurasi menjadi Zone Aligned, Zone Redundant, atau tidak keduanya. Firewall yang memiliki tepat satu entri dalam array zonanya dianggap Zona Sejajar. Sebaliknya, Firewall dengan 3 entri atau lebih dalam array zonanya dikenali sebagai Zona Redundan. Kebijakan ini membantu mengidentifikasi dan menerapkan konfigurasi ketahanan ini. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Load Balancer harus Tangguh Zona | Load Balancer dengan sku selain Dasar mewarisi ketahanan alamat IP Publik di frontend mereka. Ketika dikombinasikan dengan kebijakan 'Alamat IP Publik harus Tangguh Zona', pendekatan ini memastikan redundansi yang diperlukan untuk menahan pemadaman zona. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Disk Terkelola harus Tangguh Zona | Disk Terkelola dapat dikonfigurasi menjadi Zone Aligned, Zone Redundant, atau tidak keduanya. Disk Terkelola dengan tepat satu penetapan zona adalah Zone Aligned. Disk Terkelola dengan nama sku yang berakhiran ZRS adalah Zona Redundan. Kebijakan ini membantu mengidentifikasi dan memberlakukan konfigurasi ketahanan ini untuk Disk Terkelola. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Gateway NAT harus Diratakan Zona | Gateway NAT dapat dikonfigurasi menjadi Zone Aligned atau tidak. Gateway NAT yang memiliki tepat satu entri dalam array zonanya dianggap Zone Aligned. Kebijakan ini memastikan bahwa gateway NAT dikonfigurasi untuk beroperasi dalam satu zona ketersediaan. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Alamat IP publik harus Tangguh Zona | Alamat IP publik dapat dikonfigurasi menjadi Zone Aligned, Zone Redundant, atau tidak. Alamat IP publik yang bersifat regional, dengan tepat satu entri di array zona mereka dianggap Zona Selaras. Sebaliknya, alamat IP Publik yang bersifat regional, dengan 3 entri atau lebih di array zona mereka dikenali sebagai Zona Redundan. Kebijakan ini membantu mengidentifikasi dan menerapkan konfigurasi ketahanan ini. | Audit, Tolak, Dinonaktifkan | 1.1.0-pratinjau |
| [Pratinjau]: Awalan IP Publik harus Tangguh Zona | Awalan IP Publik dapat dikonfigurasi menjadi Zone Aligned, Zone Redundant, atau tidak keduanya. Awalan IP publik yang memiliki tepat satu entri di array zona mereka dianggap Zona Selaras. Sebaliknya, awalan IP Publik dengan 3 entri atau lebih di array zona mereka dikenali sebagai Zona Redundan. Kebijakan ini membantu mengidentifikasi dan menerapkan konfigurasi ketahanan ini. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Bus Layanan harus Zona Redundan | Bus Layanan dapat dikonfigurasi menjadi Zona Redundan atau tidak. Ketika properti 'zoneRedundant' diatur ke 'false' untuk Bus Layanan, itu berarti tidak dikonfigurasi untuk Zona Redundansi. Kebijakan ini mengidentifikasi dan memberlakukan konfigurasi Redundansi Zona untuk instans Bus Layanan. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Kluster Service Fabric harus Zona Redundan | Kluster Service Fabric dapat dikonfigurasi menjadi Zona Redundan atau tidak. Kluster Servicefabric yang nodeType-nya tidak memiliki multipleAvailabilityZones yang diatur ke true bukan Zone Redundant. Kebijakan ini mengidentifikasi Kluster Servicefabric yang tidak memiliki redundansi yang diperlukan untuk menahan pemadaman zona. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Database SQL harus Zona Redundan | SQL Database dapat dikonfigurasi menjadi Zona Redundan atau tidak. Database dengan pengaturan 'zoneRedundant' yang diatur ke 'false' tidak dikonfigurasi untuk redundansi zona. Kebijakan ini membantu mengidentifikasi database SQL yang memerlukan konfigurasi redundansi zona untuk meningkatkan ketersediaan dan ketahanan dalam Azure. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Kumpulan database Elastis SQL harus Zona Redundan | Kumpulan database Elastis SQL dapat dikonfigurasi menjadi Zona Redundan atau tidak. Kumpulan database SQL Elastic adalah Zona Redundan jika properti 'zoneRedundant' diatur ke 'true'. Memberlakukan kebijakan ini membantu memastikan bahwa Azure Event Hubs dikonfigurasi dengan tepat untuk ketahanan zona, mengurangi risiko waktu henti selama pemadaman zona. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: SQL Managed Instances harus Zona Redundan | SQL Managed Instances dapat dikonfigurasi menjadi Zona Redundan atau tidak. Instans dengan pengaturan 'zoneRedundant' yang diatur ke 'false' tidak dikonfigurasi untuk redundansi zona. Kebijakan ini membantu mengidentifikasi SQL managedInstances yang memerlukan konfigurasi redundansi zona untuk meningkatkan ketersediaan dan ketahanan dalam Azure. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Akun Penyimpanan harus Zona Redundan | Akun Penyimpanan dapat dikonfigurasi menjadi Zona Redundan atau tidak. Jika nama SKU Akun Penyimpanan tidak diakhir dengan 'ZRS' atau jenisnya adalah 'Penyimpanan,' itu bukan Zona Redundan. Kebijakan ini memastikan bahwa Akun Penyimpanan Anda menggunakan konfigurasi Zona Redundan ae. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Set Skala Komputer Virtual harus Tangguh Zona | Virtual Machine Scale Sets dapat dikonfigurasi menjadi Zone Aligned, Zone Redundant, atau tidak keduanya. Virtual Machine Scale Sets yang memiliki tepat satu entri di array zona mereka dianggap Zone Aligned. Sebaliknya, Virtual Machine Scale Sets dengan 3 entri atau lebih di array zona mereka dan kapasitas setidaknya 3 dikenali sebagai Zona Redundan. Kebijakan ini membantu mengidentifikasi dan menerapkan konfigurasi ketahanan ini. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Komputer Virtual harus Diselaraskan Zona | Komputer Virtual dapat dikonfigurasi menjadi Zone Aligned atau tidak. Mereka dianggap Zona Selaras jika mereka hanya memiliki satu entri di array zona mereka. Kebijakan ini memastikan bahwa kebijakan tersebut dikonfigurasi untuk beroperasi dalam satu zona ketersediaan. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Gateway jaringan virtual harus Zona Redundan | Gateway jaringan virtual dapat dikonfigurasi menjadi Zona Redundan atau tidak. Gateway jaringan virtual yang nama atau tingkat SKU-nya tidak diakhapi dengan 'AZ' bukan Zona Redundan. Kebijakan ini mengidentifikasi gateway jaringan virtual yang tidak memiliki redundansi yang diperlukan untuk menahan pemadaman zona. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
Cari
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Layanan Azure Cognitive Search harus menggunakan SKU yang mendukung tautan privat | Dengan SKU Azure Cognitive Search yang didukung, Azure Private Link memungkinkan Anda menghubungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan Pencarian Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Layanan Azure Cognitive Search harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa layanan Azure Cognitive Search Anda tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan layanan Pencarian Anda. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Layanan Azure Cognitive Search harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa layanan Azure Cognitive Search secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/rbac. Perhatikan bahwa sementara parameter autentikasi lokal yang dinonaktifkan masih dalam pratinjau, efek penolakan untuk kebijakan ini dapat mengakibatkan fungsionalitas portal Azure Cognitive Search yang terbatas karena beberapa fitur Portal menggunakan GA API yang tidak mendukung parameter. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Layanan Azure Cognitive Search harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Mengaktifkan enkripsi saat tidak aktif menggunakan kunci yang dikelola pelanggan di layanan Azure Cognitive Search memberikan kontrol tambahan atas kunci yang digunakan untuk mengenkripsi data tidak aktif. Fitur ini sering diterapkan untuk pelanggan dengan persyaratan kepatuhan khusus untuk mengelola kunci enkripsi data menggunakan brankas kunci. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Layanan Azure Cognitive Search harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Azure Cognitive Search, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Dinonaktifkan | 1.0.0 |
| Konfigurasikan layanan Azure Cognitive Search untuk menonaktifkan autentikasi lokal | Nonaktifkan metode autentikasi lokal agar namespace layanan Azure Cognitive Search Anda secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/rbac. | Ubah, Non-fungsikan | 1.0.0 |
| Menonaktifkan layanan Azure Cognitive Search untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk layanan Azure Cognitive Search Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi layanan Azure Cognitive Search untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat tertaut ke jaringan virtual Anda untuk diselesaikan ke layanan Azure Cognitive Search. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi layanan Azure Cognitive Search dengan titik akhir privat | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke layanan Azure Cognitive Search, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Log sumber daya di layanan Pencarian harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
Security Center
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Agen Keamanan Azure harus diinstal pada komputer Linux Arc Anda | Instal agen Azure Security pada mesin Linux Arc Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Agen Azure Security harus terpasang pada set skala mesin virtual Linux And | Instal agen Azure Security pada set skala mesin virtual Linux Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. | AuditIfNotExists, Dinonaktifkan | pratinjau-2.0.0 |
| [Pratinjau]: Agen Azure Security harus terpasang pada mesin virtual Linux Anda | Instal agen Azure Security di mesin virtual Linux Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. | AuditIfNotExists, Dinonaktifkan | pratinjau-2.0.0 |
| [Pratinjau]: Agen Keamanan Azure harus diinstal pada komputer Windows Arc Anda | Instal agen Azure Security pada mesin Windows Arc Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Agen Azure Security harus terpasang pada set skala mesin virtual Windows Anda | Instal agen Azure Security pada set skala mesin virtual Windows Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. | AuditIfNotExists, Dinonaktifkan | pratinjau-2.1.0 |
| [Pratinjau]: Agen Azure Security harus terpasang pada mesin virtual Windows Anda | Instal agen Azure Security di mesin virtual Windows Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. | AuditIfNotExists, Dinonaktifkan | pratinjau-2.1.0 |
| [Pratinjau]: Ekstensi ChangeTracking harus dipasang di komputer Linux Arc Anda | Instal Ekstensi ChangeTracking di mesin Arc Linux untuk mengaktifkan Pemantauan Integritas File(FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Pemantauan Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Ekstensi ChangeTracking harus diinstal di mesin virtual Linux Anda | Instal ChangeTracking Extension di mesin virtual Linux untuk mengaktifkan Pemantauan Integritas File (FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Pemantauan Azure. | AuditIfNotExists, Dinonaktifkan | pratinjau-2.0.0 |
| [Pratinjau]: Ekstensi ChangeTracking harus diinstal di set skala mesin virtual Linux Anda | Instal Ekstensi ChangeTracking di set skala mesin virtual Linux untuk mengaktifkan Pemantauan Integritas File (FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Pemantauan Azure. | AuditIfNotExists, Dinonaktifkan | pratinjau-2.0.0 |
| [Pratinjau]: Ekstensi ChangeTracking harus dipasang di komputer Windows Arc Anda | Instal Ekstensi ChangeTracking di mesin Arc Windows untuk mengaktifkan Pemantauan Integritas File(FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Pemantauan Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Ekstensi ChangeTracking harus diinstal di mesin virtual Windows Anda | Instal Ekstensi ChangeTracking di mesin virtual Windows untuk mengaktifkan Pemantauan Integritas File (FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Pemantauan Azure. | AuditIfNotExists, Dinonaktifkan | pratinjau-2.0.0 |
| [Pratinjau]: Ekstensi ChangeTracking harus diinstal di set skala mesin virtual Windows Anda | Instal Ekstensi ChangeTracking di set skala mesin virtual Windows untuk mengaktifkan Pemantauan Integritas File (FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Pemantauan Azure. | AuditIfNotExists, Dinonaktifkan | pratinjau-2.0.0 |
| [Pratinjau]: Mengonfigurasi Azure Defender untuk agen SQL di mesin virtual | Mengonfigurasi komputer Windows untuk memasang Azure Defender secara otomatis untuk agen SQL tempat Agen Azure Monitor dipasang. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Membuat grup sumber daya dan ruang kerja Log Analytics di wilayah yang sama dengan komputer. Komputer virtual target harus berada di lokasi yang didukung. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| [Pratinjau]: Mengonfigurasi Ekstensi ChangeTracking untuk mesin Linux Arc | Konfigurasikan mesin Arc Linux untuk menginstal Ekstensi ChangeTracking secara otomatis agar mengaktifkan Pemantauan Integritas File(FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Azure Monitor. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
| [Pratinjau]: Mengonfigurasi Ekstensi ChangeTracking untuk set skala mesin virtual Linux | Konfigurasi set skala mesin virtual Linux untuk otomatis menginstal Ekstensi ChangeTracking agar mengaktifkan Pemantauan Integritas File (FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Azure Monitor. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
| [Pratinjau]: Mengonfigurasi Ekstensi ChangeTracking untuk mesin virtual Linux | Konfigurasi mesin virtual Linux untuk otomatis menginstal Ekstensi ChangeTracking agar mengaktifkan Pemantauan Integritas File (FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Azure Monitor. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
| [Pratinjau]: Mengonfigurasi Ekstensi ChangeTracking untuk mesin Windows Arc | Konfigurasikan mesin Arc Windows untuk menginstal Ekstensi ChangeTracking secara otomatis untuk mengaktifkan Pemantauan Integritas File(FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Azure Monitor. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
| [Pratinjau]: Mengonfigurasi Ekstensi ChangeTracking untuk set skala mesin virtual Windows | Konfigurasi set skala mesin virtual Windows untuk otomatis menginstal Ekstensi ChangeTracking agar mengaktifkan Pemantauan Integritas File (FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Azure Monitor. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
| [Pratinjau]: Mengonfigurasi Ekstensi ChangeTracking untuk mesin virtual Windows | Konfigurasi mesin virtual Windows untuk otomatis menginstal Ekstensi ChangeTracking agar mengaktifkan Pemantauan Integritas File (FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Azure Monitor. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
| [Pratinjau]: Mengonfigurasi mesin Linux Arc yang didukung untuk menginstal agen Azure Security secara otomatis | Konfigurasikan mesin Linux Arc yang didukung untuk menginstal agen Azure Security secara otomatis. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Mesin Linux Arc target harus berada di lokasi yang didukung. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| [Pratinjau]: Mengonfigurasi set skala mesin virtual Linux yang didukung untuk menginstal agen Azure Security secara otomatis | Konfigurasikan set skala mesin virtual Linux yang didukung untuk memasang agen Azure Security secara otomatis. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Komputer virtual target harus berada di lokasi yang didukung. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
| [Pratinjau]: Mengonfigurasi set skala mesin virtual Linux yang didukung untuk menginstal ekstensi Pengesahan Tamu secara otomatis | Mengonfigurasi set skala komputer virtual Linux yang didukung untuk memasang ekstensi Pengesahan Tamu secara otomatis guna mengizinkan Azure Security Center mengesahkan dan memantau integritas boot secara proaktif. Integritas boot disahkan melalui Pengesahan Jarak Jauh. | DeployIfNotExists, Nonaktif | 6.1.0-pratinjau |
| [Pratinjau]: Mengonfigurasi komputer virtual Linux yang didukung untuk mengaktifkan Boot Aman secara otomatis | Mengonfigurasi komputer virtual Linux yang didukung untuk mengaktifkan Boot Aman secara otomatis guna mengurangi perubahan berbahaya dan tidak sah pada rantai boot. Setelah diaktifkan, hanya bootloader tepercaya, kernel dan driver kernel yang akan diizinkan untuk dijalankan. | DeployIfNotExists, Nonaktif | 5.0.0-pratinjau |
| [Pratinjau]: Mengonfigurasi komputer virtual Linux yang didukung untuk menginstal agen Keamanan Azure secara otomatis | Mengonfigurasi komputer virtual Linux yang didukung untuk memasang agen Azure Security secara otomatis. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Komputer virtual target harus berada di lokasi yang didukung. | DeployIfNotExists, Nonaktif | 7.0.0-pratinjau |
| [Pratinjau]: Mengonfigurasi mesin virtual Linux yang didukung untuk menginstal ekstensi Pengesahan Tamu secara otomatis | Mengonfigurasi komputer virtual Linux yang didukung untuk memasang ekstensi Pengesahan Tamu secara otomatis guna mengizinkan Azure Security Center mengesahkan dan memantau integritas boot secara proaktif. Integritas boot disahkan melalui Pengesahan Jarak Jauh. | DeployIfNotExists, Nonaktif | 7.1.0-preview |
| [Pratinjau]: Mengonfigurasi mesin virtual yang didukung untuk mengaktifkan vTPM secara otomatis | Mengonfigurasi komputer virtual yang didukung untuk mengaktifkan vTPM secara otomatis guna memudahkan Boot Terukur dan fitur keamanan lainnya yang memerlukan TPM. Setelah diaktifkan, vTPM dapat digunakan untuk mengesahkan integritas boot. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
| [Pratinjau]: Mengonfigurasi komputer Windows Arc yang didukung untuk menginstal agen Keamanan Azure secara otomatis | Konfigurasikan mesin Windows Arc yang didukung untuk menginstal agen Azure Security secara otomatis. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Mesin Windows Arc target harus berada di lokasi yang didukung. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| [Pratinjau]: Mengonfigurasi mesin Windows yang didukung untuk menginstal agen Azure Security secara otomatis | Konfigurasikan komputer Windows yang didukung untuk menginstal agen Azure Security secara otomatis. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Komputer virtual target harus berada di lokasi yang didukung. | DeployIfNotExists, Nonaktif | 5.1.0-pratinjau |
| [Pratinjau]: Mengonfigurasi set skala mesin virtual Windows yang didukung untuk menginstal agen Azure Security secara otomatis | Konfigurasikan set skala mesin virtual Windows yang didukung untuk memasang agen Azure Security secara otomatis. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Target set skala mesin virtual Windows harus berada di lokasi yang didukung. | DeployIfNotExists, Nonaktif | pratinjau-2.1.0 |
| [Pratinjau]: Mengonfigurasi set skala mesin virtual Windows yang didukung untuk menginstal ekstensi Pengesahan Tamu secara otomatis | Mengonfigurasi set skala komputer Windows yang didukung untuk memasang ekstensi Pengesahan Tamu secara otomatis guna mengizinkan Azure Security Center mengesahkan dan memantau integritas boot secara proaktif. Integritas boot disahkan melalui Pengesahan Jarak Jauh. | DeployIfNotExists, Nonaktif | 4.1.0-pratinjau |
| [Pratinjau]: Mengonfigurasi mesin virtual Windows yang didukung untuk mengaktifkan Boot Aman secara otomatis | Mengonfigurasi komputer virtual Windows yang didukung untuk mengaktifkan Boot Aman secara otomatis guna mengurangi perubahan berbahaya dan tidak sah pada rantai boot. Setelah diaktifkan, hanya bootloader tepercaya, kernel dan driver kernel yang akan diizinkan untuk dijalankan. | DeployIfNotExists, Nonaktif | 3.0.0-pratinjau |
| [Pratinjau]: Mengonfigurasi mesin virtual Windows yang didukung untuk menginstal ekstensi Pengesahan Tamu secara otomatis | Konfigurasikan komputer virtual Windows yang didukung untuk memasang ekstensi Pengesahan Tamu secara otomatis untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Integritas boot disahkan melalui Pengesahan Jarak Jauh. | DeployIfNotExists, Nonaktif | 5.1.0-pratinjau |
| [Pratinjau]: Mengonfigurasi VM yang dibuat dengan citra Shared Image Gallery untuk menginstal ekstensi Pengesahan Tamu | Mengonfigurasi mesin virtual yang dibuat dengan citra Shared Image Gallery untuk menginstal ekstensi Pengesahan Tamu secara otomatis agar mengizinkan Azure Security Center mengesahkan dan memantau integritas boot secara proaktif. Integritas boot disahkan melalui Pengesahan Jarak Jauh. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
| [Pratinjau]: Mengonfigurasi VMSS yang dibuat dengan citra Shared Image Gallery untuk menginstal ekstensi Pengesahan Tam | Konfigurasikan VMSS yang dibuat dengan citra Shared Image Gallery untuk menginstal ekstensi Pengesahan Tamu secara otomatis agar mengizinkan Azure Security Center mengesahkan dan memantau integritas boot secara proaktif. Integritas boot disahkan melalui Pengesahan Jarak Jauh. | DeployIfNotExists, Nonaktif | pratinjau-2.1.0 |
| [Pratinjau]: Menyebarkan agen Pertahanan Microsoft untuk Titik Akhir di mesin komputer Linux hibrid | Menyebarkan agen Pertahanan Microsoft untuk Titik Akhir pada mesin hibrid Linux | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 2.0.1-pratinjau |
| [Pratinjau]: Menyebarkan agen Pertahanan Microsoft untuk Titik Akhir di mesin virtual Linux | Menyebarkan agen Pertahanan Microsoft untuk Titik Akhir pada gambar VM Linux yang berlaku. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 3.0.0-pratinjau |
| [Pratinjau]: Menyebarkan agen Pertahanan Microsoft untuk Titik Akhir di komputer Windows Azure Arc | Sebarkan Pertahanan Microsoft untuk Titik Akhir pada mesin Azure Arc Windows. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 2.0.1-pratinjau |
| [Pratinjau]: Menyebarkan agen Pertahanan Microsoft untuk Titik Akhir di komputer virtual Windows | Menyebarkan Pertahanan Microsoft untuk Titik Akhir pada gambar VM Windows yang berlaku. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 2.0.1-pratinjau |
| [Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di mesin virtual Linux yang didukung | Pasang ekstensi Pengesahan Tamu pada komputer virtual Linux yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan komputer virtual Linux Rahasia. | AuditIfNotExists, Dinonaktifkan | 6.0.0-pratinjau |
| [Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di set skala mesin virtual Linux yang didukun | Pasang ekstensi Pengesahan Tamu pada set skala komputer virtual Linux yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan set skala komputer virtual Linux Rahasia. | AuditIfNotExists, Dinonaktifkan | 5.1.0-pratinjau |
| [Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di mesin virtual Windows yang didukung | Instal ekstensi Pengesahan Tamu pada komputer virtual yang didukung guna memungkinkan Azure Security Center membuktikan secara proaktif dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan komputer virtual Windows Rahasia. | AuditIfNotExists, Dinonaktifkan | 4.0.0-pratinjau |
| [Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di set skala mesin virtual Windows yang didukung | Pasang ekstensi Pengesahan Tamu pada set skala komputer virtual yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan set skala komputer virtual Windows Rahasia. | AuditIfNotExists, Dinonaktifkan | 3.1.0-pratinjau |
| [Pratinjau]: Komputer virtual Linux hanya boleh menggunakan komponen boot yang ditandatangani dan tepercaya | Semua komponen boot OS (boot loader, kernel, driver kernel) harus ditandatangani oleh penerbit tepercaya. Defender untuk Cloud telah mengidentifikasi komponen boot OS yang tidak tepercaya pada satu atau beberapa mesin Linux Anda. Untuk melindungi mesin Anda dari komponen yang berpotensi berbahaya, tambahkan ke daftar yang diizinkan atau hapus komponen yang teridentifikasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Mesin virtual Linux harus menggunakan Boot Aman | Untuk melindungi dari pemasangan rootkit dan boot kit berbasis malware, aktifkan Boot Aman pada komputer virtual Linux yang didukung. Boot Aman memastikan bahwa hanya sistem operasi dan driver yang ditandatangani yang diizinkan untuk dijalankan. Penilaian ini hanya berlaku untuk komputer virtual Linux yang diinstal Azure Monitor Agent. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Mesin harus menutup port yang mungkin mengekspos vektor serangan | Ketentuan Penggunaan Azure melarang penggunaan layanan Azure dengan cara yang dapat merusak, menonaktifkan, membebani, atau mengganggu server Microsoft, atau jaringan. Port yang diekspos yang diidentifikasi oleh rekomendasi ini harus ditutup untuk keberlanjutan keamanan Anda. Untuk setiap port teridentifikasi, rekomendasi juga memberikan penjelasan tentang potensi ancaman. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Boot Aman harus diaktifkan pada mesin virtual Windows yang didukung | Aktifkan Boot Aman pada komputer virtual Windows yang didukung untuk mengurangi perubahan berbahaya dan tidak sah pada rantai boot. Setelah diaktifkan, hanya bootloader tepercaya, kernel dan driver kernel yang akan diizinkan untuk dijalankan. Penilaian ini berlaku untuk Peluncuran Tepercaya dan komputer virtual Windows Rahasia. | Audit, Dinonaktifkan | 4.0.0-pratinjau |
| [Pratinjau]: Pembaruan sistem harus dipasang pada komputer Anda (didukung oleh Pusat Pembaruan) | Komputer Anda tidak memiliki sistem, keamanan, dan pembaruan penting. Pembaruan perangkat lunak sering menyertakan patch penting pada lubang keamanan. Lubang semacam itu sering dieksploitasi dalam serangan malware sehingga sangat penting untuk memperbarui perangkat lunak Anda. Untuk menginstal semua tambalan yang luar biasa dan mengamankan komputer Anda, ikuti langkah-langkah remediasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: Status pengesahan tamu mesin virtual harus dalam keadaan sehat | Pengesahan tamu dilakukan dengan mengirim log tepercaya (TCGLog) ke server pengesahan. Server menggunakan log ini untuk menentukan apakah komponen boot dapat dipercaya. Penilaian ini dimaksudkan untuk mendeteksi kompromi rantai boot yang mungkin merupakan hasil dari infeksi bootkit atau rootkit. Penilaian ini hanya berlaku untuk komputer virtual yang didukung Peluncuran Tepercaya dengan ekstensi Pengesahan Tamu terpasang. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
| [Pratinjau]: vTPM harus diaktifkan pada mesin virtual yang didukung | Mengaktifkan perangkat TPM virtual pada komputer virtual yang didukung untuk memfasilitasi Boot Terukur dan fitur keamanan OS lainnya yang memerlukan TPM. Setelah diaktifkan, vTPM dapat digunakan untuk mengesahkan integritas boot. Penilaian ini hanya berlaku untuk komputer virtual yang diaktifkan peluncuran tepercaya. | Audit, Dinonaktifkan | pratinjau-2.0.0 |
| Maksimum 3 pemilik harus ditunjuk untuk langganan Anda | Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda | Mengaudit komputer virtual untuk mendeteksi apakah mereka menjalankan solusi penilaian kerentanan yang didukung. Komponen inti dari setiap risiko cyber dan program keamanan adalah identifikasi dan analisis kerentanan. Tingkat harga standar Azure Security Center mencakup pemindaian kerentanan untuk komputer virtual Anda tanpa biaya tambahan. Selain itu, Pusat Keamanan dapat secara otomatis menyebarkan alat ini untuk Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Kontrol aplikasi adaptif untuk menetapkan aplikasi yang aman harus diaktifkan di komputer Anda | Aktifkan kontrol aplikasi untuk menentukan daftar aplikasi yang diketahui aman yang sedang berjalan di komputer Anda, dan aktifkan pemberitahuan ketika aplikasi lain berjalan. Hal ini membantu memperkuat komputer Anda terhadap malware. Untuk menyederhanakan proses konfigurasi dan pemeliharaan aturan Anda, Security Center menggunakan pembelajaran mesin untuk menganalisis aplikasi yang berjalan di setiap komputer dan menyarankan daftar aplikasi yang diketahui aman. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Rekomendasi pengerasan jaringan adaptif harus diterapkan pada komputer virtual yang menghadap internet | Azure Security Center menganalisis pola lalu lintas komputer virtual yang dihadapi Internet dan memberikan rekomendasi aturan Grup Keamanan Jaringan yang mengurangi potensi serangan permukaan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda | Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aturan daftar yang diizinkan dalam kebijakan kontrol aplikasi adaptif Anda harus diperbarui | Pantau perubahan perilaku pada grup mesin yang dikonfigurasi untuk diaudit oleh kontrol aplikasi adaptif Security Center. Security Center menggunakan pembelajaran mesin untuk menganalisis proses yang berjalan di mesin Anda dan menyarankan daftar aplikasi yang dikenal aman. Hal ini disajikan sebagai aplikasi yang disarankan untuk diizinkan dalam kebijakan kontrol aplikasi adaptif. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Titik akhir API di Azure API Management harus diautentikasi | Titik akhir API yang diterbitkan dalam Azure API Management harus menerapkan autentikasi untuk membantu meminimalkan risiko keamanan. Mekanisme autentikasi terkadang diimplementasikan dengan tidak benar atau hilang. Ini memungkinkan penyerang untuk mengeksploitasi kelemahan implementasi dan mengakses data. Pelajari Selengkapnya tentang Ancaman API OWASP untuk Autentikasi Pengguna Rusak di sini: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Titik akhir API yang tidak digunakan harus dinonaktifkan dan dihapus dari layanan Azure API Management | Sebagai praktik terbaik keamanan, titik akhir API yang belum menerima lalu lintas selama 30 hari dianggap tidak digunakan dan harus dihapus dari layanan Azure API Management. Menjaga titik akhir API yang tidak digunakan dapat menimbulkan risiko keamanan kepada organisasi Anda. Ini mungkin API yang seharusnya tidak digunakan lagi dari layanan Azure API Management tetapi mungkin secara tidak sengaja dibiarkan aktif. API tersebut biasanya tidak menerima cakupan keamanan terbaru. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Rentang IP resmi harus ditentukan di Layanan Kube | Batasi akses ke API Manajemen Layanan Kube dengan memberikan akses API hanya ke alamat IP dalam rentang tertentu. Disarankan untuk membatasi akses ke rentang IP resmi untuk memastikan bahwa hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses kluster. | Audit, Dinonaktifkan | 2.0.1 |
| Penyediaan otomatis agen Analisis Log harus diaktifkan pada langganan Anda | Untuk memantau kerentanan dan ancaman keamanan, Azure Security Center mengumpulkan data dari komputer virtual Azure Anda. Data dikumpulkan oleh agen Log Analytics, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari komputer dan menyalin data ke ruang kerja Log Analytics Anda untuk analisis. Sebaiknya aktifkan penyediaan otomatis untuk menerapkan agen secara otomatis ke semua Azure VM yang didukung dan yang baru yang dibuat. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Azure DDoS Protection harus diaktifkan | Perlindungan DDoS harus diaktifkan untuk semua jaringan virtual dengan subnet yang merupakan bagian dari gateway aplikasi dengan IP publik. | AuditIfNotExists, Dinonaktifkan | 3.0.1 |
| Azure Defender untuk App Service harus diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk Key Vault harus diaktifkan | Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk database relasional sumber terbuka harus diaktifkan | Azure Defender untuk database relasional sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya tentang kemampuan Azure Defender untuk database relasional sumber terbuka di https://aka.ms/AzDforOpenSourceDBsDocu. Penting: Mengaktifkan paket ini akan dikenakan biaya untuk melindungi database relasional sumber terbuka Anda. Pelajari tentang harga di halaman harga Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Defender untuk Resource Manager harus diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server SQL pada mesin harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk SQL harus diaktifkan untuk server fleksibel PostgreSQL yang tidak terlindungi | Mengaudit server fleksibel PostgreSQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Gambar kontainer registri Azure harus memiliki kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender) | Penilaian kerentanan gambar kontainer memindai registri Anda untuk kerentanan (CVE) yang umum diketahui dan memberikan laporan kerentanan terperinci untuk setiap gambar. Mengatasi kerentanan dapat sangat meningkatkan postur keamanan Anda, memastikan gambar aman digunakan sebelum penyebaran. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Kontrol Akses Berbasis Peran Azure (RBAC) harus digunakan pada Layanan Kubernetes | Untuk menyediakan pemfilteran terperinci pada tindakan yang dapat dilakukan pengguna, gunakan Kontrol Akses Berbasis Peran Azure (RBAC) untuk mengelola izin di Kluster Layanan Kubernetes dan mengonfigurasi kebijakan otorisasi yang relevan. | Audit, Dinonaktifkan | 1.0.3 |
| Gambar kontainer yang menjalankan Azure harus memiliki kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender) | Penilaian kerentanan gambar kontainer memindai registri Anda untuk kerentanan (CVE) yang umum diketahui dan memberikan laporan kerentanan terperinci untuk setiap gambar. Rekomendasi ini memberikan visibilitas ke gambar rentan yang saat ini berjalan di kluster Kubernetes Anda. Memulihkan kerentanan dalam gambar kontainer yang saat ini berjalan adalah kunci untuk meningkatkan postur keamanan Anda, secara signifikan mengurangi permukaan serangan untuk beban kerja kontainer Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Akun yang diblokir dengan izin pemilik pada sumber daya Azure harus dihapus | Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun yang diblokir dengan izin baca dan tulis pada sumber daya Azure harus dihapus | Akun yang tidak digunakan lagi harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Instans peran Cloud Services (dukungan perpanjangan) harus dikonfigurasi dengan aman | Lindungi instans peran Layanan Cloud Anda (dukungan perpanjangan) dari serangan dengan memastikan Layanan Cloud tidak terpapar pada kerentanan OS apa pun. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Instans peran Azure Cloud Services (dukungan perpanjangan) harus memiliki solusi perlindungan titik akhir yang terpasang | Lindungi instans peran Azure Cloud Services Anda (dukungan perpanjangan) dari ancaman dan kerentanan dengan memastikan solusi perlindungan titik akhir dipasang di Azure Cloud Services. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Instans peran Azure Cloud Services (dukungan perpanjangan) harus memasang pembaruan sistem | Amankan instans peran Azure Cloud Services Anda (dukungan perpanjangan) dengan memastikan keamanan terbaru dan pembaruan penting dipasang di Azure Cloud Services. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi Perlindungan Ancaman Tingkat Lanjut untuk diaktifkan pada database Azure untuk server fleksibel MySQL | Aktifkan Perlindungan Ancaman Tingkat Lanjut pada server fleksibel Azure database for MySQL Anda untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi Perlindungan Ancaman Tingkat Lanjut untuk diaktifkan pada server fleksibel Azure database for PostgreSQL | Aktifkan Perlindungan Ancaman Tingkat Lanjut pada server fleksibel Azure database for PostgreSQL Anda untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi SQL Server dengan dukungan Arc untuk menginstal Agen Azure Monitor secara otomatis | Mengotomatiskan penyebaran ekstensi Agen Azure Monitor di SQL Server dengan dukungan Windows Arc Anda. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 1.3.0 |
| Mengonfigurasi SQL Server dengan dukungan Arc untuk menginstal Pertahanan Microsoft untuk SQL secara otomatis | Konfigurasikan SQL Server dengan dukungan Windows Arc untuk menginstal agen Pertahanan Microsoft untuk SQL secara otomatis. Pertahanan Microsoft untuk SQL mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas pengerasan yang disesuaikan (rekomendasi). | DeployIfNotExists, Nonaktif | 1.2.0 |
| Mengonfigurasi SQL Server dengan dukungan Arc untuk menginstal Microsoft Defender untuk SQL dan DCR secara otomatis dengan ruang kerja Analitik Log | Pertahanan Microsoft untuk SQL mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas pengerasan yang disesuaikan (rekomendasi). Buat grup sumber daya, Aturan Pengumpulan Data, dan ruang kerja Analitik Log di wilayah yang sama dengan komputer. | DeployIfNotExists, Nonaktif | 1.3.0 |
| Mengonfigurasi SQL Server dengan dukungan Arc untuk menginstal Pertahanan Microsoft untuk SQL dan DCR secara otomatis dengan ruang kerja LA yang ditentukan pengguna | Pertahanan Microsoft untuk SQL mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas pengerasan yang disesuaikan (rekomendasi). Buat grup sumber daya dan Aturan Pengumpulan Data di wilayah yang sama dengan ruang kerja Analitik Log yang ditentukan pengguna. | DeployIfNotExists, Nonaktif | 1.4.0 |
| Mengonfigurasi SQL Server dengan dukungan Arc dengan Asosiasi Aturan Pengumpulan Data ke Pertahanan Microsoft untuk SQL DCR | Konfigurasikan hubungan antara SQL Server dengan dukungan Arc dan Microsoft Defender untuk SQL DCR. Menghapus asosiasi ini akan memutus deteksi kerentanan keamanan untuk SQL Server berkemampuan Arc ini. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi SQL Server dengan dukungan Arc dengan Asosiasi Aturan Pengumpulan Data ke Pertahanan Microsoft untuk DCR yang ditentukan pengguna SQL | Konfigurasikan asosiasi antara SQL Server dengan dukungan Arc dan Pertahanan Microsoft untuk DCR yang ditentukan pengguna SQL. Menghapus asosiasi ini akan memutus deteksi kerentanan keamanan untuk SQL Server berkemampuan Arc ini. | DeployIfNotExists, Nonaktif | 1.2.0 |
| Mengonfigurasi Azure Defender untuk Layanan Aplikasi agar diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Mengonfigurasi Azure Defender untuk database Azure SQL agar diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Konfigurasikan Azure Defender agar database relasional sumber terbuka diaktifkan | Azure Defender untuk database relasional sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya tentang kemampuan Azure Defender untuk database relasional sumber terbuka di https://aka.ms/AzDforOpenSourceDBsDocu. Penting: Mengaktifkan paket ini akan dikenakan biaya untuk melindungi database relasional sumber terbuka Anda. Pelajari tentang harga di halaman harga Security Center: https://aka.ms/pricing-security-center | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi Azure Defender untuk Resource Manager agar diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi Azure Defender agar server diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Mengonfigurasi Azure Defender untuk server SQL pada mesin agar diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Mengonfigurasi Microsoft Defender for Storage dasar untuk diaktifkan (Hanya Pemantauan Aktivitas) | Pertahanan Microsoft untuk Penyimpanan adalah lapisan kecerdasan keamanan asli Azure yang mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Kebijakan ini akan mengaktifkan kemampuan Defender for Storage dasar (Pemantauan Aktivitas). Untuk mengaktifkan perlindungan penuh, yang juga mencakup Pemindaian Malware On-upload dan Deteksi Ancaman Data Sensitif menggunakan kebijakan pengaktifan penuh: aka.ms/DefenderForStoragePolicy. Untuk mempelajari selengkapnya tentang kemampuan dan manfaat Defender for Storage, kunjungi aka.ms/DefenderForStorage. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Konfigurasikan mesin untuk menerima penyedia penilaian kerentanan | Azure Defender menyertakan pemindaian kerentanan untuk komputer Anda tanpa biaya tambahan. Anda tidak memerlukan lisensi Qualys atau bahkan akun Qualys - semuanya ditangani dengan tanpa hambatan di dalam Security Center. Saat Anda mengaktifkan kebijakan ini, Azure Defender secara otomatis menyebarkan penyedia penilaian kerentanan Qualys ke semua mesin yang didukung yang belum menginstal penyedia penilaian kerentanan. | DeployIfNotExists, Nonaktif | 4.0.0 |
| Mengonfigurasi paket CSPM Pertahanan Microsoft | Defender Cloud Security Posture Management (CSPM) menyediakan kemampuan postur yang ditingkatkan dan grafik keamanan cloud cerdas baru untuk membantu mengidentifikasi, memprioritaskan, dan mengurangi risiko. Defender CSPM tersedia selain kemampuan postur keamanan dasar gratis yang diaktifkan secara default di Defender untuk Cloud. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan CSPM Microsoft Defender agar diaktifkan | Defender Cloud Security Posture Management (CSPM) menyediakan kemampuan postur yang ditingkatkan dan grafik keamanan cloud cerdas baru untuk membantu mengidentifikasi, memprioritaskan, dan mengurangi risiko. Defender CSPM tersedia selain kemampuan postur keamanan dasar gratis yang diaktifkan secara default di Defender untuk Cloud. | DeployIfNotExists, Nonaktif | 1.0.2 |
| Mengonfigurasikan Microsoft Defender untuk Azure Cosmos DB yang hendak diaktifkan | Microsoft Defender untuk Azure Cosmos DB merupakan lapisan keamanan Azure yang dapat mendeteksi setiap upaya untuk mengeksploitasi database pada akun Azure Cosmos DB Anda. Defender untuk Azure Cosmos DB mendeteksi potensi adanya injeksi SQL, yang dikenal sebagai pelaku kejahatan menurut Inteligensi Ancaman Microsoft, pola akses yang mencurigakan, dan potensi eksploitasi database Anda melalui penyusupan identitas, atau kejahatan orang dalam. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi paket Pertahanan Microsoft untuk Kontainer | Kemampuan baru terus ditambahkan ke paket Defender for Containers, yang mungkin memerlukan pengaktifan eksplisit pengguna. Gunakan kebijakan ini untuk memastikan semua kemampuan baru akan diaktifkan. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan Pertahanan Microsoft untuk Kontainer agar diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir dengan Microsoft Defender untuk Cloud (WDATP_EXCLUDE_LINUX...) | Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir, dalam Microsoft Defender untuk Cloud (juga dikenal sebagai WDATP_EXCLUDE_LINUX_...), untuk mengaktifkan provisi otomatis MDE untuk server Linux. Pengaturan WDATP harus diaktifkan agar pengaturan ini diterapkan. Lihat: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint untuk informasi selengkapnya. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir dengan Microsoft Defender untuk Cloud (WDATP_UNIFIED_SOLUTION) | Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir, dalam Microsoft Defender untuk Cloud (juga dikenal sebagai WDATP_UNIFIED_SOLUTION), untuk mengaktifkan provisi otomatis MDE Unified Agent untuk Windows Server 2012R2 dan 2016. Pengaturan WDATP harus diaktifkan agar pengaturan ini diterapkan. Lihat: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint untuk informasi selengkapnya. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir dengan Microsoft Defender untuk Cloud (WDATP) | Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir, dalam Microsoft Defender untuk Cloud (juga dikenal sebagai WDATP), untuk komputer downlevel Windows yang di-onboard ke MDE melalui MMA, dan provisi otomatis MDE pada Windows Server 2019 , Windows Virtual Desktop ke atas. Harus diaktifkan agar pengaturan lain (WDATP_UNIFIED, dll.) berfungsi. Lihat: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint untuk informasi selengkapnya. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi paket Microsoft Defender untuk Key Vault | Microsoft Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun brankas kunci. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi paket Pertahanan Microsoft untuk Server | Kemampuan baru terus ditambahkan ke Defender untuk Server, yang mungkin memerlukan pengaktifan eksplisit pengguna. Gunakan kebijakan ini untuk memastikan semua kemampuan baru akan diaktifkan. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan Microsoft Defender agar SQL diaktifkan di ruang kerja Synapse | Aktifkan Microsoft Defender untuk SQL di ruang kerja Azure Synapse Anda untuk mendeteksi aktivitas ganjil yang mengindikasikan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database SQL. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi Pertahanan Microsoft untuk Penyimpanan (Klasik) untuk diaktifkan | Pertahanan Microsoft untuk Penyimpanan (Klasik) menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. | DeployIfNotExists, Nonaktif | 1.0.2 |
| Mengonfigurasi Pertahanan Microsoft untuk Penyimpanan yang akan diaktifkan | Pertahanan Microsoft untuk Penyimpanan adalah lapisan kecerdasan keamanan asli Azure yang mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Kebijakan ini akan mengaktifkan semua kemampuan Defender for Storage; Pemantauan Aktivitas, Pemindaian Malware, dan Deteksi Ancaman Data Sensitif. Untuk mempelajari selengkapnya tentang kemampuan dan manfaat Defender for Storage, kunjungi aka.ms/DefenderForStorage. | DeployIfNotExists, Nonaktif | 1.2.0 |
| Mengonfigurasi SQL Virtual Machines untuk menginstal Agen Azure Monitor secara otomatis | Mengotomatiskan penyebaran ekstensi Agen Azure Monitor di Windows SQL Virtual Machines Anda. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 1.3.0 |
| Mengonfigurasi SQL Virtual Machines untuk menginstal Pertahanan Microsoft untuk SQL secara otomatis | Konfigurasikan Windows SQL Virtual Machines untuk menginstal ekstensi Pertahanan Microsoft untuk SQL secara otomatis. Pertahanan Microsoft untuk SQL mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas pengerasan yang disesuaikan (rekomendasi). | DeployIfNotExists, Nonaktif | 1.3.0 |
| Mengonfigurasi SQL Virtual Machines untuk menginstal Pertahanan Microsoft untuk SQL dan DCR secara otomatis dengan ruang kerja Analitik Log | Pertahanan Microsoft untuk SQL mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas pengerasan yang disesuaikan (rekomendasi). Buat grup sumber daya, Aturan Pengumpulan Data, dan ruang kerja Analitik Log di wilayah yang sama dengan komputer. | DeployIfNotExists, Nonaktif | 1.4.0 |
| Mengonfigurasi SQL Virtual Machines untuk menginstal Pertahanan Microsoft untuk SQL dan DCR secara otomatis dengan ruang kerja LA yang ditentukan pengguna | Pertahanan Microsoft untuk SQL mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas pengerasan yang disesuaikan (rekomendasi). Buat grup sumber daya dan Aturan Pengumpulan Data di wilayah yang sama dengan ruang kerja Analitik Log yang ditentukan pengguna. | DeployIfNotExists, Nonaktif | 1.4.0 |
| Mengonfigurasi ruang kerja Microsoft Defender for SQL Log Analytics | Pertahanan Microsoft untuk SQL mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas pengerasan yang disesuaikan (rekomendasi). Buat grup sumber daya dan ruang kerja Analitik Log di wilayah yang sama dengan komputer. | DeployIfNotExists, Nonaktif | 1.2.0 |
| Membuat dan menetapkan identitas terkelola bawaan yang ditetapkan pengguna | Buat dan tetapkan identitas terkelola bawaan yang ditetapkan pengguna dalam skala besar ke komputer virtual SQL. | AuditIfNotExists, DeployIfNotExists, Dinonaktifkan | 1.4.0 |
| Menyebarkan - Mengonfigurasi aturan supresi untuk pemberitahuan Azure Security Center | Mengurangi pemberitahuan Azure Security Center untuk mengurangi kelelahan pemberitahuan dengan menyebarkan aturan supresi pada grup manajemen atau langganan Anda. | deployIfNotExists | 1.0.0 |
| Menyebarkan ekspor ke Pusat Aktivitas sebagai layanan tepercaya untuk data Microsoft Defender untuk Cloud | Aktifkan ekspor ke Azure Event Hub sebagai layanan tepercaya dari data Microsoft Defender untuk Cloud. Kebijakan ini menyebarkan ekspor ke Event Hub sebagai konfigurasi layanan tepercaya dengan kondisi Anda dan target Event Hub pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Sebarkan ekspor ke Pusat Aktivitas untuk data Microsoft Defender untuk Cloud | Aktifkan ekspor ke Pusat Aktivitas dari data Microsoft Defender untuk Cloud. Kebijakan ini menyebarkan ekspor ke konfigurasi Hub Kejadian dengan kondisi Anda dan menargetkan Hub Kejadian pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 4.2.0 |
| Sebarkan ekspor ke ruang kerja Analitik Log untuk data Microsoft Defender untuk Cloud | Aktifkan ekspor ke ruang kerja Analitik Log dari data Microsoft Defender for Cloud. Kebijakan ini menyebarkan ekspor ke konfigurasi ruang kerja Analitik Log dengan kondisi dan ruang kerja target Anda pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 4.1.0 |
| Menyebarkan Azure Automation Alur Kerja untuk peringatan Microsoft Defender for Cloud | Aktifkan automasi pemberitahuan Microsoft Defender untuk Cloud. Kebijakan ini menyebarkan otomatisasi alur kerja dengan kondisi dan pemicu Anda pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 5.0.1 |
| Menyebarkan Azure Automation Alur Kerja untuk rekomendasi Microsoft Defender for Cloud | Aktifkan automasi rekomendasi Microsoft Defender untuk Cloud. Kebijakan ini menyebarkan otomatisasi alur kerja dengan kondisi dan pemicu Anda pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 5.0.1 |
| Menyebarkan Azure Automation Alur Kerja untuk kepatuhan terhadap peraturan Microsoft Defender for Cloud | Aktifkan automasi kepatuhan terhadap peraturan Microsoft Defender untuk Cloud. Kebijakan ini menyebarkan otomatisasi alur kerja dengan kondisi dan pemicu Anda pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 5.0.1 |
| Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Aktifkan Microsoft Defender untuk Cloud pada langganan Anda | Mengidentifikasi langganan yang ada yang tidak dipantau oleh Microsoft Defender untuk Cloud dan melindunginya dengan fitur gratis Defender untuk Cloud. Langganan yang sudah dipantau akan dianggap sesuai syarat. Untuk mendaftarkan langganan yang baru dibuat, buka tab kepatuhan, pilih penugasan tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 1.0.1 |
| Aktifkan provisi otomatis agen Analitik Log Azure Security Center pada langganan Anda dengan ruang kerja kustom. | Izinkan Azure Security Center untuk secara otomatis memprovisikan agen Analitik Log pada langganan Anda untuk memantau dan mengumpulkan data keamanan menggunakan ruang kerja kustom. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Aktifkan provisi otomatis agen Analitik Log Azure Security Center pada langganan Anda dengan ruang kerja default. | Izinkan Azure Security Center untuk memprovisikan agen Analitik Log secara otomatis pada langganan Anda untuk memantau dan mengumpulkan data keamanan menggunakan ruang kerja default ASC. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Masalah kesehatan perlindungan titik akhir harus diselesaikan di komputer Anda | Mengatasi masalah kesehatan perlindungan titik akhir pada komputer virtual Anda untuk melindungi mereka dari ancaman dan kerentanan terbaru. Solusi perlindungan titik akhir yang didukung Azure Security Center didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Penilaian perlindungan titik akhir didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Perlindungan titik akhir harus dipasang di komputer Anda | Untuk melindungi komputer Anda dari ancaman dan kerentanan, instal solusi perlindungan titik akhir yang didukung. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Solusi perlindungan titik akhir harus dipasang pada set skala komputer virtual | Audit keberadaan dan kesehatan solusi perlindungan titik akhir pada set skala komputer virtual Anda, untuk melindunginya dari ancaman dan kerentanan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus | Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin baca pada sumber daya Azure harus dihapus | Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus | Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Ekstensi Konfigurasi Tamu harus dipasang di mesin Anda | Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit guard harus diaktifkan'. Pelajari lebih lanjut di https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Komputer virtual yang terhubung ke internet harus dilindungi dengan grup keamanan jaringan | Lindungi komputer virtual Anda dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Penerusan IP pada komputer virtual Anda harus dinonaktifkan | Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, saat menggunakan VM sebagai appliance virtual jaringan), dan oleh karena itu, hal ini harus ditinjau oleh tim keamanan jaringan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan | Tingkatkan klaster layanan Kubernetes Anda ke versi Kubernetes yang lebih baru untuk melindungi dari kerentanan yang diketahui di versi Kubernetes Anda saat ini. Kerentanan CVE-2019-9946 telah di-patch di Kubernetes versi 1.11.9+, 1.12.7+, 1.13.5+, dan 1.14.0+ | Audit, Dinonaktifkan | 1.0.2 |
| Agen Analitik Log harus dipasang pada instans peran Azure Cloud Services (dukungan perpanjangan) | Azure Security Center mengumpulkan data dari instans peran Azure Cloud Services (dukungan perpanjangan) Anda untuk memantau kerentanan dan ancaman keamanan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Agen Log Analytics harus dipasang pada komputer virtual Anda untuk pemantauan Azure Security Center | Kebijakan ini mengaudit komputer virtual (VM) Windows/Linux apa pun jika agen Analitik Log tidak dipasang yang digunakan Azure Security Center untuk memantau kerentanan dan ancaman keamanan | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Agen Analitik Log harus dipasang pada set skala komputer virtual Anda untuk pemantauan Azure Security Center | Security Center mengumpulkan data dari komputer virtual Azure (VM) Anda untuk memantau kerentanan dan ancaman keamanan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mesin harus memiliki temuan rahasia yang diselesaikan | Mengaudit komputer virtual untuk mendeteksi apakah mereka berisi temuan rahasia dari solusi pemindaian rahasia di komputer virtual Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time | Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Port manajemen harus ditutup pada komputer virtual Anda | Port manajemen jarak jauh yang terbuka mengekspos VM Anda ke risiko tinggi dari serangan berbasis internet. Serangan ini mencoba untuk memaksa info masuk guna mendapatkan akses admin ke komputer. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Microsoft Defender CSPM harus diaktifkan | Defender Cloud Security Posture Management (CSPM) menyediakan kemampuan postur yang ditingkatkan dan grafik keamanan cloud cerdas baru untuk membantu mengidentifikasi, memprioritaskan, dan mengurangi risiko. Defender CSPM tersedia selain kemampuan postur keamanan dasar gratis yang diaktifkan secara default di Defender untuk Cloud. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Microsoft Defender untuk API harus diaktifkan | Microsoft Defender untuk API menghadirkan penemuan, perlindungan, deteksi, & cakupan respons baru untuk memantau serangan berbasis API umum & kesalahan konfigurasi keamanan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Microsoft Defender untuk Azure Cosmos DB harus diaktifkan | Microsoft Defender untuk Azure Cosmos DB merupakan lapisan keamanan Azure yang dapat mendeteksi setiap upaya untuk mengeksploitasi database pada akun Azure Cosmos DB Anda. Defender untuk Azure Cosmos DB mendeteksi potensi adanya injeksi SQL, yang dikenal sebagai pelaku kejahatan menurut Inteligensi Ancaman Microsoft, pola akses yang mencurigakan, dan potensi eksploitasi database Anda melalui penyusupan identitas, atau kejahatan orang dalam. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Microsoft Defender untuk SQL harus diaktifkan bagi ruang kerja Synapse yang tidak dilindungi | Aktifkan Defender untuk SQL untuk melindungi ruang kerja Synapse Anda. Defender untuk SQL memantau SQL Synapse Anda untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Status Pertahanan Microsoft untuk SQL harus dilindungi untuk SQL Server dengan dukungan Arc | Pertahanan Microsoft untuk SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat menunjukkan ancaman terhadap database SQL, menemukan dan mengklasifikasikan data sensitif. Setelah diaktifkan, status perlindungan menunjukkan bahwa sumber daya dipantau secara aktif. Bahkan ketika Defender diaktifkan, beberapa pengaturan konfigurasi harus divalidasi pada agen, mesin, ruang kerja, dan server SQL untuk memastikan perlindungan aktif. | Audit, Dinonaktifkan | 1.0.1 |
| Pertahanan Microsoft untuk Penyimpanan harus diaktifkan | Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup Pemindaian Malware dan Deteksi Ancaman Data Sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Memantau Perlindungan Titik Akhir yang tidak ada di Azure Security Center | Server tanpa agen Perlindungan Titik Akhir yang diinstal akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan grup keamanan jaringan | Lindungi komputer virtual non-internet Anda dari potensi ancaman dengan membatasi akses dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Tingkat harga standar Security Center harus dipilih | Tingkat harga standar memungkinkan deteksi ancaman untuk jaringan dan komputer virtual, menyediakan intelijen ancaman, deteksi anomali, dan analitik perilaku di Security Center | Audit, Dinonaktifkan | 1.1.0 |
| Menyiapkan langganan ke transisi ke solusi penilaian kerentanan alternatif | Pertahanan Microsoft untuk cloud menawarkan pemindaian kerentanan untuk komputer Anda tanpa biaya tambahan. Mengaktifkan kebijakan ini akan menyebabkan Defender untuk Cloud secara otomatis menyebarluaskan temuan dari solusi pengelolaan kerentanan Pertahanan Microsoft bawaan ke semua komputer yang didukung. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| Database SQL harus memiliki temuan kerentanan yang diselesaikan | Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. | AuditIfNotExists, Dinonaktifkan | 4.1.0 |
| Provisi otomatis yang ditargetkan server SQL harus diaktifkan untuk server SQL pada paket komputer | Untuk memastikan komputer virtual SQL dan SQL Server berkemampuan Arc Anda dilindungi, pastikan Azure Monitoring Agent yang ditargetkan SQL dikonfigurasi untuk disebarkan secara otomatis. Ini juga diperlukan jika sebelumnya Anda telah mengonfigurasi provisi otomatis Agen Pemantauan Microsoft, karena komponen tersebut tidak digunakan lagi. Pelajari selengkapnya: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Server SQL pada komputer harus memiliki temuan kerentanan yang diselesaikan | Penilaian kerentanan SQL memindai database Anda untuk mengetahui kerentanan keamanan, dan mengekspos setiap penyimpangan dari praktik terbaik seperti kesalahan konfigurasi, izin yang berlebihan, dan data sensitif yang tidak dilindungi. Menyelesaikan kerentanan yang ditemukan dapat sangat meningkatkan postur keamanan database Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Subnet harus dikaitkan dengan Grup Keamanan Jaringan | Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Langganan harus memiliki alamat email kontak untuk masalah keamanan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Pembaruan sistem pada set skala komputer virtual harus dipasang | Audit apakah ada pembaruan keamanan sistem yang hilang dan pembaruan penting yang harus diinstal untuk memastikan bahwa set skala komputer virtual Windows dan Linux Anda aman. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Pembaruan sistem harus dipasang di komputer Anda | Pembaruan sistem keamanan yang hilang di server Anda akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda | Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Komputer virtual harus mengenkripsi disk sementara, cache, serta aliran data antara sumber daya Komputasi dan Penyimpanan | Secara default, OS dan disk data mesin virtual dienkripsi saat tidak aktif menggunakan kunci yang dikelola platform. Disk sementara, cache data, dan data yang mengalir di antara komputasi dan penyimpanan tidak dienkripsi. Abaikan rekomendasi ini jika: 1. menggunakan enkripsi di host, atau 2. enkripsi sisi server pada Disk Terkelola memenuhi persyaratan keamanan Anda. Pelajari lebih lanjut dalam: Enkripsi sisi server dari Azure Disk Storage: https://aka.ms/disksse, Penawaran enkripsi disk yang berbeda: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Dinonaktifkan | 2.0.3 |
| Ekstensi Konfigurasi Tamu komputer virtual harus diterapkan dengan identitas terkelola yang ditetapkan sistem | Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Kerentanan dalam konfigurasi keamanan kontainer harus diremediasi | Audit kerentanan dalam konfigurasi keamanan pada mesin dengan Docker diinstal dan ditampilkan sebagai rekomendasi di Security Center. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Kerentanan dalam konfigurasi keamanan di komputer Anda harus diremediasi | Server yang tidak memenuhi baseline yang dikonfigurasi akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Kerentanan dalam konfigurasi keamanan pada set skala komputer virtual Anda harus diperbaiki | Audit kerentanan OS pada set skala komputer virtual Anda untuk melindunginya dari serangan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Security Center - Harga Granular
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Mengonfigurasi Azure Defender untuk Server yang akan dinonaktifkan untuk semua sumber daya (tingkat sumber daya) | Azure Defender untuk Server memberikan perlindungan ancaman real time untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta pemberitahuan tentang aktivitas yang mencurigakan. Kebijakan ini akan menonaktifkan paket Defender for Servers untuk semua sumber daya (VM, VMSS, dan ARC Machines) dalam cakupan yang dipilih (langganan atau grup sumber daya). | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi Azure Defender untuk Server yang akan dinonaktifkan untuk sumber daya (tingkat sumber daya) dengan tag yang dipilih | Azure Defender untuk Server memberikan perlindungan ancaman real time untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta pemberitahuan tentang aktivitas yang mencurigakan. Kebijakan ini akan menonaktifkan paket Defender for Servers untuk semua sumber daya (VM, VMSS, dan Mesin ARC) yang memiliki nama tag dan nilai tag yang dipilih. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi Azure Defender untuk Server yang akan diaktifkan (subplan'P1') untuk semua sumber daya (tingkat sumber daya) dengan tag yang dipilih | Azure Defender untuk Server memberikan perlindungan ancaman real time untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta pemberitahuan tentang aktivitas yang mencurigakan. Kebijakan ini akan mengaktifkan paket Defender for Servers (dengan subplan 'P1') untuk semua sumber daya (VM dan ARC Machines) yang memiliki nama tag dan nilai tag yang dipilih. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi Azure Defender untuk Server yang akan diaktifkan (dengan subplan 'P1') untuk semua sumber daya (tingkat sumber daya) | Azure Defender untuk Server memberikan perlindungan ancaman real time untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta pemberitahuan tentang aktivitas yang mencurigakan. Kebijakan ini akan mengaktifkan paket Defender for Servers (dengan subplan 'P1') untuk semua sumber daya (VM dan ARC Machines) dalam cakupan yang dipilih (langganan atau grup sumber daya). | DeployIfNotExists, Nonaktif | 1.0.0 |
Service Bus
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Semua aturan otorisasi kecuali RootManageSharedAccessKey harus dihapus dari namespace layanan Azure Service Bus | Klien Azure Service Bus tidak boleh menggunakan kebijakan akses tingkat namespace layanan yang menyediakan akses ke semua antrean dan topik di namespace layanan. Untuk menyelaraskan dengan model keamanan hak istimewa minimal, Anda harus membuat kebijakan akses di tingkat entitas untuk antrean dan topik untuk menyediakan akses hanya ke entitas tertentu | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Namespace Azure Service Bus harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa namespace Azure Bus Layanan secara eksklusif memerlukan identitas ID Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/disablelocalauth-sb. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Namespace layanan Azure Service Bus harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke namespace layanan Azure Service Bus, risiko kebocoran data akan berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Konfigurasikan namespace Azure Service Bus untuk menonaktifkan autentikasi lokal | Nonaktifkan metode autentikasi lokal sehingga namespace Azure ServiceBus Anda secara eksklusif memerlukan identitas ID Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/disablelocalauth-sb. | Ubah, Non-fungsikan | 1.0.1 |
| Mengonfigurasikan namespace layanan Bus Layanan untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat menautkan ke jaringan virtual Anda untuk mengatasi ke namespace layanan Azure Service Bus. Pelajari selengkapnya di: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasikan namespace layanan Azure Service Bus dengan titik akhir privat | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke namespace layanan Azure Service Bus, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Log sumber daya di Azure Service Bus harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Namespaces Azure Service Bus harus menonaktifkan akses jaringan publik | Azure Service Bus harus menonaktifkan akses jaringan publik. Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya tidak terekspos di internet publik. Anda dapat membatasi paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Namespace layanan Azure Service Bus harus mengaktifkan enkripsi ganda | Mengaktifkan enkripsi ganda membantu melindungi dan mengamankan data Anda untuk memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Ketika enkripsi ganda telah diaktifkan, data di akun penyimpanan dienkripsi dua kali, sekali di tingkat layanan dan sekali di tingkat infrastruktur, menggunakan dua algoritme enkripsi yang berbeda dan dua kunci yang berbeda. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Namespace layanan Azure Service Bus Premium harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Azure Service Bus mendukung opsi mengenkripsi data tidak aktif dengan kunci yang dikelola Microsoft (default) atau kunci yang dikelola pelanggan. Memilih untuk mengenkripsi data menggunakan kunci yang dikelola pelanggan memungkinkan Anda untuk menetapkan, merotasikan, menonaktifkan, dan mencabut akses ke kunci yang akan digunakan Azure Service Bus untuk mengenkripsi data di namespace layanan Anda. Perhatikan bahwa Azure Service Bus hanya mendukung enkripsi dengan kunci yang dikelola pelanggan untuk namespace layanan premium. | Audit, Dinonaktifkan | 1.0.0 |
Service Fabric
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang disetel ke EncryptAndSign | Service Fabric menyediakan tiga tingkat perlindungan (None, Sign, dan EncryptAndSign) untuk komunikasi node-to-node menggunakan sertifikat kluster utama. Atur tingkat perlindungan untuk memastikan bahwa semua pesan node-to-node dienkripsi dan ditandatangani secara digital | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien | Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric | Audit, Tolak, Dinonaktifkan | 1.1.0 |
SignalR
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Layanan Azure SignalR harus menonaktifkan akses jaringan publik | Untuk meningkatkan keamanan sumber daya Layanan Azure SignalR, pastikan sumber daya tersebut tidak terpapar ke internet publik dan hanya dapat diakses dari titik akhir pribadi. Nonaktifkan properti akses jaringan publik seperti yang dijelaskan dalam https://aka.ms/asrs/networkacls. Opsi ini menonaktifkan akses dari ruang alamat publik apa pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Ini mengurangi risiko kebocoran data. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Azure SignalR Service harus mengaktifkan log diagnostik | Pengaktifan audit log diagnostik. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure SignalR Service harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa Azure SignalR Service secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Layanan Azure SignalR harus menggunakan SKU yang mengaktifkan Tautan Pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan yang melindungi sumber daya Anda dari risiko kebocoran data publik. Kebijakan ini membatasi Anda pada SKU yang mengaktifkan Tautan Pribadi untuk Layanan Azure SignalR. Pelajari lebih lanjut tentang tautan pribadi di: https://aka.ms/asrs/privatelink. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Layanan Azure SignalR harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya Layanan Azure SignalR alih-alih seluruh layanan, Anda akan mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/asrs/privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi Azure SignalR Service untuk menonaktifkan autentikasi lokal | Menonaktifkan metode autentikasi lokal agar Azure SignalR Service Anda secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi titik akhir privat ke Azure SignalR Service | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir pribadi ke sumber daya Azure SignalR Service, Anda dapat mengurangi risiko kebocoran data. Pelajari lebih lanjut di https://aka.ms/asrs/privatelink. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Menyebarkan - Mengonfigurasi zona DNS pribadi untuk titik akhir pribadi yang terhubung ke Layanan Azure SignalR | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS pribadi tertaut ke jaringan virtual Anda untuk diselesaikan ke sumber daya Layanan Azure SignalR. Pelajari selengkapnya di: https://aka.ms/asrs/privatelink. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Ubah sumber daya Azure SignalR Service untuk menonaktifkan akses jaringan publik | Untuk meningkatkan keamanan sumber daya Layanan Azure SignalR, pastikan sumber daya tersebut tidak terpapar ke internet publik dan hanya dapat diakses dari titik akhir pribadi. Nonaktifkan properti akses jaringan publik seperti yang dijelaskan dalam https://aka.ms/asrs/networkacls. Opsi ini menonaktifkan akses dari ruang alamat publik apa pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Ini mengurangi risiko kebocoran data. | Ubah, Non-fungsikan | 1.1.0 |
Pemulihan Situs
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]:Mengonfigurasi brankas Azure Recovery Services untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat ditautkan ke jaringan virtual Anda untuk diselesaikan ke Recovery Services Vaults. Pelajari selengkapnya di: https://aka.ms/privatednszone. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| [Pratinjau]: Mengonfigurasi titik akhir privat di vault Layanan Pemulihan Azure | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke sumber daya pemulihan situs Anda dari vault Layanan Pemulihan, Anda dapat mengurangi risiko kebocoran data. Untuk menggunakan tautan pribadi, identitas layanan terkelola harus ditetapkan ke Vault Layanan Pemulihan. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| [Pratinjau]: Vault Layanan Pemulihan harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke vault Azure Recovery Services, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan pribadi untuk Azure Site Recovery di: https://aka.ms/HybridScenarios-PrivateLink dan https://aka.ms/AzureToAzure-PrivateLink. | Audit, Dinonaktifkan | 1.0.0-preview |
SQL
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Administrator Microsoft Entra harus disediakan untuk server MySQL | Provisi audit administrator Microsoft Entra untuk server MySQL Anda untuk mengaktifkan autentikasi Microsoft Entra. Autentikasi Microsoft Entra memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.1.1 |
| Administrator Microsoft Entra harus disediakan untuk server PostgreSQL | Provisi audit administrator Microsoft Entra untuk server PostgreSQL Anda untuk mengaktifkan autentikasi Microsoft Entra. Autentikasi Microsoft Entra memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Administrator Azure Active Directory harus disediakan untuk server SQL | Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Audit di server SQL harus diaktifkan | Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Server fleksibel Azure MySQL harus mengaktifkan Autentikasi Microsoft Entra Only | Menonaktifkan metode autentikasi lokal dan hanya mengizinkan Microsoft Entra Authentication meningkatkan keamanan dengan memastikan bahwa server fleksibel Azure MySQL dapat diakses secara eksklusif oleh identitas Microsoft Entra. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Azure SQL Database harus menjalankan TLS versi 1.2 atau yang lebih baru | Mengatur versi TLS ke 1.2 atau yang lebih baru akan meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari klien yang menggunakan TLS 1.2 atau yang lebih baru. Menggunakan versi TLS kurang dari 1.2 tidak disarankan karena mereka memiliki kerentanan keamanan yang terdokumentasi dengan baik. | Audit, Dinonaktifkan, Tolak | 2.0.0 |
| Azure SQL Database harus mengaktifkan autentikasi khusus Microsoft Entra | Mengharuskan server logis Azure SQL menggunakan autentikasi khusus Microsoft Entra. Kebijakan ini tidak memblokir server agar tidak dibuat dengan autentikasi lokal diaktifkan. Ini memblokir autentikasi lokal agar tidak diaktifkan pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/adonlycreate. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure SQL Database harus mengaktifkan autentikasi Microsoft Entra-only selama pembuatan | Mengharuskan server logis Azure SQL dibuat dengan autentikasi khusus Microsoft Entra. Kebijakan ini tidak memblokir autentikasi lokal agar tidak diaktifkan kembali pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/adonlycreate. | Audit, Tolak, Dinonaktifkan | 1.2.0 |
| Azure SQL Managed Instance harus mengaktifkan autentikasi khusus Microsoft Entra | Mengharuskan Azure SQL Managed Instance menggunakan autentikasi Microsoft Entra-only. Kebijakan ini tidak memblokir instans Terkelola Azure SQL agar tidak dibuat dengan autentikasi lokal diaktifkan. Ini memblokir autentikasi lokal agar tidak diaktifkan pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/adonlycreate. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure SQL Managed Instance harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik (titik akhir publik) pada Azure SQL Managed Instance meningkatkan keamanan dengan memastikan bahwa mereka hanya dapat diakses dari dalam jaringan virtual mereka atau melalui Titik Akhir Privat. Untuk mempelajari selengkapnya akses jaringan publik, kunjungi https://aka.ms/mi-public-endpoint. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Azure SQL Managed Instances harus mengaktifkan autentikasi Microsoft Entra-only selama pembuatan | Mengharuskan Azure SQL Managed Instance dibuat dengan autentikasi Microsoft Entra-only. Kebijakan ini tidak memblokir autentikasi lokal agar tidak diaktifkan kembali pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/adonlycreate. | Audit, Tolak, Dinonaktifkan | 1.2.0 |
| Mengonfigurasikan Perlindungan Terhadap Ancaman Tingkat Lanjut agar diaktifkan di server Azure Database for MariaDB | Aktifkan Perlindungan Terhadap Ancaman Tingkat Lanjut di server Azure Database for MariaDB tingkat non-Dasa untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi membahayakan untuk mengakses atau mengeksploitasi database. | DeployIfNotExists, Nonaktif | 1.2.0 |
| Konfigurasikan Perlindungan Terhadap Ancaman Tingkat Lanjut untuk diaktifkan di database Azure untuk server MySQL | Aktifkan Perlindungan Terhadap Ancaman Tingkat Lanjut pada database Azure tingkat non-Dasar untuk server MySQL guna mendeteksi aktivitas ganjil yang mengindikasikan upaya yang tidak biasa dan berpotensi membahayakan untuk mengakses atau mengeksploitasi database. | DeployIfNotExists, Nonaktif | 1.2.0 |
| Mengonfigurasi Perlindungan Ancaman Tingkat Lanjut agar diaktifkan pada database Azure untuk server PostgreSQL | Mengaktifkan Perlindugnan Ancaman Tingkat Lanjut pada database Azure tingkat non-Dasar untuk server PostgreSQL guna mendeteksi aktivitas ganjil yang mengindikasikan upaya yang tidak biasa dan berpotensi membahayakan untuk mengakses atau mengeksploitasi database. | DeployIfNotExists, Nonaktif | 1.2.0 |
| Mengonfigurasi Azure Defender untuk diaktifkan pada instans terkelola SQL | Aktifkan Azure Defender pada Azure SQL Managed Instance Anda untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. | DeployIfNotExists, Nonaktif | 2.0.0 |
| Mengonfigurasi Azure Defender untuk diaktifkan di server SQL | Aktifkan Azure Defender di Azure SQL Server Anda untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. | DeployIfNotExists | 2.1.0 |
| Konfigurasikan pengaturan diagnostik server database Azure SQL ke ruang kerja Analitik Log | Mengaktifkan log audit untuk server Azure SQL Database dan mengalirkan log ke ruang kerja Analitik Log ketika SQL Server apa pun yang kehilangan audit ini dibuat atau diperbarui | DeployIfNotExists, Nonaktif | 1.0.2 |
| Mengonfigurasi Azure SQL Server untuk menonaktifkan akses jaringan publik | Menonaktifkan properti akses jaringan publik mematikan konektivitas publik sehingga Azure SQL Server hanya dapat diakses dari titik akhir privat. Konfigurasi ini menonaktifkan akses jaringan publik untuk semua database di bawah Azure SQL Server. | Ubah, Non-fungsikan | 1.0.0 |
| Konfigurasikan Azure SQL Server untuk mengaktifkan koneksi titik akhir privat | Koneksi titik akhir privat memungkinkan konektivitas privat ke Azure SQL Database Anda melalui alamat IP privat di dalam jaringan virtual. Konfigurasi ini meningkatkan postur keamanan Anda dan mendukung alat dan skenario jaringan Azure. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi server SQL agar audit diaktifkan | Untuk memastikan operasi yang dilakukan terhadap aset SQL Anda ditangkap, server SQL harus mengaktifkan audit. Ini terkadang diperlukan untuk memenuhi standar peraturan. | DeployIfNotExists, Nonaktif | 3.0.0 |
| Mengonfigurasikan server SQL untuk mengaktifkan audit ke ruang kerja Analitik Log | Untuk memastikan operasi yang dilakukan terhadap aset SQL Anda ditangkap, server SQL harus mengaktifkan audit. Jika audit tidak diaktifkan, kebijakan ini akan mengonfigurasi peristiwa audit agar mengalir ke ruang kerja Analitik Log yang ditentukan. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Pembatasan koneksi harus diaktifkan untuk server database PostgreSQL | Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan pembatasan Koneksi. Pengaturan ini memungkinkan pembatasan koneksi sementara per IP untuk terlalu banyak kegagalan upaya masuk kata sandi yang tidak valid. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Sebarkan - Mengonfigurasi pengaturan diagnostik untuk SQL Database ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Azure SQL Database guna mengalirkan log sumber daya ke ruang kerja Analitik Log ketika Azure SQL Database yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, Nonaktif | 4.0.0 |
| Menyebarkan Advanced Data Security di server SQL | Kebijakan ini mengaktifkan Advanced Data Security di SQL Server. Ini termasuk mengaktifkan Deteksi Ancaman dan Penilaian Kerentanan. Kebijakan ini akan secara otomatis membuat akun penyimpanan di wilayah dan grup sumber daya yang sama dengan server SQL untuk menyimpan hasil pemindaian, dengan awalan 'sqlva'. | DeployIfNotExists | 1.3.0 |
| Menyebarkan Pengaturan Diagnostik untuk Azure SQL Database ke Hub Kejadian | Menyebarkan pengaturan diagnostik untuk Azure SQL Database untuk mengalirkan ke Hub Kejadian regional pada Azure SQL Database mana pun yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists | 1.2.0 |
| Menyebarkan enkripsi data transparan SQL DB | Mengaktifkan enkripsi data transparan di database SQL | DeployIfNotExists, Nonaktif | 2.2.0 |
| Pemutusan sambungan harus dicatat untuk server database PostgreSQL. | Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan log_disconnections. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Terapkan koneksi SSL harus diaktifkan untuk server database MySQL | Azure Database for MySQL mendukung koneksi server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. | Audit, Dinonaktifkan | 1.0.1 |
| Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL | Azure Database for PostgreSQL mendukung penyambungan server Azure Database for PostgreSQL ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. | Audit, Dinonaktifkan | 1.0.1 |
| Cadangan geo-redundan harus diaktifkan pada Azure Database for MariaDB | Azure Database for MariaDB memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. | Audit, Dinonaktifkan | 1.0.1 |
| Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL | Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. | Audit, Dinonaktifkan | 1.0.1 |
| Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL | Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. | Audit, Dinonaktifkan | 1.0.1 |
| Enkripsi infrastruktur harus diaktifkan untuk server Azure Database for MySQL | Aktifkan enkripsi infrastruktur untuk server Azure Database for MySQL agar memiliki tingkat jaminan yang lebih tinggi bahwa data aman. Saat enkripsi infrastruktur diaktifkan, data saat tidak aktif dienkripsi dua kali menggunakan kunci terkelola Microsoft yang sesuai dengan FIPS 140-2. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Enkripsi infrastruktur harus diaktifkan untuk server Azure Database for PostgreSQL | Aktifkan enkripsi infrastruktur untuk server Azure Database for PostgreSQL agar memiliki tingkat jaminan yang lebih tinggi bahwa data aman. Saat enkripsi infrastruktur diaktifkan, data saat tidak aktif dienkripsi dua kali menggunakan kunci yang dikelola Microsoft yang sesuai dengan FIPS 140-2 | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Titik pemeriksaan log harus diaktifkan untuk server database PostgreSQL | Kebijakan ini membantu mengaudit semua database PostgreSQL di lingkungan Anda tanpa mengaktifkan pengaturan log_checkpoints. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Koneksi log harus diaktifkan untuk server database PostgreSQL | Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan pengaturan log_connections. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Durasi log harus diaktifkan untuk server database PostgreSQL | Kebijakan ini membantu mengaudit database PostgreSQL di lingkungan Anda tanpa mengaktifkan pengaturan log_duration. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Cadangan geo-redundan jangka panjang harus diaktifkan untuk Azure SQL Database | Kebijakan ini mengaudit Azure SQL Database dengan pencadangan geo-redundan jangka panjang yang tidak diaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Server MariaDB harus menggunakan titik akhir layanan jaringan virtual | Aturan firewall berbasis jaringan virtual digunakan untuk mengaktifkan lalu lintas dari subnet tertentu ke Azure Database for MariaDB sambil memastikan lalu lintas tetap berada dalam batas Azure. Kebijakan ini menyediakan cara untuk mengaudit jika Azure Database for MariaDB memiliki titik akhir layanan jaringan virtual yang digunakan. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Server MySQL harus menggunakan titik akhir layanan jaringan virtual | Aturan firewall berbasis jaringan virtual digunakan untuk mengaktifkan lalu lintas dari subnet tertentu ke Azure Database for MySQL sambil memastikan lalu lintas tetap berada dalam batas Azure. Kebijakan ini menyediakan cara untuk mengaudit jika Azure Database for MySQL memiliki titik akhir layanan jaringan virtual yang digunakan. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Server MySQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server MySQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. | AuditIfNotExists, Dinonaktifkan | 1.0.4 |
| Server PostgreSQL harus menggunakan titik akhir layanan jaringan virtual | Aturan firewall berbasis jaringan virtual digunakan untuk mengaktifkan lalu lintas dari subnet tertentu ke Azure Database untuk PostgreSQL sambil memastikan lalu lintas tetap berada dalam batas Azure. Kebijakan ini menyediakan cara untuk mengaudit jika Azure Database untuk PostgreSQL memiliki titik akhir layanan jaringan virtual yang digunakan. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Server PostgreSQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server PostgreSQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. | AuditIfNotExists, Dinonaktifkan | 1.0.4 |
| Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan | Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. | Audit, Dinonaktifkan | 1.1.0 |
| Titik akhir privat harus diaktifkan untuk server MariaDB | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MariaDB. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Titik akhir pribadi harus diaktifkan untuk server MySQL | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MySQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Titik akhir pribadi harus diaktifkan untuk server PostgreSQL | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for PostgreSQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Akses jaringan publik di Azure SQL Database harus dinonaktifkan | Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Akses jaringan publik harus dinonaktifkan untuk server MariaDB | Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MariaDB Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Akses jaringan publik harus dinonaktifkan untuk server fleksibel MySQL | Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan server fleksibel Azure Database for MySQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik apa pun di luar jangkauan Azure IP dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
| Akses jaringan publik harus dinonaktifkan untuk server MySQL | Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MySQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Akses jaringan publik harus dinonaktifkan untuk server fleksibel PostgreSQL | Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan server fleksibel Azure Database for PostgreSQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik apa pun di luar jangkauan Azure IP dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 3.0.1 |
| Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL | Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for PostgreSQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
| Setelan Audit SQL harus memiliki Grup Tindakan yang dikonfigurasi untuk menangkap aktivitas penting | Properti AuditActionsAndGroups harus berisi setidaknya SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP untuk memastikan pencatatan audit yang menyeluruh | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| SQL Database harus menghindari penggunaan redundansi cadangan GRS | Database harus menghindari penggunaan penyimpanan geo-redundan default untuk cadangan, jika aturan residensi data mengharuskan data untuk tetap berada di wilayah tertentu. Catatan: Azure Policy tidak diberlakukan saat membuat database menggunakan T-SQL. Jika tidak secara eksplisit ditentukan, database dengan penyimpanan cadangan geo-redundan dibuat melalui T-SQL. | Tolak, Dinonaktifkan | 2.0.0 |
| SQL Managed Instance harus memiliki versi TLS minimal 1.2 | Mengatur versi TLS minimal ke 1.2 meningkatkan keamanan dengan memastikan Azure SQL Managed Instance Anda hanya dapat diakses dari klien menggunakan TLS 1.2. Menggunakan versi TLS kurang dari 1.2 tidak disarankan karena mereka memiliki kerentanan keamanan yang terdokumentasi dengan baik. | Audit, Dinonaktifkan | 1.0.1 |
| SQL Managed Instances harus menghindari penggunaan redundansi cadangan GRS | Instans Terkelola harus menghindari penggunaan penyimpanan geo-redundan default untuk cadangan, jika aturan residensi data mengharuskan data untuk tetap berada di wilayah tertentu. Catatan: Azure Policy tidak diberlakukan saat membuat database menggunakan T-SQL. Jika tidak secara eksplisit ditentukan, database dengan penyimpanan cadangan geo-redundan dibuat melalui T-SQL. | Tolak, Dinonaktifkan | 2.0.0 |
| ISQL managed instances harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif | Implementasi Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Implementasi Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
| Server SQL dengan audit ke tujuan akun penyimpanan harus dikonfigurasi dengan retensi 90 hari atau lebih tinggi | Untuk tujuan penyelidikan insiden, kami menyarankan pengaturan retensi data untuk audit SQL Server Anda ke tujuan akun penyimpanan setidaknya 90 hari. Konfirmasikan bahwa Anda memenuhi aturan retensi yang diperlukan untuk wilayah tempat Anda beroperasi. Ini terkadang diperlukan untuk memenuhi standar peraturan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Enkripsi Data Transparan pada database SQL harus diaktifkan | Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Aturan firewall jaringan virtual pada Azure SQL Database harus diaktifkan untuk memperbolehkan lalu lintas dari subnet yang ditentukan | Aturan firewall berbasis jaringan virtual digunakan untuk mengaktifkan lalu lintas dari subnet tertentu ke Azure SQL Database sambil memastikan lalu lintas tetap berada dalam batas Azure. | AuditIfNotExists | 1.0.0 |
| Penilaian kerentanan harus diaktifkan di SQL Managed Instance | Audit setiap Instans Terkelola SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Penilaian kerentanan harus diaktifkan di server SQL Anda | Audit server Azure SQL yang tidak memiliki penilaian kerentanan yang dikonfigurasi dengan benar. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Instans Terkelola SQL
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Enkripsi kunci yang dikelola pelanggan harus digunakan sebagai bagian dari Enkripsi CMK untuk instans terkelola Arc SQL. | Sebagai bagian dari enkripsi CMK, enkripsi kunci yang dikelola pelanggan harus digunakan. Pelajari lebih lanjut di https://aka.ms/EnableTDEArcSQLMI. | Audit, Dinonaktifkan | 1.0.0 |
| Protokol TLS 1.2 harus digunakan untuk instans terkelola Arc SQL. | Sebagai bagian dari pengaturan jaringan, Microsoft merekomendasikan hanya mengizinkan TLS 1.2 untuk protokol TLS di SQL Server. Pelajari selengkapnya tentang pengaturan jaringan untuk SQL Server di https://aka.ms/TlsSettingsSQLServer. | Audit, Dinonaktifkan | 1.0.0 |
| Enkripsi Data Transparan harus diaktifkan untuk instans terkelola Arc SQL. | Aktifkan enkripsi data transparan (TDE) saat tidak aktif pada SQL Managed Instance dengan dukungan Azure Arc. Pelajari lebih lanjut di https://aka.ms/EnableTDEArcSQLMI. | Audit, Dinonaktifkan | 1.0.0 |
SQL Server
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Aktifkan identitas yang ditetapkan sistem ke komputer virtual SQL | Aktifkan identitas yang ditetapkan sistem dalam skala besar ke komputer virtual SQL. Anda perlu menetapkan kebijakan ini di tingkat langganan. Menetapkan pada tingkat grup sumber daya tidak akan berfungsi seperti yang diharapkan. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| Konfigurasikan Server dengan dukungan Arc dengan ekstensi SQL Server yang diinstal untuk mengaktifkan atau menonaktifkan penilaian praktik terbaik SQL. | Aktifkan atau nonaktifkan penilaian praktik terbaik SQL pada instans server SQL di server berkemampuan Arc Anda untuk mengevaluasi praktik terbaik. Pelajari lebih lanjut di https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Berlangganan instans SQL Server dengan dukungan Arc yang memenuhi syarat ke Pembaruan Keamanan yang Diperpanjang. | Berlangganan instans SQL Server dengan dukungan Arc yang memenuhi syarat dengan Jenis Lisensi yang diatur ke Berbayar atau PAYG ke Pembaruan Keamanan yang Diperpanjang. Selengkapnya tentang pembaruan https://go.microsoft.com/fwlink/?linkid=2239401keamanan yang diperpanjang . | DeployIfNotExists, Nonaktif | 1.0.0 |
Stack HCI
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Server Azure Stack HCI harus memiliki kebijakan kontrol aplikasi yang diberlakukan secara konsisten | Minimal, terapkan kebijakan dasar Microsoft WDAC dalam mode yang diberlakukan di semua server Azure Stack HCI. Kebijakan Kontrol Aplikasi Pertahanan Windows (WDAC) yang diterapkan harus konsisten di seluruh server dalam kluster yang sama. | Audit, Dinonaktifkan, AuditIfNotExists | 1.0.0-preview |
| [Pratinjau]: Server Azure Stack HCI harus memenuhi persyaratan Secured-core | Pastikan bahwa semua server Azure Stack HCI memenuhi persyaratan Secured-core. Untuk mengaktifkan persyaratan server Secured-core: 1. Dari halaman kluster Azure Stack HCI, buka Pusat Admin Windows dan pilih Koneksi. 2. Buka ekstensi Keamanan dan pilih Secured-core. 3. Pilih pengaturan apa pun yang tidak diaktifkan dan klik Aktifkan. | Audit, Dinonaktifkan, AuditIfNotExists | 1.0.0-preview |
| [Pratinjau]: Sistem Azure Stack HCI harus memiliki volume terenkripsi | Gunakan BitLocker untuk mengenkripsi OS dan volume data pada sistem Azure Stack HCI. | Audit, Dinonaktifkan, AuditIfNotExists | 1.0.0-preview |
| [Pratinjau]: Jaringan host dan VM harus dilindungi pada sistem Azure Stack HCI | Lindungi data di jaringan host Azure Stack HCI dan pada koneksi jaringan komputer virtual. | Audit, Dinonaktifkan, AuditIfNotExists | 1.0.0-preview |
Penyimpanan
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Akses publik akun penyimpanan tidak boleh diizinkan | Akses baca publik anonim ke container dan blob di Azure Storage adalah cara yang nyaman untuk berbagi data tetapi dapat menimbulkan risiko keamanan. Untuk mencegah pelanggaran data yang disebabkan oleh akses anonim yang tidak diinginkan, Microsoft merekomendasikan untuk mencegah akses publik ke akun penyimpanan kecuali skenario Anda memerlukannya. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 3.1.0-pratinjau |
| Azure File Sync harus menggunakan tautan privat | Membuat titik akhir pribadi untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Membuat titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Volume SMB Azure NetApp Files harus menggunakan enkripsi SMB3 | Larang pembuatan Volume SMB tanpa enkripsi SMB3 untuk memastikan integritas data dan privasi data. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Volume Azure NetApp Files tipe NFSv4.1 harus menggunakan enkripsi data Kerberos | Hanya izinkan penggunaan mode keamanan privasi Kerberos (5p) untuk memastikan data telah dienkripsi. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Volume Azure NetApp Files tipe NFSv4.1 harus menggunakan integritas data atau privasi data Kerberos | Pastikan bahwa setidaknya integritas Kerberos (krb5i) atau privasi Kerberos (krb5p) dipilih untuk memastikan integritas data dan privasi data. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Volume Azure NetApp Files tidak boleh menggunakan tipe protokol NFSv3 | Melarang penggunaan jenis protokol NFSv3 untuk mencegah akses volume yang tidak aman. NFSv4.1 dengan protokol Kerberos harus digunakan untuk mengakses volume NFS untuk memastikan integritas dan enkripsi data. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi ID Zona DNS privat untuk groupID blob | Konfigurasikan grup zona DNS privat guna menimpa resolusi DNS untuk titik akhir privat groupID blob. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi ID Zona DNS privat untuk groupID blob_secondary | Konfigurasikan grup zona DNS privat untuk mengganti resolusi DNS ada titik akhir privat groupID blob_secondary. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi ID Zona DNS privat untuk groupID dfs | Konfigurasikan grup zona DNS privat guna mengganti resolusi DNS untuk titik akhir privat dfs groupID. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi ID Zona DNS privat untuk groupID dfs_secondary | Mengonfigurasi grup zona DNS privat untuk mengganti resolusi DNS pada titik akhir privat groupID dfs_secondary. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi ID Zona DNS privat untuk berkas groupID | Konfigurasikan grup zona DNS privat guna mengganti resolusi DNS untuk titik akhir privat file groupID. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi ID Zona DNS privat untuk groupID antrean | Konfigurasikan grup zona DNS privat guna mengambil alih resolusi DNS untuk antrean titik akhir privat groupID. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi ID Zona DNS privat untuk groupID queue_secondary | Konfigurasikan grup zona DNS privat untuk mengganti resolusi DNS untuk titik akhir privat goupID queue_secondary. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi ID Zona DNS privat untuk tabel groupID | Konfigurasikan grup zona DNS privat untuk mengganti resolusi DNS pada titik akhir privat tabel groupID. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi ID Zona DNS privat untuk groupID table_secondary | Konfigurasikan grup zona DNS privat untuk mengganti resolusi DNS untuk titik akhir privat groupID table_secondary. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi ID Zona DNS privat untuk web groupID | Konfigurasikan grup zona DNS privat untuk mengganti resolusi DNS untuk titik akhir privat web groupID. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasikan ID Zona DNS privat untuk groupID web_secondary | Konfigurasikan grup zona DNS privat untuk mengganti resolusi DNS untuk titik akhir privat groupID web_secondary. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi Azure File Sync untuk menggunakan zona DNS privat | Untuk mengakses titik akhir pribadi untuk antarmuka sumber daya Storage Sync Service dari server terdaftar, Anda perlu mengonfigurasi DNS untuk menyelesaikan nama yang benar ke alamat IP pribadi titik akhir pribadi Anda. Kebijakan ini membuat Zona DNS Pribadi Azure dan catatan A yang diperlukan untuk antarmuka titik akhir pribadi Layanan Sinkronisasi Penyimpanan Anda. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi Azure File Sync dengan titik akhir privat | Titik akhir pribadi disebarkan untuk sumber daya Layanan Sinkronisasi Penyimpanan yang ditunjukkan. Ini memungkinkan Anda untuk menangani sumber daya Layanan Sinkronisasi Penyimpanan Anda dari dalam ruang alamat IP pribadi jaringan organisasi Anda, bukan melalui titik akhir publik yang dapat diakses internet. Keberadaan satu atau lebih titik akhir pribadi dengan sendirinya tidak menonaktifkan titik akhir publik. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan pengaturan diagnostik untuk Layanan Blob ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Layanan Blob guna mengalirkan log sumber daya ke ruang kerja Analitik Log ketika Layanan blob yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Konfigurasikan pengaturan diagnostik untuk Layanan File ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Layanan File guna mengalirkan log sumber daya ke ruang kerja Analitik Log ketika Layanan file yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Konfigurasikan pengaturan diagnostik untuk Layanan Antrean ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Layanan Antrean guna mengalirkan log sumber daya ke ruang kerja Analitik Log ketika Layanan Antrean yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. Catatan: Kebijakan ini tidak dipicu pada pembuatan Akun Penyimpanan dan memerlukan pembuatan tugas remediasi untuk memperbarui akun. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 4.0.1 |
| Konfigurasikan pengaturan diagnostik untuk Akun Penyimpanan ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk akun Penyimpanan guna mengalirkan log sumber daya ke ruang kerja Analitik Log ketika akun penyimpanan yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Konfigurasikan pengaturan diagnostik untuk Layanan Tabel ke ruang kerja Analitik Log | Menyebarkan pengaturan diagnostik untuk Layanan Tabel guna mengalirkan log sumber daya ke ruang kerja Analitik Log ketika Layanan tabel yang tidak memiliki pengaturan diagnostik ini dibuat atau diperbarui. Catatan: Kebijakan ini tidak dipicu pada pembuatan Akun Penyimpanan dan memerlukan pembuatan tugas remediasi untuk memperbarui akun. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 4.0.1 |
| Mengonfigurasi transfer data yang aman pada akun penyimpanan | Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Ubah, Non-fungsikan | 1.0.0 |
| Konfigurasikan akun Penyimpanan untuk menggunakan koneksi tautan pribadi | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasikan akun penyimpanan untuk menonaktifkan akses jaringan publik | Untuk meningkatkan keamanan Akun Penyimpanan, pastikan bahwa hal tersebut tidak terekspos ke internet publik dan hanya dapat diakses dari titik akhir privat. Nonaktifkan properti akses jaringan publik seperti yang dijelaskan dalam https://aka.ms/storageaccountpublicnetworkaccess. Opsi ini menonaktifkan akses dari ruang alamat publik apa pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Ini mengurangi risiko kebocoran data. | Ubah, Non-fungsikan | 1.0.1 |
| Konfigurasikan akses publik akun Penyimpanan Anda menjadi tidak diperbolehkan | Akses baca publik anonim ke container dan blob di Azure Storage adalah cara yang nyaman untuk berbagi data tetapi dapat menimbulkan risiko keamanan. Untuk mencegah pelanggaran data yang disebabkan oleh akses anonim yang tidak diinginkan, Microsoft merekomendasikan untuk mencegah akses publik ke akun penyimpanan kecuali skenario Anda memerlukannya. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi akun Storage Anda untuk mengaktifkan penerapan versi blob | Anda dapat mengaktifkan penerapan versi penyimpanan Blob untuk mempertahankan versi objek sebelumnya secara otomatis. Saat penerapan versi blob diaktifkan, Anda dapat mengakses versi blob yang lebih lama untuk memulihkan data Anda jika dimodifikasi atau dihapus. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Menyebarkan Defender for Storage (Klasik) pada akun penyimpanan | Kebijakan ini memungkinkan Defender for Storage (Klasik) pada akun penyimpanan. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Penyimpanan geo-redundan harus diaktifkan untuk Akun Penyimpanan | Gunakan geo-redundansi untuk membuat aplikasi yang sangat tersedia | Audit, Dinonaktifkan | 1.0.0 |
| Akun HPC Cache harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Kelola enkripsi yang tidak aktif di seluruh Azure HPC Cache dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci tersebut biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. | Audit, Dinonaktifkan, Tolak | 2.0.0 |
| Ubah - Mengonfigurasi Azure File Sync untuk menonaktifkan akses jaringan publik | Titik akhir publik yang dapat diakses internet Azure File Sync dinonaktifkan oleh kebijakan organisasi Anda. Anda masih dapat mengakses Layanan Sinkronisasi Penyimpanan melalui titik akhir pribadinya. | Ubah, Non-fungsikan | 1.0.0 |
| Modifikasi - Konfigurasikan akun Penyimpanan Anda untuk mengaktifkan penerapan versi blob | Anda dapat mengaktifkan penerapan versi penyimpanan Blob untuk mempertahankan versi objek sebelumnya secara otomatis. Saat penerapan versi blob diaktifkan, Anda dapat mengakses versi blob yang lebih lama untuk memulihkan data Anda jika dimodifikasi atau dihapus. Harap dicatat bahwa akun penyimpanan yang ada tidak akan dimodifikasi untuk mengaktifkan penerapan versi penyimpanan Blob. Hanya akun penyimpanan yang baru dibuat yang akan mengaktifkan penerapan versi penyimpanan Blob | Ubah, Non-fungsikan | 1.0.0 |
| Akses jaringan publik harus dinonaktifkan untuk Azure File Sync | Menonaktifkan titik akhir publik memungkinkan Anda membatasi akses ke sumber daya Layanan Sinkronisasi Penyimpanan untuk permintaan yang ditujukan ke titik akhir pribadi yang disetujui di jaringan organisasi Anda. Tidak ada yang secara inheren tidak aman tentang mengizinkan permintaan ke titik akhir publik, namun, Anda mungkin ingin menonaktifkannya untuk memenuhi persyaratan kebijakan peraturan, hukum, atau organisasi. Anda dapat menonaktifkan titik akhir publik untuk Layanan Sinkronisasi Penyimpanan dengan menyetel incomingTrafficPolicy sumber daya ke AllowVirtualNetworksOnly. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Queue Storage harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Amankan akun penyimpanan Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan memberikan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Transfer aman ke akun penyimpanan harus diaktifkan | Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Cakupan enkripsi akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif di seluruh cakupan enkripsi akun penyimpanan Anda. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci brankas kunci Azure yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. Pelajari lebih lanjut tentang selengkapnya penyimpanan di https://aka.ms/encryption-scopes-overview. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Cakupan enkripsi akun penyimpanan harus menggunakan enkripsi ganda untuk data diam | Aktifkan enkripsi infrastruktur untuk enkripsi di seluruh lingkup enkripsi akun penyimpanan Anda untuk keamanan tambahan. Enkripsi infrastruktur memastikan bahwa data Anda dienkripsi dua kali. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Kunci akun penyimpanan tidak boleh kedaluwarsa | Pastikan kunci akun penyimpanan pengguna tidak kedaluwarsa saat kebijakan kedaluwarsa kunci ditetapkan, untuk meningkatkan keamanan kunci akun dengan mengambil tindakan saat kunci kedaluwarsa. | Audit, Tolak, Dinonaktifkan | 3.0.0 |
| Akun penyimpanan harus mengizinkan akses dari layanan Microsoft tepercaya | Beberapa layanan Microsoft yang berinteraksi dengan akun penyimpanan beroperasi dari jaringan yang tidak dapat diberikan akses melalui aturan jaringan. Untuk membantu jenis layanan ini berfungsi sebagaimana mestinya, izinkan kumpulan layanan Microsoft tepercaya untuk mengabaikan aturan jaringan. Layanan ini kemudian akan menggunakan autentikasi yang kuat untuk mengakses akun penyimpanan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun penyimpanan harus dibatasi oleh SKU yang diizinkan | Batasi kumpulan SKU akun penyimpanan yang dapat disebarkan oleh organisasi Anda. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru | Gunakan Azure Resource Manager baru untuk akun penyimpanan Anda guna memberikan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penyebaran dan tata kelola berbasis Azure Resource Manager, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, berbasis Azure Active Directory autentikasi dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun penyimpanan harus menonaktifkan akses jaringan publik | Untuk meningkatkan keamanan Akun Penyimpanan, pastikan bahwa hal tersebut tidak terekspos ke internet publik dan hanya dapat diakses dari titik akhir privat. Nonaktifkan properti akses jaringan publik seperti yang dijelaskan dalam https://aka.ms/storageaccountpublicnetworkaccess. Opsi ini menonaktifkan akses dari ruang alamat publik apa pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. Ini mengurangi risiko kebocoran data. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Akun penyimpanan harus memiliki enkripsi infrastruktur | Aktifkan enkripsi infrastruktur untuk tingkat jaminan yang lebih tinggi bahwa data aman. Saat enkripsi infrastruktur diaktifkan, data dalam akun penyimpanan dienkripsi dua kali. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun penyimpanan harus memiliki kebijakan tanda tangan akses bersama (SAS) yang dikonfigurasi | Pastikan akun penyimpanan telah mengaktifkan kebijakan kedaluwarsa tanda tangan akses bersama (SAS). Pengguna menggunakan SAS untuk mendelegasikan akses ke sumber daya di akun Azure Storage. Dan kebijakan kedaluwarsa SAS merekomendasikan batas atas kedaluwarsa saat pengguna membuat token SAS. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun penyimpanan harus memiliki versi TLS minimum yang ditentukan | Konfigurasikan versi TLS minimum untuk komunikasi yang aman antara aplikasi klien dan akun penyimpanan. Untuk meminimalkan risiko keamanan, versi TLS minimum yang direkomendasikan adalah versi rilis yang terbaru, yang saat ini adalah TLS 1.2. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun penyimpanan harus mencegah replikasi objek lintas penyewa | Periksa pembatasan replikasi objek untuk akun penyimpanan Anda. Secara default, pengguna dapat mengonfigurasi replikasi objek dengan akun penyimpanan sumber di satu penyewa Azure AD dan akun tujuan di penyewa lainnya. Hal ini merupakan masalah keamanan karena data pelanggan dapat direplikasi ke akun penyimpanan yang dimiliki oleh pelanggan. Dengan mengatur allowCrossTenantReplication menjadi false, replikasi objek hanya dapat dikonfigurasi jika akun sumber dan akun tujuan berada di penyewa Azure AD yang sama. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun penyimpanan harus mencegah akses kunci secara bersama | Persyaratan audit Azure Active Directory (Azure AD) untuk mengotorisasi permintaan untuk akun penyimpanan Anda. Secara default, permintaan dapat diotorisasi dengan kredensial Azure Active Directory (Azure AD), atau dengan menggunakan kunci akses akun untuk otorisasi Kunci Bersama. Dari kedua jenis otorisasi ini, Azure AD menyediakan keamanan yang unggul dan kemudahan penggunaan melalui Kunci Bersama, dan direkomendasikan oleh Microsoft. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
| Akun penyimpanan harus membatasi akses jaringan | Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik | Audit, Tolak, Dinonaktifkan | 1.1.1 |
| Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual | Lindungi akun penyimpanan Anda dari potensi ancaman menggunakan aturan jaringan virtual sebagai metode pilihan alih-alih pemfilteran berbasis IP. Menonaktifkan pemfilteran berbasis IP mencegah IP publik mengakses akun penyimpanan Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
| Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Amankan akun penyimpanan blob dan file Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan memberikan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis. | Audit, Dinonaktifkan | 1.0.3 |
| Akun penyimpanan harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Table Storage harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Amankan akun penyimpanan Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan memberikan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Stream Analytics
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Pekerjaan Azure Stream Analytics harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data | Gunakan kunci yang dikelola pelanggan saat Anda ingin menyimpan metadata dan aset data pribadi apa pun dengan aman dari tugas Analisis Aliran di akun penyimpanan Anda. Hal ini memberi Anda kendali penuh atas cara data Azure Stream Analytics Anda dienkripsi. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
| Log sumber daya di Azure Stream Analytics harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
| Pekerjaan Stream Analytics harus tersambung ke input dan output tepercaya | Pastikan bahwa pekerjaan Analisis Aliran tidak memiliki sambungan Input atau Output arbitrer yang tidak ditentukan dalam daftar izinkan. Hal ini membuktikan bahwa pekerjaan Stream Analytics tidak memindahkan data dengan menghubungkan ke wadah arbitrer di luar organisasi Anda. | Tolak, Nonaktifkan, Audit | 1.1.0 |
| Pekerjaan Analisis Aliran harus menggunakan identitas terkelola untuk mengautentikasi titik akhir | Pastikan pekerjaan Analisis Aliran hanya tersambung ke titik akhir menggunakan autentikasi identitas terkelola. | Tolak, Nonaktifkan, Audit | 1.0.0 |
Synapse
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Audit di ruang kerja Synapse harus diaktifkan | Audit di ruang kerja Synapse Anda harus diaktifkan untuk melacak aktivitas database di semua database pada kumpulan SQL khusus dan menyimpannya dalam log audit. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Kumpulan SQL khusus Azure Synapse Analytics harus mengaktifkan enkripsi | Aktifkan enkripsi data transparan untuk kumpulan SQL khusus Azure Synapse Analytics untuk melindungi data tidak aktif dan memenuhi persyaratan kepatuhan. Harap dicatat bahwa mengaktifkan enkripsi data transparan untuk kumpulan dapat memengaruhi performa kueri. Detail selengkapnya dapat merujuk ke https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Server SQL Ruang Kerja Azure Synapse harus menjalankan TLS versi 1.2 atau yang lebih baru | Mengatur versi TLS ke 1.2 atau yang lebih baru akan meningkatkan keamanan dengan memastikan server SQL ruang kerja Azure Synapse Anda hanya dapat diakses dari klien yang menggunakan TLS 1.2 atau yang lebih baru. Menggunakan versi TLS kurang dari 1.2 tidak disarankan karena mereka memiliki kerentanan keamanan yang terdokumentasi dengan baik. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
| Ruang kerja Azure Synapse harus mengizinkan lalu lintas data keluar hanya ke target yang disetujui | Tingkatkan keamanan ruang kerja Synapse Anda dengan mengizinkan lalu lintas data keluar hanya ke target yang disetujui. Hal ini membantu pencegahan terhadap penyelundupan data dengan memvalidasi target sebelum mengirim data. | Audit, Dinonaktifkan, Tolak | 1.0.0 |
| Ruang kerja Azure Synapse harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa ruang kerja Synapse tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan ruang kerja Synapse Anda. Pelajari selengkapnya di: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Ruang kerja Azure Synapse harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengontrol enkripsi di seluruh data yang disimpan di ruang kerja Azure Synapse. Kunci yang dikelola pelanggan memberikan enkripsi ganda dengan menambahkan enkripsi lapisan kedua di atas enkripsi default dengan kunci yang dikelola layanan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Ruang kerja Azure Synapse harus menggunakan private link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Synapse, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Dinonaktifkan | 1.0.1 |
| Mengonfigurasi versi TLS minimum SQL Khusus Ruang Kerja Azure Synapse | Pelanggan dapat menaikkan atau menurunkan versi TLS minimal menggunakan API, untuk ruang kerja Synapse baru maupun ruang kerja yang ada. Jadi pengguna yang perlu menggunakan versi klien yang lebih rendah di ruang kerja dapat terhubung sementara pengguna yang memiliki persyaratan keamanan dapat menaikkan versi TLS minimum. Pelajari selengkapnya di: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Ubah, Non-fungsikan | 1.1.0 |
| Konfigurasikan ruang kerja Azure Synapse untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk ruang kerja Synapse Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi ruang kerja Azure Synapse untuk menggunakan zona DNS pribadi | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS pribadi tertaut ke jaringan virtual Anda untuk diselesaikan ke ruang kerja Azure Synapse. Pelajari selengkapnya di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, Nonaktif | 2.0.0 |
| Mengonfigurasi ruang kerja Azure Synapse dengan titik akhir privat | Titik akhir privat menyambungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke ruang kerja Azure Synapse, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi ruang kerja Synapse agar audit diaktifkan | Untuk memastikan operasi yang dilakukan terhadap aset SQL Anda diambil, ruang kerja Synapse harus mengaktifkan audit. Ini terkadang diperlukan untuk memenuhi standar peraturan. | DeployIfNotExists, Nonaktif | 2.0.0 |
| Mengonfigurasikan ruang kerja Synapse untuk mengaktifkan audit ke ruang kerja Analitik Log | Untuk memastikan operasi yang dilakukan terhadap aset SQL Anda diambil, ruang kerja Synapse harus mengaktifkan audit. Jika audit tidak diaktifkan, kebijakan ini akan mengonfigurasi peristiwa audit agar mengalir ke ruang kerja Analitik Log yang ditentukan. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi Ruang Kerja Synapse untuk hanya menggunakan identitas Microsoft Entra untuk autentikasi | Memerlukan dan mengonfigurasi ulang Ruang Kerja Synapse untuk menggunakan autentikasi khusus Microsoft Entra. Kebijakan ini tidak memblokir ruang kerja agar tidak dibuat dengan autentikasi lokal diaktifkan. Ini memblokir autentikasi lokal agar tidak diaktifkan dan mengaktifkan kembali autentikasi khusus Microsoft Entra pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/Synapse. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi Ruang Kerja Synapse untuk hanya menggunakan identitas Microsoft Entra untuk autentikasi selama pembuatan ruang kerja | Memerlukan dan mengonfigurasi ulang Ruang Kerja Synapse untuk dibuat dengan autentikasi Microsoft Entra-only. Kebijakan ini tidak memblokir autentikasi lokal agar tidak diaktifkan kembali pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/Synapse. | Ubah, Non-fungsikan | 1.2.0 |
| Aturan firewall IP di ruang kerja Azure Synapse harus dihapus | Menghapus semua aturan firewall IP meningkatkan keamanan dengan memastikan ruang kerja Azure Synapse Anda hanya dapat diakses dari titik akhir privat. Konfigurasi ini mengaudit pembuatan aturan firewall yang mengizinkan akses jaringan publik di ruang kerja. | Audit, Dinonaktifkan | 1.0.0 |
| Jaringan virtual ruang kerja terkelola di ruang kerja Azure Synapse harus diaktifkan | Mengaktifkan jaringan virtual ruang kerja terkelola memastikan bahwa ruang kerja Anda adalah jaringan yang diisolasi dari ruang kerja lain. Integrasi data dan sumber daya Spark yang disebarkan di jaringan virtual ini juga menyediakan isolasi tingkat pengguna untuk aktivitas Spark. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Titik akhir privat terkelola Synapse hanya boleh terhubung ke sumber daya di penyewa Azure Active Directory yang disetujui | Lindungi ruang kerja Synapse Anda dengan hanya mengizinkan koneksi ke sumber daya di penyewa Azure Active Directory (Azure AD) yang disetujui. Penyewa Azure Active Directory yang disetujui dapat ditentukan selama penetapan kebijakan. | Audit, Dinonaktifkan, Tolak | 1.0.0 |
| Pengaturan audit ruang kerja Synapse harus memiliki grup tindakan yang dikonfigurasi untuk mengambil aktivitas penting | Untuk memastikan log audit Anda selengkap mungkin, properti AuditActionsAndGroups harus menyertakan semua grup yang relevan. Kami menyarankan untuk setidaknya menambahkan SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, dan BATCH_COMPLETED_GROUP. Ini terkadang diperlukan untuk memenuhi standar peraturan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Ruang Kerja Synapse harus mengaktifkan autentikasi Microsoft Entra-only | Mengharuskan Ruang Kerja Synapse menggunakan autentikasi Microsoft Entra-only. Kebijakan ini tidak memblokir ruang kerja agar tidak dibuat dengan autentikasi lokal diaktifkan. Ini memblokir autentikasi lokal agar tidak diaktifkan pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/Synapse. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Ruang Kerja Synapse hanya boleh menggunakan identitas Microsoft Entra untuk autentikasi selama pembuatan ruang kerja | Mengharuskan Ruang Kerja Synapse dibuat dengan autentikasi Microsoft Entra-only. Kebijakan ini tidak memblokir autentikasi lokal agar tidak diaktifkan kembali pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/Synapse. | Audit, Tolak, Dinonaktifkan | 1.2.0 |
| Ruang kerja Synapse dengan audit SQL ke destinasi akun penyimpanan harus dikonfigurasi dengan retensi 90 hari atau lebih tinggi | Untuk tujuan investigasi insiden, sebaiknya atur retensi data untuk audit SQL ruang kerja Synapse Anda ke destinasi akun penyimpanan setidaknya 90 hari. Konfirmasikan bahwa Anda memenuhi aturan retensi yang diperlukan untuk wilayah tempat Anda beroperasi. Ini terkadang diperlukan untuk memenuhi standar peraturan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Penilaian kerentanan harus diaktifkan di ruang kerja Synapse Anda | Temukan, lacak, dan pulihkan potensi kerentanan dengan mengonfigurasi pemindaian penilaian kerentanan SQL berulang di ruang kerja Synapse Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Kebijakan Sistem
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Wilayah penyebaran sumber daya yang diizinkan | Kebijakan ini mempertahankan sekumpulan wilayah terbaik yang tersedia di mana langganan Anda dapat menyebarkan sumber daya. Tujuan dari kebijakan ini adalah untuk memastikan bahwa langganan Anda memiliki akses penuh ke layanan Azure dengan performa optimal. Jika Anda memerlukan wilayah tambahan atau berbeda, hubungi dukungan. | tolak | 1.0.0 |
Tag
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Tambahkan tag ke grup sumber daya | Menambahkan tag dan nilai yang ditentukan saat grup sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Grup sumber daya yang ada dapat diperbaiki dengan memicu tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. | ubah | 1.0.0 |
| Tambahkan tag ke sumber daya | Menambahkan tag dan nilai yang ditentukan saat sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. Tidak mengubah tag pada grup sumber daya. | ubah | 1.0.0 |
| Tambahkan tag ke langganan | Menambahkan tag dan nilai yang ditentukan ke langganan melalui tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. Lihat https://aka.ms/azurepolicyremediation untuk informasi selengkapnya tentang perbaikan kebijakan. | ubah | 1.0.0 |
| Menambahkan atau mengganti tag pada grup sumber daya | Menambahkan atau mengganti tag dan nilai yang ditentukan saat grup sumber daya dibuat atau diperbarui. Grup sumber daya yang ada dapat diperbaiki dengan memicu tugas perbaikan. | ubah | 1.0.0 |
| Menambahkan atau mengganti tag pada sumber daya | Menambahkan atau mengganti tag dan nilai yang ditentukan saat sumber daya apa pun dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. Tidak mengubah tag pada grup sumber daya. | ubah | 1.0.0 |
| Menambahkan atau mengganti tag pada langganan | Menambahkan atau mengganti tag dan nilai yang ditentukan pada langganan melalui tugas perbaikan. Grup sumber daya yang ada dapat diperbaiki dengan memicu tugas perbaikan. Lihat https://aka.ms/azurepolicyremediation untuk informasi selengkapnya tentang perbaikan kebijakan. | ubah | 1.0.0 |
| Menambahkan tag dan nilainya dari grup sumber daya | Menambahkan tag yang ditentukan dengan nilainya dari grup sumber daya saat sumber daya apa pun yang tidak memiliki tag ini dibuat atau diperbarui. Tidak mengubah tag sumber daya yang dibuat sebelum kebijakan ini diterapkan hingga sumber daya tersebut diubah. Kebijakan efek 'modifikasi' baru tersedia yang mendukung perbaikan tag pada sumber daya yang ada (lihat https://aka.ms/modifydoc). | append | 1.0.0 |
| Menambahkan tag dan nilainya ke grup sumber daya | Menambahkan tag dan nilai yang ditentukan saat grup sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Tidak mengubah tag grup sumber daya yang dibuat sebelum kebijakan ini diterapkan hingga grup sumber daya tersebut diubah. Kebijakan efek 'modifikasi' baru tersedia yang mendukung perbaikan tag pada sumber daya yang ada (lihat https://aka.ms/modifydoc). | append | 1.0.0 |
| Menambahkan tag dan nilainya ke sumber daya | Menambahkan tag dan nilai yang ditentukan saat sumber daya apa pun yang hilang dari tag ini dibuat atau diperbarui. Tidak mengubah tag sumber daya yang dibuat sebelum kebijakan ini diterapkan hingga sumber daya tersebut diubah. Tidak berlaku untuk grup sumber daya. Kebijakan efek 'modifikasi' baru tersedia yang mendukung perbaikan tag pada sumber daya yang ada (lihat https://aka.ms/modifydoc). | append | 1.0.1 |
| Mewarisi tag dari grup sumber daya | Menambahkan atau mengganti tag dan nilai yang ditentukan dari grup sumber daya induk saat sumber daya apa pun dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. | ubah | 1.0.0 |
| Mewarisi tag dari grup sumber daya jika tidak ada | Menambahkan tag yang ditentukan dengan nilainya dari grup sumber daya induk saat sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. | ubah | 1.0.0 |
| Mewarisi tag dari langganan | Menambahkan atau mengganti tag dan nilai yang ditentukan dari langganan yang berisi saat sumber daya apa pun dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. | ubah | 1.0.0 |
| Mewarisi tag dari langganan jika tidak ada | Menambahkan tag yang ditentukan dengan nilainya dari langganan yang memuatnya saat sumber daya yang hilang dari tag ini dibuat atau diperbarui. Sumber daya yang ada dapat dimediasi ulang dengan memicu tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. | ubah | 1.0.0 |
| Memerlukan tag dan nilainya pada grup sumber daya | Menerapkan tag yang diperlukan dan nilainya pada grup sumber daya. | tolak | 1.0.0 |
| Memerlukan tag dan nilainya pada sumber daya | Menerapkan tag yang diperlukan dan nilainya. Tidak berlaku untuk grup sumber daya. | tolak | 1.0.1 |
| Memerlukan tag pada grup sumber daya | Menerapkan keberadaan tag pada grup sumber daya. | tolak | 1.0.0 |
| Memerlukan tag pada sumber daya | Menerapkan keberadaan tag. Tidak berlaku untuk grup sumber daya. | tolak | 1.0.1 |
| Memerlukan sumber daya untuk tidak memiliki tag tertentu. | Menolak pembuatan sumber daya yang berisi tag yang diberikan. Tidak berlaku untuk grup sumber daya. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Peluncuran Tepercaya
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Disk dan gambar OS harus mendukung TrustedLaunch | TrustedLaunch meningkatkan keamanan Komputer Virtual yang memerlukan Disk OS & Gambar OS untuk mendukungnya (Gen 2). Untuk mempelajari selengkapnya tentang TrustedLaunch, kunjungi https://aka.ms/trustedlaunch | Audit, Dinonaktifkan | 1.0.0 |
| Komputer Virtual harus mengaktifkan TrustedLaunch | Aktifkan TrustedLaunch di Komputer Virtual untuk keamanan yang ditingkatkan, gunakan VM SKU (Gen 2) yang mendukung TrustedLaunch. Untuk mempelajari selengkapnya tentang TrustedLaunch, kunjungi https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit, Dinonaktifkan | 1.0.0 |
VirtualEnclaves
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Konfigurasikan Akun Penyimpanan untuk membatasi akses jaringan hanya melalui konfigurasi bypass ACL jaringan. | Untuk meningkatkan keamanan Akun Penyimpanan, aktifkan akses hanya melalui bypass ACL jaringan. Kebijakan ini harus digunakan dalam kombinasi dengan titik akhir privat untuk akses akun penyimpanan. | Ubah, Non-fungsikan | 1.0.0 |
| Jangan izinkan pembuatan jenis sumber daya di luar daftar yang diizinkan | Kebijakan ini mencegah penyebaran jenis sumber daya di luar jenis yang diizinkan secara eksplisit, untuk menjaga keamanan dalam enklave virtual. https://aka.ms/VirtualEnclaves | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Jangan izinkan pembuatan jenis atau jenis sumber daya tertentu di bawah penyedia tertentu | Penyedia sumber daya dan jenis yang ditentukan melalui daftar parameter tidak diizinkan untuk dibuat tanpa persetujuan eksplisit dari tim keamanan. Jika pengecualian diberikan ke penetapan kebijakan, sumber daya dapat dimanfaatkan dalam enklave. https://aka.ms/VirtualEnclaves | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Antarmuka jaringan harus terhubung ke subnet yang disetujui dari jaringan virtual yang disetujui | Kebijakan ini memblokir antarmuka jaringan agar tidak tersambung ke jaringan virtual atau subnet yang tidak disetujui. https://aka.ms/VirtualEnclaves | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun Penyimpanan harus membatasi akses jaringan hanya melalui konfigurasi bypass ACL jaringan. | Untuk meningkatkan keamanan Akun Penyimpanan, aktifkan akses hanya melalui bypass ACL jaringan. Kebijakan ini harus digunakan dalam kombinasi dengan titik akhir privat untuk akses akun penyimpanan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Pembangun Gambar VM
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Template Pembuat Gambar VM harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya bangunan VM Image Builder Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Dinonaktifkan, Tolak | 1.1.0 |
Web PubSub
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Layanan Azure Web PubSub harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa layanan Azure Web PubSub tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan layanan Azure Web PubSub. Pelajari selengkapnya di: https://aka.ms/awps/networkacls. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Layanan Azure Web PubSub harus mengaktifkan log diagnostik | Pengaktifan audit log diagnostik. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Layanan Azure Web PubSub harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa Layanan Azure Web PubSub secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Layanan Azure Web PubSub harus menggunakan SKU yang mendukung tautan privat | Saat menggunakan SKU yang didukung, Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke layanan Azure Web PubSub, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/awps/privatelink. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Layanan Azure Web PubSub harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke Layanan Azure Web PubSub, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/awps/privatelink. | Audit, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi Layanan Azure Web PubSub untuk menonaktifkan autentikasi lokal | Nonaktifkan metode autentikasi lokal sehingga Layanan Azure Web PubSub Anda secara eksklusif memerlukan identitas Azure Active Directory untuk autentikasi. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasi Layanan Azure Web PubSub untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk sumber daya Azure Web PubSub sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/awps/networkacls. | Ubah, Non-fungsikan | 1.0.0 |
| Mengonfigurasikan Layanan Azure Web PubSub untuk menggunakan zona DNS privat | Gunakan zona DNS pribadi guna menimpa resolusi DNS untuk titik akhir pribadi. Zona DNS privat ditautkan ke jaringan virtual Anda untuk mengatasi ke layanan Azure Web PubSub. Pelajari selengkapnya di: https://aka.ms/awps/privatelink. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi Layanan Azure Web PubSub dengan titik akhir privat | Titik akhir privat menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke layanan Azure Web PubSub, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/awps/privatelink. | DeployIfNotExists, Nonaktif | 1.0.0 |
Langkah berikutnya
- Lihat bawaan pada repositori GitHub Azure Policy.
- Tinjau struktur definisi Azure Policy.
- Tinjau Memahami efek kebijakan.