Azure Policy 기본 제공 정책 정의
이 페이지는 Azure Policy 기본 제공 정책 정의의 인덱스입니다.
Azure Portal의 정책 정의에 대한 각 기본 제공 링크의 이름입니다. 원본 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다. 기본 제공 기능은 메타데이터의 범주 속성을 기준으로 그룹화됩니다. 특정 범주로 이동하려면 브라우저의 검색 기능에서 Ctrl-F를 사용합니다.
API for FHIR
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure API for FHIR은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 규정 또는 규정 준수 요구 사항인 경우 고객 관리형 키를 사용하여 Azure API for FHIR에 저장된 데이터의 저장 데이터 암호화를 제어합니다. 또한 고객 관리형 키는 서비스 관리형 키를 사용하여 수행되는 기본 암호화 계층 위에 두 번째 암호화 계층을 추가하여 이중 암호화를 제공합니다. | 감사, 사용 안 함 | 1.1.0 |
| Azure API for FHIR은 프라이빗 링크를 사용해야 함 | Azure API for FHIR에는 승인된 프라이빗 엔드포인트 연결이 하나 이상 있어야 합니다. 가상 네트워크의 클라이언트는 프라이빗 링크를 통해 프라이빗 엔드포인트 연결이 있는 리소스에 안전하게 액세스할 수 있습니다. 자세한 내용은 https://aka.ms/fhir-privatelink를 방문하세요. | 감사, 사용 안 함 | 1.0.0 |
| CORS에서 모든 도메인이 API for FHIR에 액세스하도록 허용하지 않아야 함 | CORS(교차 원본 리소스 공유)는 API for FHIR에 액세스하는 모든 도메인을 허용하지 않아야 합니다. API for FHIR을 보호하려면 모든 도메인에 대한 액세스를 제거하고 연결할 수 있는 도메인을 명시적으로 정의합니다. | 감사, 사용 안 함 | 1.1.0 |
API Management
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| API Management API는 암호화된 프로토콜만 사용해야 함 | 전송 중인 데이터의 보안을 보장하려면 HTTPS 또는 WSS와 같은 암호화된 프로토콜을 통해서만 API를 사용할 수 있어야 합니다. HTTP 또는 WS와 같은 보안되지 않은 프로토콜을 사용하지 마세요. | 감사, 사용 안 함, 거부 | 2.0.2 |
| API 백 엔드에 대한 API Management 호출을 인증해야 함 | API Management에서 백 엔드로의 호출은 인증서 또는 자격 증명을 통해 어떤 형태의 인증을 사용해야 합니다. Service Fabric 백 엔드에는 적용되지 않습니다. | 감사, 사용 안 함, 거부 | 1.0.1 |
| API 백 엔드에 대한 API Management 호출은 인증서 지문 또는 이름 유효성 검사를 바이패스해서는 안 됨 | API 보안을 향상하려면 API Management에서 모든 API 호출에 대한 백 엔드 서버 인증서의 유효성을 검사해야 합니다. SSL 인증서 지문 및 이름 유효성 검사를 사용하도록 설정합니다. | 감사, 사용 안 함, 거부 | 1.0.2 |
| API Management 직접 관리 엔드포인트를 사용하도록 설정하면 안 됨 | Azure API Management의 직접 관리 REST API는 Azure Resource Manager 역할 기반 액세스 제어, 권한 부여, 제한 메커니즘을 우회하여 서비스의 취약성을 높입니다. | 감사, 사용 안 함, 거부 | 1.0.2 |
| API Management 최소 API 버전은 2019-12-01 이상으로 설정해야 함 | 서비스 비밀이 읽기 전용 사용자와 공유되는 것을 방지하려면 최소 API 버전을 2019-12-01 이상으로 설정해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| API Management 비밀로 명명된 값은 Azure Key Vault에 저장해야 함 | 명명된 값은 각 API Management 서비스의 이름 및 값 쌍의 컬렉션입니다. 비밀 값을 API Management(사용자 지정 비밀)에 암호화된 텍스트로 저장하거나 Azure Key Vault에서 비밀을 참조하여 저장할 수 있습니다. API Management 및 비밀의 보안을 향상하려면 Azure Key Vault의 비밀로 명명된 값을 참조하세요. Azure Key Vault에서는 세분화된 액세스 관리 및 비밀 회전 정책을 지원합니다. | 감사, 사용 안 함, 거부 | 1.0.2 |
| API Management 서비스는 가상 네트워크를 지원하는 SKU를 사용해야 함 | API Management의 지원되는 SKU를 사용하여 가상 네트워크에 서비스를 배포하면 네트워크 보안 구성을 더욱 효과적으로 제어할 수 있는 고급 API Management 네트워킹 및 보안 기능을 활용할 수 있습니다. https://aka.ms/apimvnet에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| API Management 서비스에서 가상 네트워크를 사용해야 함 | Azure Virtual Network 배포는 향상된 보안, 격리를 제공하며, 액세스를 제어하는 인터넷 라우팅이 불가능한 네트워크에 API Management 서비스를 배치할 수 있습니다. 그런 다음, 다양한 VPN 기술을 사용하여 이러한 네트워크를 온-프레미스 네트워크에 연결할 수 있으며, 이를 통해 네트워크 및/또는 온-프레미스 내에서 백 엔드 서비스에 액세스할 수 있습니다. 개발자 포털 및 API 게이트웨이를 인터넷에서 또는 가상 네트워크 내에서만 액세스할 수 있게 구성할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
| API Management에서 서비스 구성 엔드포인트에 대한 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | API Management 서비스의 보안을 개선하려면 직접 액세스 관리 API, Git 구성 관리 엔드포인트 또는 자체 호스트 게이트웨이 구성 엔드포인트와 같은 서비스 구성 엔드포인트에 대한 연결을 제한합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| API Management는 사용자 이름 및 암호 인증을 사용하지 않도록 설정해야 함 | 개발자 포털의 보안을 강화하려면 API Management에서 사용자 이름 및 암호 인증을 사용하지 않도록 설정해야 합니다. Azure AD 또는 Azure AD B2C ID 공급자를 통해 사용자 인증을 구성하고 기본 사용자 이름 및 암호 인증을 사용하지 않도록 설정합니다. | 감사, 사용 안 함 | 1.0.1 |
| API 관리 구독의 범위를 모든 API로 지정해서는 안 됨 | API Management 구독의 범위는 과도한 데이터 노출을 초래할 수 있는 모든 API가 아닌 제품 또는 개별 API로 지정해야 합니다. | 감사, 사용 안 함, 거부 | 1.1.0 |
| Azure API Management 플랫폼 버전은 stv2여야 합니다. | Azure API Management stv1 컴퓨팅 플랫폼 버전은 2024년 8월 31일부터 사용 중지되며, 지속적인 지원을 위해 이러한 인스턴스를 stv2 컴퓨팅 플랫폼으로 마이그레이션해야 합니다. https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| API Management 퍼블릭 서비스 구성 엔드포인트에 대한 액세스를 사용하지 않도록 API Management 서비스 구성 | API Management 서비스의 보안을 개선하려면 직접 액세스 관리 API, Git 구성 관리 엔드포인트 또는 자체 호스트 게이트웨이 구성 엔드포인트와 같은 서비스 구성 엔드포인트에 대한 연결을 제한합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| API 관리를 수정하여 사용자 이름 및 암호 인증을 사용하지 않도록 설정 | 개발자 포털 사용자 계정과 해당 자격 증명을 더 안전하게 보호하려면 Azure AD 또는 Azure AD B2C ID 공급자를 통해 사용자 인증을 구성하고 기본 사용자 이름과 암호 인증을 사용하지 않도록 설정하세요. | 수정 | 1.1.0 |
App Configuration
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| App Configuration은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제한할 수 있습니다. https://aka.ms/appconfig/private-endpoint에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| App Configuration에는 고객 관리형 키를 사용해야 함 | 고객 관리형 키는 암호화 키를 관리할 수 있도록 허용하여 향상된 데이터 보호를 제공합니다. 이는 주로 규정 준수 요구 사항을 충족하는 데 필요합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| App Configuration은 프라이빗 링크를 지원하는 SKU를 사용해야 함 | 지원되는 SKU를 사용하는 경우 Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 앱 구성 인스턴스에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/appconfig/private-endpoint에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| App Configuration은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 앱 구성 인스턴스에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/appconfig/private-endpoint에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| App Configuration 저장소는 로컬 인증 방법을 사용하지 않도록 설정해야 함 | 로컬 인증 방법을 사용하지 않도록 설정하면 App Configuration 저장소에서 인증에만 Microsoft Entra ID가 필요하도록 하여 보안이 개선됩니다. https://go.microsoft.com/fwlink/?linkid=2161954에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 로컬 인증 방법을 사용하지 않도록 App Configuration 저장소 구성 | App Configuration 저장소에서 인증을 위해 제외적으로 Microsoft Entra ID를 요구하도록 로컬 인증 방법을 사용하지 않도록 설정합니다. https://go.microsoft.com/fwlink/?linkid=2161954에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.1 |
| 공용 네트워크 액세스를 사용하지 않도록 App Configuration 구성 | 공용 인터넷을 통해 액세스할 수 없도록 App Configuration에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이 구성은 데이터 유출 위험으로부터 보호할 수 있습니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제한할 수 있습니다. https://aka.ms/appconfig/private-endpoint에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| App Configuration에 연결된 프라이빗 엔드포인트의 프라이빗 DNS 영역 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역을 가상 네트워크에 연결하여 앱 구성 인스턴스를 확인할 수 있습니다. https://aka.ms/appconfig/private-endpoint에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| App Configuration의 프라이빗 엔드포인트 구성 | 프라이빗 엔드포인트를 사용하면 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 엔드포인트를 앱 구성 인스턴스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/appconfig/private-endpoint에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
앱 플랫폼
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 분산 추적을 사용하지 않는 Azure Spring Cloud 인스턴스 감사 | Azure Spring Cloud의 분산 추적 도구를 사용하면 애플리케이션에서 마이크로서비스 간의 복잡한 상호 연결을 디버그하고 모니터링할 수 있습니다. 분산 추적 도구는 사용하도록 설정되고 정상 상태여야 합니다. | 감사, 사용 안 함 | 1.0.0 - 미리 보기 |
| Azure Spring Cloud는 네트워크 주입을 사용해야 함 | Azure Spring Cloud 인스턴스는 다음과 같은 용도로 가상 네트워크 주입을 사용해야 합니다. 1. Azure Spring Cloud를 인터넷에서 격리합니다. 2. Azure Spring Cloud를 사용하여 온-프레미스 데이터 센터의 시스템 또는 다른 가상 네트워크의 Azure 서비스와 상호 작용할 수 있습니다. 3. 고객이 Azure Spring Cloud에 대한 인바운드 및 아웃바운드 네트워크 통신을 제어할 수 있습니다. | 감사, 사용 안 함, 거부 | 1.2.0 |
App Service
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| App Service 앱 슬롯을 가상 네트워크에 삽입해야 함 | 가상 네트워크에 App Service 앱을 삽입하면 고급 App Service 네트워킹 및 보안 기능을 사용할 수 있게 되며 네트워크 보안 구성을 보다 강력하게 제어할 수 있습니다. https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 퍼블릭 네트워크 액세스를 사용하지 않도록 설정하면 앱 서비스가 퍼블릭 인터넷에 노출되지 않으므로 보안이 강화됩니다. 프라이빗 엔드포인트를 만들면 App Service의 노출을 제한할 수 있습니다. https://aka.ms/app-service-private-endpoint에서 자세히 알아보세요. | 감사, 사용 안 함, 거부 | 1.0.0 |
| App Service 앱 슬롯은 Azure Virtual Network에 대한 구성 라우팅을 사용하도록 설정해야 함 | 기본적으로 컨테이너 이미지 가져오기 및 콘텐츠 스토리지 탑재와 같은 앱 구성은 지역 가상 네트워크 통합을 통해 라우팅되지 않습니다. API를 사용하여 라우팅 옵션을 true로 설정하면 Azure Virtual Network를 통해 구성 트래픽이 사용하도록 설정됩니다. 이러한 설정을 사용하면 네트워크 보안 그룹 및 사용자 정의 경로와 같은 기능을 사용할 수 있고 서비스 엔드포인트를 프라이빗으로 설정할 수 있습니다. 자세한 내용은 https://aka.ms/appservice-vnet-configuration-routing을 참조하세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯은 Azure Virtual Network에 대한 아웃바운드 비RFC 1918 트래픽을 사용하도록 설정해야 함 | 기본적으로 지역 Azure VNET(Virtual Network) 통합을 사용하는 경우 앱은 RFC1918 트래픽만 해당 가상 네트워크로 라우팅합니다. API를 사용하여 'vnetRouteAllEnabled'를 true로 설정하면 모든 아웃바운드 트래픽이 Azure Virtual Network로 설정됩니다. 이 설정을 사용하면 네트워크 보안 그룹 및 사용자 정의 경로와 같은 기능을 App Service 앱의 모든 아웃바운드 트래픽에 사용할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯에는 '클라이언트 인증서(들어오는 클라이언트 인증서)'를 사용하도록 설정해야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. 이 정책은 Http 버전이 1.1로 설정된 앱에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯이 FTP 배포에 로컬 인증 방법을 사용하지 않도록 설정되어 있어야 함 | FTP 배포에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Service 슬롯에서 인증을 위해 Microsoft Entra ID만 필요하도록 하여 보안이 개선됩니다. https://aka.ms/app-service-disable-basic-auth에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| App Service 앱 슬롯이 SCM 사이트 배포에 로컬 인증 방법을 사용하지 않도록 설정되어 있어야 함 | SCM 사이트에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Service 슬롯에서 인증을 위해 Microsoft Entra ID만 요구하도록 하여 보안이 개선됩니다. https://aka.ms/app-service-disable-basic-auth에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
| App Service 앱 슬롯에는 원격 디버깅이 꺼져 있어야 함 | 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| App Service 앱 슬롯에는 리소스 로그가 사용하도록 설정되어 있어야 함 | 앱에서 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯에는 모든 리소스가 앱에 액세스할 수 있도록 CORS가 구성되어 있지 않아야 함 | CORS(원본 간 리소스 공유)는 앱에 액세스하는 모든 도메인을 허용해서는 안 됩니다. 필요한 도메인만 앱과 상호 작용하도록 허용합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 2.0.0 |
| App Service 앱 슬롯에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯은 콘텐츠 디렉터리에 Azure 파일 공유를 사용해야 함 | 앱의 콘텐츠 디렉터리는 Azure 파일 공유에 있어야 합니다. 파일 공유에 대한 스토리지 계정 정보는 게시 작업보다 먼저 제공되어야 합니다. 앱 서비스 콘텐츠를 호스팅하기 위해 Azure Files를 사용하는 방법에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2151594를 참조하세요. | 감사, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯은 최신 ‘HTTP 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯은 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Java를 사용하는 App Service 앱 슬롯은 지정된 ‘Java 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 Java 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 Java 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Java 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| PHP를 사용하는 App Service 앱 슬롯은 지정된 ‘PHP 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 PHP 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 PHP 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 PHP 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Python을 사용하는 App Service 앱 슬롯은 지정된 ’Python 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 Python 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 Python 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Python 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| App Service 앱을 가상 네트워크에 삽입해야 함 | 가상 네트워크에 App Service 앱을 삽입하면 고급 App Service 네트워킹 및 보안 기능을 사용할 수 있게 되며 네트워크 보안 구성을 보다 강력하게 제어할 수 있습니다. https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 3.0.0 |
| App Service 앱은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 퍼블릭 네트워크 액세스를 사용하지 않도록 설정하면 앱 서비스가 퍼블릭 인터넷에 노출되지 않으므로 보안이 강화됩니다. 프라이빗 엔드포인트를 만들면 App Service의 노출을 제한할 수 있습니다. https://aka.ms/app-service-private-endpoint에서 자세히 알아보세요. | 감사, 사용 안 함, 거부 | 1.1.0 |
| App Service 앱은 Azure Virtual Network에 대한 구성 라우팅을 사용하도록 설정해야 함 | 기본적으로 컨테이너 이미지 가져오기 및 콘텐츠 스토리지 탑재와 같은 앱 구성은 지역 가상 네트워크 통합을 통해 라우팅되지 않습니다. API를 사용하여 라우팅 옵션을 true로 설정하면 Azure Virtual Network를 통해 구성 트래픽이 사용하도록 설정됩니다. 이러한 설정을 사용하면 네트워크 보안 그룹 및 사용자 정의 경로와 같은 기능을 사용할 수 있고 서비스 엔드포인트를 프라이빗으로 설정할 수 있습니다. 자세한 내용은 https://aka.ms/appservice-vnet-configuration-routing을 참조하세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| App Service 앱은 Azure Virtual Network에 대한 아웃바운드 비 RFC 1918 트래픽을 사용해야 함 | 기본적으로 지역 Azure VNET(Virtual Network) 통합을 사용하는 경우 앱은 RFC1918 트래픽만 해당 가상 네트워크로 라우팅합니다. API를 사용하여 'vnetRouteAllEnabled'를 true로 설정하면 모든 아웃바운드 트래픽이 Azure Virtual Network로 설정됩니다. 이 설정을 사용하면 네트워크 보안 그룹 및 사용자 정의 경로와 같은 기능을 App Service 앱의 모든 아웃바운드 트래픽에 사용할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| App Service 앱에서 인증이 사용되어야 함 | Azure App Service 인증은 익명 HTTP 요청이 웹앱에 도달하는 것을 방지하거나 웹앱에 도달하기 전에 토큰이 있는 요청을 인증할 수 있는 기능입니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| App Service 앱에서 '클라이언트 인증서(들어오는 클라이언트 인증서)'가 사용하도록 설정되어 있어야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. 이 정책은 Http 버전이 1.1로 설정된 앱에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| App Service 앱이 FTP 배포에 대해 로컬 인증 방법을 사용하지 않도록 설정되어 있어야 함 | FTP 배포에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Services에서 인증을 위해 Microsoft Entra ID만 요구하도록 하여 보안이 개선됩니다. https://aka.ms/app-service-disable-basic-auth에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| App Service 앱이 SCM 사이트 배포에 대해 로컬 인증 방법을 사용하지 않도록 설정되어 있어야 함 | SCM 사이트에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Services에서 인증을 위해 Microsoft Entra ID만 요구하도록 하여 보안이 개선됩니다. https://aka.ms/app-service-disable-basic-auth에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| App Service 앱에 원격 디버깅이 비활성화되어 있어야 함 | 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| App Service 앱에서 리소스 로그가 사용되어야 함 | 앱에서 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| App Service 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 | CORS(원본 간 리소스 공유)는 앱에 액세스하는 모든 도메인을 허용해서는 안 됩니다. 필요한 도메인만 앱과 상호 작용하도록 허용합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 4.0.0 |
| App Service 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| App Service 앱은 프라이빗 링크를 지원하는 SKU를 사용해야 함 | 지원되는 SKU로 Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 앱에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 4.1.0 |
| App Service 앱에서 해당 콘텐츠 디렉터리에 Azure 파일 공유를 사용해야 함 | 앱의 콘텐츠 디렉터리는 Azure 파일 공유에 있어야 합니다. 파일 공유에 대한 스토리지 계정 정보는 게시 작업보다 먼저 제공되어야 합니다. 앱 서비스 콘텐츠를 호스팅하기 위해 Azure Files를 사용하는 방법에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2151594를 참조하세요. | 감사, 사용 안 함 | 3.0.0 |
| App Service 앱은 최신 'HTTP 버전'을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
| App Service 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| App Service 앱에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 App Service에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| App Service 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| Java를 사용하는 App Service 앱은 지정된 ‘Java 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 Java 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 Java 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Java 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| PHP를 사용하는 App Service 앱은 지정된 ‘PHP 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 PHP 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 PHP 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 PHP 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.2.0 |
| Python을 사용하는 App Service 앱은 지정된 ‘Python 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 Python 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 Python 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Python 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 4.1.0 |
| App Service Environment 앱은 퍼블릭 인터넷을 통해 연결할 수 없음 | App Service Environment에 배포된 앱을 퍼블릭 인터넷을 통해 액세스할 수 없도록 하려면 가상 네트워크의 IP 주소를 사용하여 App Service Environment를 배포해야 합니다. IP 주소를 가상 네트워크 IP로 설정하려면 내부 부하 분산 장치를 사용하여 App Service Environment를 배포해야 합니다. | 감사, 거부, 사용 안 함 | 3.0.0 |
| App Service Environment는 가장 강력한 TLS 암호 그룹을 사용하여 구성해야 함 | App Service Environment가 올바르게 작동하기 위해 필요한 가장 강력하고 가장 최소한의 암호 제품군은 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 및 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256입니다. | 감사, 사용 안 함 | 1.0.0 |
| App Service Environment는 최신 버전으로 프로비저닝해야 함 | App Service Environment 버전 2 또는 버전 3만 프로비저닝할 수 있습니다. 이전 버전의 App Service Environment에서는 Azure 리소스를 수동으로 관리해야 하며 스케일링 제한이 더 큽니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| App Service Environment에서 내부 암호화가 사용되어야 함 | InternalEncryption을 true로 설정하면 App Service Environment의 프런트 엔드와 작업자 간의 페이지 파일, 작업자 디스크 및 내부 네트워크 트래픽이 암호화됩니다. 자세히 알아보려면 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption을 참조하세요. | 감사, 사용 안 함 | 1.0.1 |
| App Service Environment이 TLS 1.0 및 1.1을 사용하지 않도록 설정되어 있어야 함 | TLS 1.0 및 1.1은 최신 암호화 알고리즘을 지원하지 않는 오래된 프로토콜입니다. 인바운드 TLS 1.0 및 1.1 트래픽을 사용하지 않도록 설정하면 App Service Environment에서 앱을 보호하는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 2.0.1 |
| FTP 배포에 로컬 인증을 사용하지 않도록 App Service 앱 슬롯 구성 | FTP 배포에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Service 슬롯에서 인증을 위해 Microsoft Entra ID만 필요하도록 하여 보안이 개선됩니다. https://aka.ms/app-service-disable-basic-auth에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.3 |
| SCM 사이트에 로컬 인증을 사용하지 않도록 App Service 앱 슬롯 구성 | SCM 사이트에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Service 슬롯에서 인증을 위해 Microsoft Entra ID만 요구하도록 하여 보안이 개선됩니다. https://aka.ms/app-service-disable-basic-auth에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.3 |
| 공용 네트워크 액세스를 사용하지 않도록 App Service 앱 슬롯 구성 | 퍼블릭 인터넷을 통해 액세스할 수 없도록 App Services에 대한 퍼블릭 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/app-service-private-endpoint에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.0 |
| HTTPS를 통해서만 액세스할 수 있도록 App Service 앱 슬롯 구성 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 수정, 사용 안 함 | 2.0.0 |
| 원격 디버깅을 끄도록 App Service 앱 슬롯 구성 | 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 최신 TLS 버전을 사용하도록 App Service 앱 슬롯 구성 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| FTP 배포에 로컬 인증을 사용하지 않도록 App Service 앱 구성 | FTP 배포에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Services에서 인증을 위해 Microsoft Entra ID만 요구하도록 하여 보안이 개선됩니다. https://aka.ms/app-service-disable-basic-auth에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.3 |
| SCM 사이트에 로컬 인증을 사용하지 않도록 App Service 앱 구성 | SCM 사이트에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Services에서 인증을 위해 Microsoft Entra ID만 요구하도록 하여 보안이 개선됩니다. https://aka.ms/app-service-disable-basic-auth에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.3 |
| 공용 네트워크 액세스를 사용하지 않도록 App Service 앱 구성 | 퍼블릭 인터넷을 통해 액세스할 수 없도록 App Services에 대한 퍼블릭 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/app-service-private-endpoint에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.0 |
| HTTPS를 통해서만 액세스할 수 있도록 App Service 앱 구성 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 수정, 사용 안 함 | 2.0.0 |
| 원격 디버깅을 해제하도록 App Service 앱 구성 | 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 App Service 앱 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크를 App Service에 연결합니다. https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 최신 TLS 버전을 사용하도록 App Service 앱 구성 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 공용 네트워크 액세스를 사용하지 않도록 함수 앱 슬롯 구성 | 퍼블릭 인터넷을 통해 액세스할 수 없도록 함수 앱에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/app-service-private-endpoint에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.0 |
| HTTPS를 통해서만 액세스할 수 있도록 함수 앱 슬롯 구성 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 수정, 사용 안 함 | 2.0.0 |
| 원격 디버깅을 끄도록 함수 앱 슬롯 구성 | 원격 디버깅에 함수 앱에서 열리는 인바운드 포트가 필요합니다. 원격 디버깅을 해제해야 합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 최신 TLS 버전을 사용하도록 함수 앱 슬롯 구성 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 공용 네트워크 액세스를 사용하지 않도록 함수 앱 구성 | 퍼블릭 인터넷을 통해 액세스할 수 없도록 함수 앱에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/app-service-private-endpoint에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.0 |
| HTTPS를 통해서만 액세스할 수 있도록 함수 앱 구성 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 수정, 사용 안 함 | 2.0.0 |
| 원격 디버깅을 해제하도록 함수 앱 구성 | 원격 디버깅을 수행하려면 함수 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 최신 TLS 버전을 사용하도록 함수 앱 구성 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 함수 앱 슬롯은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 함수 앱이 퍼블릭 인터넷에 노출되지 않으므로 보안이 강화됩니다. 프라이빗 엔드포인트를 만들면 함수 앱의 노출을 제한할 수 있습니다. https://aka.ms/app-service-private-endpoint에서 자세히 알아보세요. | 감사, 사용 안 함, 거부 | 1.0.0 |
| 함수 앱 슬롯에는 '클라이언트 인증서(들어오는 클라이언트 인증서)'를 사용하도록 설정해야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. 이 정책은 Http 버전이 1.1로 설정된 앱에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 함수 앱 슬롯에는 원격 디버깅이 꺼져 있어야 함 | 원격 디버깅을 수행하려면 함수 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 함수 앱 슬롯에는 모든 리소스가 앱에 액세스할 수 있도록 구성된 CORS가 없어야 함 | CORS(교차 원본 리소스 공유)는 함수 앱에 액세스하는 모든 도메인을 허용하지 않아야 합니다. 필요한 도메인만 함수 앱과 상호 작용할 수 있도록 허용합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 함수 앱 슬롯은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 2.0.0 |
| 함수 앱 슬롯에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 함수 앱 슬롯은 콘텐츠 디렉터리에 Azure 파일 공유를 사용해야 함 | 함수 앱의 콘텐츠 디렉터리는 Azure 파일 공유에 있어야 합니다. 파일 공유에 대한 스토리지 계정 정보는 게시 작업보다 먼저 제공되어야 합니다. 앱 서비스 콘텐츠를 호스팅하기 위해 Azure Files를 사용하는 방법에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2151594를 참조하세요. | 감사, 사용 안 함 | 1.0.0 |
| 함수 앱 슬롯은 최신 ‘HTTP 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 함수 앱 슬롯은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Java를 사용하는 함수 앱 슬롯은 지정된 ‘Java 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 Java 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 함수 앱에 최신 Java 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Java 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Python을 사용하는 함수 앱 슬롯은 지정된 ‘Python 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 Python 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 함수 앱에 최신 Python 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Python 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 함수 앱은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 함수 앱이 퍼블릭 인터넷에 노출되지 않으므로 보안이 강화됩니다. 프라이빗 엔드포인트를 만들면 함수 앱의 노출을 제한할 수 있습니다. https://aka.ms/app-service-private-endpoint에서 자세히 알아보세요. | 감사, 사용 안 함, 거부 | 1.0.0 |
| 함수 앱에 인증이 사용 설정되어 있어야 함 | Azure App Service 인증은 익명 HTTP 요청이 함수 앱에 도달하는 것을 방지하거나 함수 앱에 도달하기 전에 토큰이 있는 요청을 인증할 수 있는 기능입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 함수 앱은 클라이언트 인증서(들어오는 클라이언트 인증서)를 사용하도록 설정해야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. 이 정책은 Http 버전이 1.1로 설정된 앱에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 함수 앱에 원격 디버깅이 해제되어 있어야 함 | 원격 디버깅을 수행하려면 함수 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 함수 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 | CORS(교차 원본 리소스 공유)는 함수 앱에 액세스하는 모든 도메인을 허용하지 않아야 합니다. 필요한 도메인만 함수 앱과 상호 작용할 수 있도록 허용합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 5.0.0 |
| 함수 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 함수 앱은 콘텐츠 디렉터리에 Azure 파일 공유를 사용해야 함 | 함수 앱의 콘텐츠 디렉터리는 Azure 파일 공유에 있어야 합니다. 파일 공유에 대한 스토리지 계정 정보는 게시 작업보다 먼저 제공되어야 합니다. 앱 서비스 콘텐츠를 호스팅하기 위해 Azure Files를 사용하는 방법에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2151594를 참조하세요. | 감사, 사용 안 함 | 3.0.0 |
| 함수 앱은 최신 'HTTP 버전'을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
| 함수 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 함수 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| Java를 사용하는 함수 앱은 지정된 ‘Java 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 Java 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 함수 앱에 최신 Java 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Java 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| Python을 사용하는 함수 앱은 지정된 ‘Python 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 Python 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 함수 앱에 최신 Python 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Python 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 4.1.0 |
증명
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Attestation 공급자에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | Azure Attestation Service의 보안을 향상시키려면 퍼블릭 인터넷에 공개되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. aka.ms/azureattestation에서 설명한 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Attestation 공급자는 프라이빗 엔드포인트를 사용해야 함 | 프라이빗 엔드포인트는 공용 인터넷을 통해 트래픽을 보내지 않고 Azure Attestation 공급자를 Azure 리소스에 연결하는 방법을 제공합니다. 공용 액세스를 방지함으로써 프라이빗 엔드포인트는 원치 않는 익명 액세스로부터 보호합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Automanage
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 컴퓨터에서 관리 ID를 사용하도록 설정해야 합니다. | Automanage로 관리하는 리소스에는 관리 ID가 있어야 합니다. | 감사, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Automanage 구성 프로필 할당이 Conformant여야 함 | Automanage에서 관리하는 리소스는 Conformant 또는 ConformantCorrected 상태여야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 가상 머신에서 부팅 진단을 사용하도록 설정해야 함 | Azure 가상 머신에서 부팅 진단을 사용하도록 설정해야 합니다. | 감사, 사용 안 함 | 1.0.0 - 미리 보기 |
| Azure Automanage에 온보딩할 가상 머신 구성 | Azure Automanage는 Azure용 Microsoft Cloud Adoption Framework에 정의된 모범 사례를 사용하여 가상 머신을 등록, 구성 및 모니터링합니다. 이 정책을 사용하여 선택한 범위에 자동 관리를 적용합니다. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 2.4.0 |
| 사용자 지정 구성 프로필을 사용하여 Azure Automanage에 온보딩할 가상 머신 구성 | Azure Automanage는 Azure용 Microsoft Cloud Adoption Framework에 정의된 모범 사례를 사용하여 가상 머신을 등록, 구성 및 모니터링합니다. 이 정책을 사용하여 고유한 사용자 지정 구성 프로필이 있는 Automanage를 선택한 범위에 적용합니다. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 1.4.0 |
| Windows Server Azure Edition VM에 핫패치를 사용하도록 설정해야 합니다. | 핫패치로 다시 부팅을 최소화하고 업데이트를 빠르게 설치합니다. https://docs.microsoft.com/azure/automanage/automanage-hotpatch에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
자동화
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Automation 계정에 관리 ID가 있어야 함 | Runbook에서 Azure 리소스로 인증하기 위한 권장 방법으로 관리 ID를 사용합니다. 인증을 위한 관리 ID는 더 안전하며 Runbook 코드에서 RunAs 계정 사용과 관련된 관리 오버헤드를 제거합니다. | 감사, 사용 안 함 | 1.0.0 |
| Automation 계정 변수를 암호화해야 함 | 중요한 데이터를 저장할 때 Automation 계정 변수 자산의 암호화를 사용하도록 설정해야 합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Automation 계정은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 Automation 계정 리소스 노출을 제한할 수 있습니다. https://docs.microsoft.com/azure/automation/how-to/private-link-security에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Automation 계정에는 로컬 인증 방법이 비활성화되어 있어야 함 | 로컬 인증 방법을 사용하지 않도록 설정하면 Azure Automation 계정에서 인증에 Azure Active Directory ID만 필요하므로 보안이 향상됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Automation 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Automation 계정의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/automation-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 로컬 인증을 사용하지 않도록 Azure Automation 계정 구성 | Azure Automation 계정에서 인증을 위해 Azure Active Directory ID만 필요하도록 로컬 인증 방법을 비활성화합니다. | 수정, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Azure Automation 계정 구성 | 공용 인터넷을 통해 액세스할 수 없도록 Azure Automation 계정에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이 구성은 데이터 유출 위험으로부터 보호할 수 있습니다. 대신 프라이빗 엔드포인트를 만들어 Automation 계정 리소스의 노출을 제한할 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역으로 Azure Automation 계정 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. Azure Private Link를 통해 Azure Automation 계정에 연결하려면 프라이빗 DNS 영역을 적절하게 구성해야 합니다. https://aka.ms/privatednszone에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Automation 계정에서 프라이빗 엔드포인트 연결 구성 | 프라이빗 엔드포인트 연결을 사용하면 원본 또는 대상에서 공용 IP 주소 없이 Azure Automation 계정에 대한 프라이빗 연결을 활성화하여 보안 통신을 수행할 수 있습니다. https://docs.microsoft.com/azure/automation/how-to/private-link-security에 있는 Azure Automation에서 프라이빗 엔드포인트에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Automation 계정에서 프라이빗 엔드포인트 연결을 사용하도록 설정해야 함 | 프라이빗 엔드포인트 연결을 사용하면 원본 또는 대상에서 공용 IP 주소 없이 Automation 계정에 대한 프라이빗 연결을 활성화하여 보안 통신을 수행할 수 있습니다. https://docs.microsoft.com/azure/automation/how-to/private-link-security에 있는 Azure Automation에서 프라이빗 엔드포인트에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Active Directory
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Active Directory Domain Services 관리되는 도메인은 TLS 1.2 전용 모드를 사용해야 합니다. | 사용 중인 관리되는 도메인에는 TLS 1.2 전용 모드를 사용합니다. 기본적으로 Azure AD Domain Services는 NTLM v1 및 TLS v1과 같은 암호화를 사용할 수 있습니다. 이러한 암호화는 일부 레거시 애플리케이션에 필요할 수 있지만 약한 암호화로 간주되며 필요하지 않은 경우 사용하지 않도록 설정할 수 있습니다. TLS 1.2 전용 모드를 사용하는 경우 TLS 1.2를 사용하지 않는 요청을 수행하는 클라이언트는 실패합니다. https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
Azure AI 서비스
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure AI 서비스 리소스에는 키 액세스가 사용하지 않도록 설정되어야 함(로컬 인증 사용하지 않도록 설정) | 보안을 위해 키 액세스(로컬 인증)를 사용하지 않도록 설정하는 것이 좋습니다. 일반적으로 개발/테스트에 사용되는 Azure OpenAI Studio에는 키 액세스가 필요하며 키 액세스가 사용하지 않도록 설정되면 작동하지 않습니다. 사용하지 않도록 설정한 후에는 Microsoft Entra ID가 유일한 액세스 방법이 되어 최소 권한 원칙을 유지하고 세부적인 제어를 허용합니다. https://aka.ms/AI/auth에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Azure AI 서비스 리소스는 네트워크 액세스를 제한해야 함 | 네트워크 액세스를 제한하면 허용된 네트워크만 서비스에 액세스할 수 있도록 할 수 있습니다. 이는 허용된 네트워크의 애플리케이션만 Azure AI 서비스에 액세스할 수 있도록 네트워크 규칙을 구성하여 달성할 수 있습니다. | 감사, 거부, 사용 안 함 | 3.2.0 |
| 로컬 키 액세스를 사용하지 않도록 Azure AI 서비스 리소스 구성(로컬 인증 사용 안 함) | 보안을 위해 키 액세스(로컬 인증)를 사용하지 않도록 설정하는 것이 좋습니다. 일반적으로 개발/테스트에 사용되는 Azure OpenAI Studio에는 키 액세스가 필요하며 키 액세스가 사용하지 않도록 설정되면 작동하지 않습니다. 사용하지 않도록 설정한 후에는 Microsoft Entra ID가 유일한 액세스 방법이 되어 최소 권한 원칙을 유지하고 세부적인 제어를 허용합니다. https://aka.ms/AI/auth에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 로컬 키 액세스를 사용하지 않도록 Azure AI 서비스 리소스 구성(로컬 인증 사용 안 함) | 보안을 위해 키 액세스(로컬 인증)를 사용하지 않도록 설정하는 것이 좋습니다. 일반적으로 개발/테스트에 사용되는 Azure OpenAI Studio에는 키 액세스가 필요하며 키 액세스가 사용하지 않도록 설정되면 작동하지 않습니다. 사용하지 않도록 설정한 후에는 Microsoft Entra ID가 유일한 액세스 방법이 되어 최소 권한 원칙을 유지하고 세부적인 제어를 허용합니다. https://aka.ms/AI/auth에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Azure AI 서비스 리소스의 진단 로그를 사용하도록 설정해야 합니다. | Azure AI 서비스 리소스에 대한 로그를 사용하도록 설정합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Arc
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: ESU(확장 보안 업데이트) 라이선스 만들기 또는 수정을 거부합니다. | 이 정책을 사용하면 Windows Server 2012 Arc 컴퓨터에 대한 ESU 라이선스 만들기 또는 수정을 제한할 수 있습니다. 가격 책정에 대한 자세한 내용을 보려면 https://aka.ms/ArcWS2012ESUPricing을 방문하세요. | 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 지원 수명 주기가 종료된 후에도 Windows 2012 컴퓨터를 보호하려면 ESU(확장 보안 업데이트) 라이선스를 사용하도록 설정합니다. | 지원 수명 주기가 종료된 후에도 Windows 2012 컴퓨터를 보호하려면 ESU(확장 보안 업데이트) 라이선스를 사용하도록 설정합니다. AzureArc를 통해 Windows Server 2012용 확장 보안 업데이트 제공을 준비하는 방법을 알아보려면 https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates를 방문하세요. 가격 책정에 대한 자세한 내용을 보려면 https://aka.ms/ArcWS2012ESUPricing을 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| Azure Arc 프라이빗 링크 범위는 프라이빗 엔드포인트로 구성해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Monitor Private Link 범위에 매핑하면 데이터 유출 위험을 감소합니다. https://aka.ms/arc/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| Azure Arc 프라이빗 링크 범위가 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Azure Arc 리소스가 퍼블릭 인터넷을 통해 연결할 수 없으므로 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 Azure Arc 리소스의 노출을 제한할 수 있습니다. https://aka.ms/arc/privatelink에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Arc 지원 Kubernetes 클러스터는 Azure Arc 프라이빗 링크 범위로 구성해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. Azure Arc 지원 서버를 프라이빗 엔드포인트로 구성된 Azure Arc 프라이빗 링크 범위에 매핑하면 데이터 유출 위험이 감소합니다. https://aka.ms/arc/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Arc 지원 서버는 Azure Arc 프라이빗 링크 범위로 구성해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. Azure Arc 지원 서버를 프라이빗 엔드포인트로 구성된 Azure Arc 프라이빗 링크 범위에 매핑하면 데이터 유출 위험이 감소합니다. https://aka.ms/arc/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Azure Arc 프라이빗 링크 범위 구성 | 연결된 Azure Arc 리소스가 퍼블릭 인터넷을 통해 Azure Arc 서비스에 연결할 수 없도록 Azure Arc 프라이빗 링크 범위에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/arc/privatelink에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 Azure Arc 프라이빗 링크 범위 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 Azure Arc 프라이빗 링크 범위로 확인하기 위해 가상 네트워크에 연결됩니다. https://aka.ms/arc/privatelink에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.2.0 |
| 프라이빗 엔드포인트를 사용하여 Azure Arc 프라이빗 링크 범위 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Arc 프라이빗 링크 범위에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/arc/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| Azure Arc 프라이빗 링크 범위를 사용하도록 Azure Arc 지원 Kubernetes 클러스터 구성 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. Azure Arc 지원 서버를 프라이빗 엔드포인트로 구성된 Azure Arc 프라이빗 링크 범위에 매핑하면 데이터 유출 위험이 감소합니다. https://aka.ms/arc/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| Azure Arc 프라이빗 링크 범위를 사용하도록 Azure Arc 지원 서버 구성 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. Azure Arc 지원 서버를 프라이빗 엔드포인트로 구성된 Azure Arc 프라이빗 링크 범위에 매핑하면 데이터 유출 위험이 감소합니다. https://aka.ms/arc/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
Azure Data Explorer
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Data Explorer의 모든 데이터베이스 관리자를 사용하지 않도록 설정해야 함 | 높은 권한/관리 사용자 역할 부여를 제한하려면 모든 데이터베이스 관리자 역할을 사용하지 않도록 설정해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Data Explorer 클러스터는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. Azure Data Explorer 클러스터에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험이 줄어듭니다. https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| Azure Data Explorer 저장 데이터 암호화는 고객 관리형 키를 사용해야 함 | Azure Data Explorer 클러스터에서 고객 관리형 키를 사용하여 저장 데이터 암호화를 활성화하면 저장 데이터 암호화에 사용되는 키를 추가로 제어할 수 있습니다. 이 기능은 종종 특별한 규정 준수 요구 사항을 충족하는 고객에게 적용되며, 키 관리를 위해 Key Vault가 필요합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Data Explorer는 프라이빗 링크를 지원하는 SKU를 사용해야 함 | 지원되는 SKU로 Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 앱에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 사용하여 Azure Data Explorer 클러스터 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Data Explorer에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. 자세한 내용은 [ServiceSpecificAKA.ms]를 참조하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Azure Data Explorer 구성 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure Data Explorer에 액세스할 수 있도록 퍼블릭 연결이 종료됩니다. 이 구성은 모든 Azure Data Explorer 클러스터에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. | 수정, 사용 안 함 | 1.0.0 |
| Azure Data Explorer에서 디스크 암호화를 사용하도록 설정해야 함 | 디스크 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
| Azure Data Explorer에서 이중 암호화를 사용하도록 설정해야 함 | 이중 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. 이중 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 개의 다른 암호화 알고리즘과 두 개의 다른 키를 사용하여 두 번 암호화됩니다(서비스 수준에서 한 번, 인프라 수준에서 한 번). | 감사, 거부, 사용 안 함 | 2.0.0 |
| Azure Data Explorer에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 Azure Data Explorer 프라이빗 엔드포인트에서만 액세스할 수 있도록 하여 보안이 강화됩니다. 이 구성은 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Data Explorer에 대해 가상 네트워크 삽입을 사용하도록 설정해야 함 | 네트워크 보안 그룹 규칙을 적용하고, 온-프레미스에 연결하고, 서비스 엔드포인트를 사용하여 데이터 연결 원본을 보호할 수 있는 가상 네트워크 삽입으로 네트워크 경계를 보호합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Databricks
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Databricks 클러스터는 공용 IP를 사용하지 않도록 설정해야 함 | Azure Databricks 작업 영역에서 클러스터의 공용 IP를 사용하지 않도록 설정하면 클러스터가 공용 인터넷에 노출되지 않도록 하여 보안이 강화됩니다. https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Databricks 작업 영역은 가상 네트워크에 있어야 함 | Azure Virtual Network는 Azure Databricks 작업 영역 및 서브넷에 대한 향상된 보안 및 격리뿐만 아니라 서브넷, 액세스 제어 정책, 액세스를 추가로 제한하는 기타 기능을 제공합니다. https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.2 |
| Azure Databricks 작업 영역은 프라이빗 링크, 암호화를 위한 고객 관리형 키와 같은 기능을 지원하는 프리미엄 SKU여야 함 | 암호화를 위한 고객 관리형 키인 프라이빗 링크와 같은 기능을 지원하기 위해 조직에서 배포할 수 있는 프리미엄 SKU가 있는 Databricks 작업 영역만 허용합니다. https://aka.ms/adbpe에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Databricks 작업 영역은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제어할 수 있습니다. https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Databricks 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Databricks 작업 영역에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/adbpe에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.2 |
| 프라이빗 DNS 영역을 사용하도록 Azure Databricks 작업 영역 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Azure Databricks 작업 영역으로 확인됩니다. https://aka.ms/adbpe에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 프라이빗 엔드포인트를 사용하여 Azure Databricks 작업 영역 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Databricks 작업 영역에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/adbpe에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.2 |
| Azure Databricks 작업 영역의 진단 설정을 Log Analytics 작업 영역으로 구성 | Azure Databricks 작업 영역의 진단 설정을 배포하여 이 진단 설정이 없는 Azure Databricks 작업 영역이 만들어지거나 업데이트되는 경우 리소스 로그를 Log Analytics 작업 영역으로 스트림합니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| Azure Databricks 작업 영역의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그를 사용하면 보안 인시던트가 발생하거나 네트워크가 손상되었을 때 조사 목적으로 사용할 작업 추적을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
Azure Edge Hardware Center
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Edge Hardware Center 디바이스에는 이중 암호화 지원이 사용하도록 설정되어 있어야 합니다. | Azure Edge Hardware Center에서 주문한 디바이스에 이중 암호화 지원이 사용하도록 설정되어 있는지 확인하여 디바이스에 저장된 데이터를 보호합니다. 이 옵션은 데이터 암호화의 두 번째 계층을 추가합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
Azure 부하 테스트
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Load Testing 리소스는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | CMK(고객 관리형 키)를 사용하여 Azure Load Testing 리소스의 미사용 암호화를 관리합니다. 기본적으로 암호화는 서비스 관리형 키를 사용하여 수행되며, 고객 관리형 키를 사용하면 고객이 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Purview
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Purview 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Azure Purview 계정에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/purview-private-link에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
Azure Stack Edge
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Stack Edge 디바이스는 이중 암호화를 사용해야 함 | 디바이스에 저장된 데이터를 보호하려면 데이터가 이중 암호화되고, 데이터에 대한 액세스가 제어되고, 디바이스가 비활성화되면 데이터를 데이터 디스크에서 안전하게 삭제해야 합니다. 이중 암호화는 두 가지 암호화 계층, 즉 데이터 볼륨의 BitLocker XTS-AES 256비트 암호화와 하드 드라이브의 기본 제공 암호화를 사용하는 것입니다. 특정 Stack Edge 디바이스에 대한 보안 개요 설명서에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
Azure 업데이트 관리자
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Azure Virtual Machines에서 되풀이 업데이트 예약을 위한 필수 구성 요소 설정 | 이 정책은 패치 오케스트레이션을 '고객 관리 일정'으로 구성하여 Azure 업데이트 관리자에서 되풀이 업데이트를 예약하는 데 필요한 필수 구성 요소를 설정합니다. 이 변경으로 인해 패치 모드가 자동으로 'AutomaticByPlatform'으로 설정되고 Azure VM에서 'BypassPlatformSafetyChecksOnUserSchedule'이 'True'로 사용하도록 설정됩니다. Arc 지원 서버에는 필수 구성 요소가 적용되지 않습니다. 자세한 정보 - https://learn.microsoft.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| Azure Arc 지원 서버에서 누락된 시스템 업데이트에 대한 정기 검사 구성 | Azure Arc 지원 서버에서 OS 업데이트에 대한 자동 평가(24시간마다)를 구성합니다. 컴퓨터 구독, 리소스 그룹, 위치 또는 태그에 따라 할당 범위를 제어할 수 있습니다. Windows: https://aka.ms/computevm-windowspatchassessmentmode, Linux: https://aka.ms/computevm-linuxpatchassessmentmode에 대해 자세히 알아봅니다. | 수정 | 2.2.1 |
| Azure 가상 머신에서 누락된 시스템 업데이트에 대한 정기 검사 구성 | 기본 Azure Virtual Machines에서 OS 업데이트에 대한 자동 평가(24시간마다)를 구성합니다. 컴퓨터 구독, 리소스 그룹, 위치 또는 태그에 따라 할당 범위를 제어할 수 있습니다. Windows: https://aka.ms/computevm-windowspatchassessmentmode, Linux: https://aka.ms/computevm-linuxpatchassessmentmode에 대해 자세히 알아봅니다. | 수정 | 4.8.0 |
| 누락된 시스템 업데이트가 있는지 주기적으로 확인하도록 컴퓨터를 구성해야 함 | 누락된 시스템 업데이트에 대한 정기 평가가 24시간마다 자동으로 트리거되도록 하려면 AssessmentMode 속성을 'AutomaticByPlatform'으로 설정해야 합니다. Windows: https://aka.ms/computevm-windowspatchassessmentmode, Linux: https://aka.ms/computevm-linuxpatchassessmentmode의 AssessmentMode 속성에 대해 자세히 알아봅니다. | 감사, 거부, 사용 안 함 | 3.7.0 |
| Azure 업데이트 관리자를 사용하여 되풀이 업데이트 예약 | Azure에서 Azure 업데이트 관리자를 사용하여 반복적인 배포 일정을 저장하여 Azure, 온-프레미스 환경, Azure Arc 지원 서버를 사용하여 연결된 다른 클라우드 환경에서 Windows Server 및 Linux 컴퓨터에 대한 운영 체제 업데이트를 설치할 수 있습니다. 또한 이 정책은 Azure Virtual Machine의 패치 모드도 ‘AutomaticByPlatform’으로 변경합니다. 자세히 보기: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, 사용 안 함 | 3.10.0 |
Backup
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: AKS 클러스터에 Azure Backup 확장을 설치해야 합니다. | Azure Backup을 활용하려면 AKS 클러스터에 백업 확장의 보호 설치를 확인합니다. AKS용 Azure Backup은 AKS 클러스터를 위한 안전한 클라우드 기반 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: AKS 클러스터에 대해 Azure Backup을 사용하도록 설정해야 합니다. | Azure Backup을 사용하도록 설정하여 AKS 클러스터를 보호합니다. AKS용 Azure Backup은 AKS 클러스터를 위한 안전한 클라우드 기반 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 스토리지 계정의 Blob에 대해 Azure Backup을 사용하도록 설정해야 합니다. | Azure Backup을 사용하도록 설정하여 스토리지 계정을 보호합니다. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 관리 디스크에 대해 Azure Backup을 사용하도록 설정해야 합니다. | Azure Backup을 사용하도록 설정하여 Managed Disks를 보호합니다. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Backup Vault는 백업 데이터를 암호화하기 위해 고객 관리형 키를 사용해야 합니다. 인프라 암호화를 적용하는 옵션도 있습니다. | 이 정책은 범위의 백업 자격 증명 모음에 대해 암호화 설정이 사용하도록 설정된 경우 '효과'를 따릅니다. 또한 Backup Vault에도 인프라 암호화가 사용하도록 설정되어 있는지 확인하는 옵션이 있습니다. https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk에서 자세히 알아보세요. '거부' 효과를 사용하는 경우 자격 증명 모음에서 다른 업데이트 작업이 진행되도록 하려면 기존 백업 자격 증명 모음에서 암호화 설정을 사용하도록 설정해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Recovery Services 자격 증명 모음은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Recovery Services 자격 증명 모음이 공용 인터넷에 노출되지 않도록 하여 보안이 개선됩니다. 프라이빗 엔드포인트를 만들면 Recovery Services 자격 증명 모음의 노출을 제한할 수 있습니다. https://aka.ms/AB-PublicNetworkAccess-Deny에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Recovery Services 자격 증명 모음에서는 백업 데이터를 암호화하는 데 고객 관리형 키를 사용해야 합니다. | 고객 관리형 키를 사용하여 백업 데이터의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/AB-CmkEncryption에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Recovery Services 자격 증명 모음은 백업을 위해 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Recovery Services 자격 증명 모음에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/AB-PrivateEndpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: 공용 네트워크 액세스를 사용하지 않도록 Azure Recovery Services 자격 증명 모음 구성 | 공용 인터넷을 통해 액세스할 수 없도록 복구 서비스 자격 증명 모음에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/AB-PublicNetworkAccess-Deny에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 동일한 지역의 기존 백업 자격 증명 모음에 대해 지정된 태그가 있는 스토리지 계정의 Blob에 대한 백업 구성 | 중앙 백업 자격 증명 모음에 지정된 태그가 포함된 모든 스토리지 계정의 Blob에 대한 백업을 적용합니다. 이렇게 하면 여러 스토리지 계정에 포함된 Blob의 백업을 대규모로 관리하는 데 도움이 될 수 있습니다. 자세한 내용은 https://aka.ms/AB-BlobBackupAzPolicies를 참조하세요. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [미리 보기]: 동일한 영역의 백업 자격 증명 모음에 대해 지정된 태그가 없는 모든 스토리지 계정에 대해 Blob 백업 구성 | 중앙 백업 자격 증명 모음에 지정된 태그가 포함되지 않은 모든 스토리지 계정의 Blob에 대한 백업을 적용합니다. 이렇게 하면 여러 스토리지 계정에 포함된 Blob의 백업을 대규모로 관리하는 데 도움이 될 수 있습니다. 자세한 내용은 https://aka.ms/AB-BlobBackupAzPolicies를 참조하세요. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [미리 보기]: 백업에 프라이빗 DNS 영역을 사용하도록 Recovery Services 자격 증명 모음 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Recovery Services 자격 증명 모음으로 확인됩니다. https://aka.ms/AB-PrivateEndpoints에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.1 - 미리 보기 |
| [미리 보기]: 백업에 프라이빗 엔드포인트를 사용하도록 Recovery Services 자격 증명 모음 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Recovery Services 자격 증명 모음에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. 프라이빗 엔드포인트 구성에 적합하려면 자격 증명 모음이 특정 필수 조건을 충족해야 합니다. https://go.microsoft.com/fwlink/?linkid=2187162에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Recovery Services 자격 증명 모음에 대한 구독 간 복원 사용 안 함 | 복원 대상이 자격 증명 모음 구독과 다른 구독에 있을 수 없도록 Recovery Services 자격 증명 모음에 대해 구독 간 복원을 사용하지 않도록 설정하거나 영구적으로 제거합니다. https://aka.ms/csrenhancements에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.0 - 미리 보기 |
| [미리 보기]: Backup 자격 증명 모음에 대해 구독 간 복원 사용 안 함 | 복원 대상이 자격 증명 모음 구독과 다른 구독에 있을 수 없도록 Backup 자격 증명 모음에 대해 구독 간 복원을 사용하지 않도록 설정하거나 영구적으로 제거합니다. https://aka.ms/csrstatechange에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.0 - 미리 보기 |
| [미리 보기]: 선택한 스토리지 중복성의 Recovery Services 스토리지 만들기를 허용하지 않습니다. | Recovery Services 자격 증명 모음은 현재 세 가지 스토리지 중복 옵션, 즉 로컬 중복 스토리지, 영역 중복 스토리지 및 지역 중복 스토리지 중 하나로 만들 수 있습니다. 조직의 정책에 따라 특정 중복 형식에 속하는 자격 증명 모음 만들기를 차단해야 하는 경우 이 Azure Policy를 사용하여 동일한 결과를 얻을 수 있습니다. | 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 백업 자격 증명 모음에 대해 불변성을 사용하도록 설정해야 함 | 이 정책은 범위의 백업 자격 증명 모음에 대해 변경할 수 없는 자격 증명 모음 속성이 사용하도록 설정되어 있는지 감사합니다. 이는 예정된 만료 전에 백업 데이터가 삭제되지 않도록 보호하는 데 도움이 됩니다. https://aka.ms/AB-ImmutableVaults에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 - 미리 보기 |
| [미리 보기]: Recovery Services 자격 증명 모음에 대해 불변성을 사용하도록 설정해야 함 | 이 정책은 범위의 Recovery Services 자격 증명 모음에 대해 변경할 수 없는 자격 증명 모음 속성이 사용하도록 설정되어 있는지 감사합니다. 이는 예정된 만료 전에 백업 데이터가 삭제되지 않도록 보호하는 데 도움이 됩니다. https://aka.ms/AB-ImmutableVaults에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 - 미리 보기 |
| [미리 보기]: 백업 자격 증명 모음에 대해MUA(다중 사용자 권한 부여)를 사용하도록 설정해야 합니다. | 이 정책은 백업 자격 증명 모음에 대해 MUA(다중 사용자 권한 부여)가 사용하도록 설정되어 있는지 감사합니다. MUA는 중요한 작업에 추가 보호 계층을 추가하여 백업 자격 증명 모음을 보호하는 데 도움이 됩니다. 자세한 내용은 https://aka.ms/mua-for-bv를 참조하세요. | 감사, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Recovery Services 자격 증명 모음에 대해 MUA(다중 사용자 권한 부여)를 사용하도록 설정해야 합니다. | 이 정책은 Recovery Services 자격 증명 모음에 대해 MUA(다중 사용자 권한 부여)가 사용하도록 설정되어 있는지 감사합니다. MUA는 중요한 작업에 추가 보호 계층을 추가하여 Recovery Services 자격 증명 모음을 보호하는 데 도움이 됩니다. 자세한 내용은 https://aka.ms/MUAforRSV를 참조하세요. | 감사, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Recovery Services 자격 증명 모음에 대해 일시 삭제를 사용하도록 설정해야 합니다. | 이 정책은 범위의 Recovery Services 자격 증명 모음에 대해 일시 삭제가 사용하도록 설정되어 있는지 감사합니다. 일시 삭제를 사용하면 데이터가 삭제된 후에도 데이터를 복구하는 데 도움이 됩니다. https://aka.ms/AB-SoftDelete에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 백업 자격 증명 모음에 대해 일시 삭제를 사용하도록 설정해야 함 | 이 정책은 범위의 백업 자격 증명 모음에 대해 일시 삭제가 사용하도록 설정되어 있는지 감사합니다. 일시 삭제는 삭제된 데이터를 복구하는 데 도움이 됩니다. https://aka.ms/AB-SoftDelete에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 - 미리 보기 |
| Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | Azure Backup을 사용하도록 설정하여 Azure Virtual Machines의 보호를 보장합니다. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 기본 정책을 사용하여 새 Recovery Services 자격 증명 모음에 대해 지정된 태그가 있는 가상 머신의 백업 구성 | 가상 머신과 동일한 위치 및 리소스 그룹에 복구 서비스 자격 증명 모음을 배포하여 모든 가상 머신에 대한 백업을 적용합니다. 이 작업은 조직의 여러 애플리케이션 팀에 별도의 리소스 그룹이 할당되고 자체 백업 및 복원을 관리해야 하는 경우에 유용합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 포함할 수 있습니다. https://aka.ms/AzureVMAppCentricBackupIncludeTag을(를) 참조하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 9.2.0 |
| 동일한 위치에 있는 기존 Recovery Services 자격 증명 모음에 대해 지정된 태그가 있는 가상 머신의 백업 구성 | 가상 머신과 동일한 위치 및 구독에 있는 기존 중앙 복구 서비스 자격 증명 모음에 백업하여 모든 가상 머신에 대한 백업을 적용합니다. 이 작업은 구독의 모든 리소스에 대한 백업을 관리하는 조직 내의 중앙 팀이 있는 경우에 유용합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 포함할 수 있습니다. https://aka.ms/AzureVMCentralBackupIncludeTag을(를) 참조하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 9.2.0 |
| 기본 정책을 사용하여 새 Recovery Services 자격 증명 모음에 대해 제공된 태그가 없는 가상 머신의 백업 구성 | 가상 머신과 동일한 위치 및 리소스 그룹에 복구 서비스 자격 증명 모음을 배포하여 모든 가상 머신에 대한 백업을 적용합니다. 이 작업은 조직의 여러 애플리케이션 팀에 별도의 리소스 그룹이 할당되고 자체 백업 및 복원을 관리해야 하는 경우에 유용합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 제외할 수 있습니다. https://aka.ms/AzureVMAppCentricBackupExcludeTag을(를) 참조하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 9.2.0 |
| 동일한 위치에 있는 기존 Recovery Services 자격 증명 모음에 대해 지정된 태그가 없는 가상 머신의 백업 구성 | 가상 머신과 동일한 위치 및 구독에 있는 기존 중앙 복구 서비스 자격 증명 모음에 백업하여 모든 가상 머신에 대한 백업을 적용합니다. 이 작업은 구독의 모든 리소스에 대한 백업을 관리하는 조직 내의 중앙 팀이 있는 경우에 유용합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 제외할 수 있습니다. https://aka.ms/AzureVMCentralBackupExcludeTag을(를) 참조하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 9.2.0 |
| Recovery Services 자격 증명 모음에 대한 진단 설정을 리소스별 범주의 Log Analytics 작업 영역에 배포합니다. | Recovery Services 자격 증명 모음에 대한 진단 설정을 배포하여 리소스별 범주의 Log Analytics 작업 영역으로 스트리밍합니다. 리소스별 범주가 활성화되지 않은 경우 새 진단 설정이 만들어집니다. | deployIfNotExists | 1.0.2 |
Batch
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Batch 계정은 고객 관리형 키를 사용하여 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Batch 계정 데이터의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/Batch-CMK에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Batch 풀에서 디스크 암호화를 사용하도록 설정해야 함 | Azure Batch 디스크 암호화를 사용하도록 설정하면 Azure Batch 컴퓨팅 노드에서 미사용 데이터가 항상 암호화됩니다. https://docs.microsoft.com/azure/batch/disk-encryption에서 Batch의 디스크 암호화에 대해 자세히 알아보세요. | 감사, 사용 안 함, 거부 | 1.0.0 |
| Batch 계정은 로컬 인증 방법을 사용하지 않도록 설정해야 함 | 로컬 인증 방법을 사용하지 않도록 설정하면 Batch 계정에 인증 전용 Azure Active Directory ID가 필요하므로 보안이 강화됩니다. https://aka.ms/batch/auth에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 로컬 인증을 사용하지 않도록 Batch 계정 구성 | 위치 인증 방법을 사용하지 않도록 설정하여 Batch 계정에서 인증에만 Azure Active Directory ID를 요구하도록 합니다. https://aka.ms/batch/auth에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 배치 계정 구성 | Batch 계정에서 공용 네트워크 액세스를 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Batch 계정에 액세스할 수 있도록 하여 보안이 향상됩니다. https://docs.microsoft.com/azure/batch/private-connectivity에서 공용 네트워크 액세스를 사용하지 않도록 설정하는 방법에 대해 자세히 알아봅니다. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 사용하여 Batch 계정 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Batch 계정에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/batch/private-connectivity에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 배포 - Batch 계정에 연결되는 프라이빗 엔드포인트의 프라이빗 DNS 영역 구성 | 프라이빗 DNS 레코드는 프라이빗 엔드포인트에 대한 프라이빗 연결을 허용합니다. 프라이빗 엔드포인트 연결을 사용하면 원본 또는 대상에서 공용 IP 주소 없이 Batch 계정에 대한 프라이빗 연결을 활성화하여 보안 통신을 수행할 수 있습니다. Batch의 프라이빗 엔드포인트 및 DNS 영역에 대한 자세한 내용은 https://docs.microsoft.com/azure/batch/private-connectivity를 참조하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Batch 계정에서 메트릭 경고 규칙을 구성해야 함 | 필요한 메트릭을 사용할 수 있도록 설정하는 Batch 계정에서 메트릭 경고 규칙 구성 감사 | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Batch 계정에서 프라이빗 엔드포인트 연결을 사용하도록 설정해야 함 | 프라이빗 엔드포인트 연결을 사용하면 원본 또는 대상에서 공용 IP 주소 없이 Batch 계정에 대한 프라이빗 연결을 활성화하여 보안 통신을 수행할 수 있습니다. https://docs.microsoft.com/azure/batch/private-connectivity에 있는 Batch에서 프라이빗 엔드포인트에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Batch 계정에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | Batch 계정에서 공용 네트워크 액세스를 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Batch 계정에 액세스할 수 있도록 하여 보안이 향상됩니다. https://docs.microsoft.com/azure/batch/private-connectivity에서 공용 네트워크 액세스를 사용하지 않도록 설정하는 방법에 대해 자세히 알아봅니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Batch 계정에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Bot Service
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Bot Service 엔드포인트는 유효한 HTTPS URI여야 함 | 데이터는 전송 중에 변조될 수 있습니다. 암호화를 제공하여 오용 및 변조 문제를 해결하는 프로토콜이 있습니다. 봇이 암호화된 채널을 통해서만 통신하도록 하려면 엔드포인트를 유효한 HTTPS URI로 설정합니다. 이렇게 하면 전송 중인 데이터를 암호화하는 데 HTTPS 프로토콜을 사용하고 규정 또는 업계 표준을 준수해야 하는 경우가 많습니다. https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines를 방문하세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Bot Service는 고객 관리형 키로 암호화해야 함 | Azure Bot Service는 리소스를 자동으로 암호화하여 데이터를 보호하고 조직의 보안 및 규정 준수 약정을 충족합니다. 기본적으로 Microsoft 관리형 암호화 키가 사용됩니다. 키 관리 또는 구독에 대한 액세스 제어의 유연성을 향상하려면 BYOK(Bring Your Own Key)라고도 하는 고객 관리형 키를 선택합니다. Azure Bot Service 암호화에 대한 자세한 정보: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Bot Service에서 격리 모드를 사용하도록 설정해야 함 | 봇은 '격리 전용' 모드로 설정해야 합니다. 이 설정은 공용 인터넷을 통한 트래픽을 사용하지 않도록 설정해야 하는 Bot Service 채널을 구성합니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| Bot Service는 로컬 인증 방법을 사용하지 않도록 설정해야 함 | 로컬 인증 방법을 사용하지 않으면 봇이 AAD를 인증에만 사용하도록 하여 보안을 향상시킵니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Bot Service는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 봇은 '격리 전용' 모드로 설정해야 합니다. 이 설정은 공용 인터넷을 통한 트래픽을 사용하지 않도록 설정해야 하는 Bot Service 채널을 구성합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| BotService 리소스에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 BotService에 매핑하면 데이터 누출 위험이 줄어듭니다. | 감사, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 BotService 리소스 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결하여 BotService 관련 리소스로 확인합니다. https://aka.ms/privatednszone에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 사용하여 BotService 리소스 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 BotService에 매핑하면 데이터 누출 위험을 줄일 수 있습니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
캐시
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Cache for Redis는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Azure Cache for Redis가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 Azure Cache for Redis 노출을 제한할 수 있습니다. https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Cache for Redis는 프라이빗 링크를 사용해야 함 | 프라이빗 엔드포인트를 사용하면 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 엔드포인트를 Azure Cache for Redis 인스턴스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 비SSL 포트를 사용하지 않도록 설정하도록 Azure Cache for Redis 구성 | Azure Cache for Redis에 대한 SSL 전용 연결을 사용하도록 설정합니다. 보안 연결을 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 수정, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Azure Cache for Redis 구성 | 공용 인터넷을 통해 액세스할 수 없도록 Azure Cache for Redis 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이렇게 하면 데이터 유출 위험으로부터 캐시를 보호할 수 있습니다. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 Azure Cache for Redis 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역을 가상 네트워크에 연결하여 Azure Cache for Redis로 확인할 수 있습니다. https://aka.ms/privatednszone에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 사용하여 Azure Cache for Redis 구성 | 프라이빗 엔드포인트를 사용하면 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 엔드포인트를 Azure Cache for Redis 리소스에 매핑하여 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/redis/privateendpoint에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Cache for Redis에 보안 연결만 사용하도록 설정해야 함 | SSL을 통해 설정된 Azure Cache for Redis 연결만 감사 보안 연결을 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
CDN
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Front Door 프로필은 관리되는 WAF 규칙 및 프라이빗 링크를 지원하는 프리미엄 계층을 사용해야 함 | Azure Front Door 프리미엄은 Azure 관리 WAF 규칙 및 지원되는 Azure origin에 대한 프라이빗 링크를 지원합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Front Door 표준 및 프리미엄은 최소 TLS 버전 1.2를 실행해야 함 | 최소 TLS 버전을 1.2로 설정하면 TLS 1.2 이상을 사용하는 클라이언트에서 사용자 지정 도메인에 액세스할 수 있으므로 보안이 향상됩니다. 1.2 미만의 TLS 버전은 취약하고 최신 암호화 알고리즘을 지원하지 않으므로 사용하지 않는 것이 좋습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Front Door 프리미엄과 Azure Storage Blob 또는 Azure App Service 간의 안전한 프라이빗 연결 | 프라이빗 링크는 Azure Storage Blob 또는 Azure App Service가 인터넷에 공개적으로 노출되지 않고 Azure 백본 네트워크를 통해 AFD 프리미엄과 Azure Storage Blob 또는 Azure App Service 간의 프라이빗 연결을 보장합니다. | 감사, 사용 안 함 | 1.0.0 |
ChangeTrackingAndInventory
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: ChangeTracking 및 인벤토리에 대한 데이터 수집 규칙과 연결되도록 Linux Arc 지원 컴퓨터 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Linux Arc 지원 컴퓨터를 지정된 데이터 수집 규칙에 연결하는 연결을 배포합니다. 위치 목록은 시간이 지남에 따라 지원이 증가하면서 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: ChangeTracking 및 인벤토리에 대한 AMA를 설치하도록 Linux Arc 지원 컴퓨터 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Linux Arc 지원 컴퓨터에서 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 해당 지역이 지원되는 경우 확장을 설치합니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.3.0-preview |
| [미리 보기]: ChangeTracking 및 Inventory에 대한 데이터 수집 규칙과 연결되도록 Linux Virtual Machines 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Linux 가상 머신을 지정된 데이터 수집 규칙에 연결하는 연결을 배포합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 사용자 할당 관리 ID를 사용하여 ChangeTracking 및 Inventory용 AMA를 설치하도록 Linux VM 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Linux 가상 머신에서 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.4.0-preview |
| [미리 보기]: ChangeTracking 및 Inventory에 대한 데이터 수집 규칙과 연결되도록 Linux VMSS 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Linux 가상 머신 확장 집합을 지정된 데이터 수집 규칙에 연결하는 연결을 배포합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 사용자 할당 관리 ID를 사용하여 ChangeTracking 및 Inventory용 AMA를 설치하도록 Linux VMSS 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Linux 가상 머신 확장 집합에서 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.3.0-preview |
| [미리 보기]: ChangeTracking 및 인벤토리에 대한 데이터 수집 규칙과 연결되도록 Windows Arc 지원 컴퓨터 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Windows Arc 지원 컴퓨터를 지정된 데이터 수집 규칙에 연결하는 연결을 배포합니다. 위치 목록은 시간이 지남에 따라 지원이 증가하면서 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: ChangeTracking 및 인벤토리에 대한 AMA를 설치하도록 Windows Arc 지원 컴퓨터 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Windows Arc 지원 컴퓨터에서 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 OS 및 지역이 지원되고 시스템 할당 관리 ID가 사용하도록 설정된 경우 확장을 설치하고 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: ChangeTracking 및 Inventory에 대한 데이터 수집 규칙과 연결되도록 Windows Virtual Machines 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Windows 가상 머신을 지정된 데이터 수집 규칙에 연결하는 연결을 배포합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 사용자 할당 관리 ID로 ChangeTracking 및 Inventory용 AMA를 설치하도록 Windows VM 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Windows 가상 머신에서 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: ChangeTracking 및 Inventory에 대한 데이터 수집 규칙과 연결되도록 Windows VMSS 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Windows 가상 머신 확장 집합을 지정된 데이터 수집 규칙에 연결하는 연결을 배포합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 사용자 할당 관리 ID로 ChangeTracking 및 Inventory용 AMA를 설치하도록 Windows VMSS 구성 | ChangeTracking 및 Inventory를 사용하도록 설정하기 위해 Windows 가상 머신 확장 집합에서 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
Cognitive Services
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Cognitive Services 계정은 고객 관리형 키를 사용하여 데이터를 암호화하도록 설정해야 함 | 고객 관리형 키는 일반적으로 규정 준수 표준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 Cognitive Services에 저장된 데이터를 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://go.microsoft.com/fwlink/?linkid=2121321에서 고객 관리형 키에 대해 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 2.1.0 |
| Cognitive Services 계정은 관리 ID를 사용해야 함 | Cognitive Service 계정에 관리 ID를 할당하면 보안 인증을 보장할 수 있습니다. 이 ID는 자격 증명을 관리하지 않고도 안전한 방식으로 Azure Key Vault와 같은 다른 Azure 서비스와 통신하기 위해 이 Cognitive Service 계정에서 사용됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Cognitive Services 계정은 고객 소유 스토리지를 사용해야 함 | 고객 소유 스토리지를 사용하여 Cognitive Services에 저장된 데이터를 제어합니다. 고객 소유 스토리지에 대해 자세히 알아보려면 https://aka.ms/cogsvc-cmk를 방문하세요. | 감사, 거부, 사용 안 함 | 2.0.0 |
| Cognitive Services에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Cognitive Services에 매핑하면 데이터 유출 가능성이 줄어듭니다. https://go.microsoft.com/fwlink/?linkid=2129800에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 3.0.0 |
| 로컬 인증 방법을 사용하지 않도록 Cognitive Services 계정 구성 | Cognitive Services 계정에 인증 전용 Azure Active Directory ID가 필요하도록 로컬 인증 방법을 사용하지 않도록 설정해야 합니다. https://aka.ms/cs/auth에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Cognitive Services 계정 구성 | 공용 인터넷을 통해 액세스할 수 없도록 Cognitive Services 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://go.microsoft.com/fwlink/?linkid=2129800에서 자세히 알아보세요. | 사용 안 함, 수정 | 3.0.0 |
| 프라이빗 DNS 영역을 사용하도록 Cognitive Services 계정 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Cognitive Services 계정으로 확인됩니다. https://go.microsoft.com/fwlink/?linkid=2110097에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트로 Cognitive Services 계정 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Cognitive Services에 매핑하면 데이터 유출 가능성이 줄어듭니다. https://go.microsoft.com/fwlink/?linkid=2129800에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 3.0.0 |
통신
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 통신 서비스 리소스는 관리 ID를 사용해야 함 | 통신 서비스 리소스에 관리 ID를 할당하면 보안 인증을 보장하는 데 도움이 됩니다. 이 ID는 자격 증명을 관리할 필요 없이 안전한 방식으로 Azure Storage 같은 다른 Azure 서비스와 통신하기 위해 이 통신 서비스 리소스에서 사용됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 통신 서비스 리소스는 허용된 데이터 위치를 사용해야 함 | 허용 목록에 있는 데이터 위치에서만 통신 서비스 리소스를 만듭니다. 이 데이터 위치는 통신 서비스 리소스의 데이터가 미사용 상태로 저장될 위치를 결정하여 리소스 만들기 후에는 변경할 수 없으므로 기본 허용 목록 데이터 위치를 보장합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Compute
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 허용된 가상 머신 크기 SKU | 이 정책을 통해 조직에서 배포할 수 있는 가상 머신 크기 SKU 세트를 지정할 수 있습니다. | 거부 | 1.0.1 |
| 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 재해 복구가 구성되지 않은 가상 머신을 감사합니다. 재해 복구에 대한 자세한 내용은 https://aka.ms/asr-doc를 참조하세요. | auditIfNotExists | 1.0.0 |
| 관리 디스크를 사용하지 않는 VM 감사 | 이 정책은 관리 디스크를 사용하지 않는 VM을 감사 | 감사 | 1.0.0 |
| Azure Site Recovery를 통해 복제를 사용하여 가상 머신에서 재해 복구 구성 | 재해 복구 구성이 없는 가상 머신은 중단 및 기타 중단에 취약합니다. 가상 머신에 재해 복구가 아직 구성되지 않은 경우에는 미리 설정된 구성을 사용하여 복제를 사용하도록 설정해 비즈니스 연속성을 촉진함으로써 동일한 작업을 시작합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 포함/제외할 수 있습니다. 재해 복구에 대한 자세한 내용은 https://aka.ms/asr-doc를 참조하세요. | DeployIfNotExists, 사용 안 함 | 2.1.0 |
| 프라이빗 DNS 영역을 사용하도록 디스크 액세스 리소스 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 관리 디스크로 확인됩니다. https://aka.ms/disksprivatelinksdoc에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 사용하여 디스크 액세스 리소스 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 디스크 액세스 리소스에 매핑하면 데이터 누출 위험을 줄일 수 있습니다. https://aka.ms/disksprivatelinksdoc에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 관리 디스크 구성 | 공용 인터넷을 통해 액세스할 수 없도록 관리 디스크에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/disksprivatelinksdoc에서 자세히 알아보세요. | 수정, 사용 안 함 | 2.0.0 |
| Windows Server용 기본 Microsoft IaaSAntimalware 확장 배포 | 이 정책은 VM이 맬웨어 방지 프로그램 확장으로 구성되지 않은 경우 기본 구성으로 Microsoft IaaSAntimalware 확장을 배포합니다. | deployIfNotExists | 1.1.0 |
| 디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 diskAccesses에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/disksprivatelinksdoc에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 관리 디스크는 플랫폼 관리형 및 고객 관리형 키를 둘 다 사용하여 이중 암호화해야 함 | 특정 암호화 알고리즘, 구현 또는 손상되는 키와 연결된 위험에 관해 우려하는 높은 수준의 보안을 중요시하는 고객은 플랫폼 관리형 암호화 키를 사용하는 인프라 계층에서 다른 암호화 알고리즘/모드를 사용하는 추가적인 암호화 계층을 선택할 수 있습니다. 이중 암호화를 사용하려면 디스크 암호화 집합이 필요합니다. https://aka.ms/disks-doubleEncryption에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 관리 디스크는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 관리 디스크가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 관리 디스크의 노출을 제한할 수 있습니다. https://aka.ms/disksprivatelinksdoc에서 자세히 알아보세요. | 감사, 사용 안 함 | 2.0.0 |
| 관리 디스크는 고객 관리형 키 암호화에 대해 디스크 암호화 집합의 특정 세트를 사용해야 함 | 특정 디스크 암호화 집합 세트를 관리 디스크와 함께 사용하도록 설정하면 미사용 암호화에 사용되는 키를 제어할 수 있습니다. 허용되는 암호화된 집합을 선택할 수 있으며 다른 모든 항목은 디스크에 연결될 때 거부됩니다. https://aka.ms/disks-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 2.0.0 |
| 보호 서명을 자동으로 업데이트하려면 Azure용 Microsoft Antimalware를 구성해야 함 | 이 정책은 Microsoft Antimalware 보호 서명의 자동 업데이트로 구성되지 않은 Windows 가상 머신을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Microsoft IaaSAntimalware 확장을 Windows Server에 배포해야 함 | 이 정책은 Microsoft IaaSAntimalware 확장이 배포되지 않은 Windows Server VM을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
| 승인된 VM 확장만 설치해야 함 | 이 정책은 승인되지 않은 가상 머신 확장을 관리합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| OS 및 데이터 디스크는 고객 관리형 키로 암호화해야 함 | 고객 관리형 키를 사용하여 관리 디스크 콘텐츠의 미사용 데이터 암호화를 관리합니다. 기본적으로 미사용 데이터는 플랫폼 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/disks-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 3.0.0 |
| 디스크 또는 스냅샷을 내보내거나 업로드할 때 인증을 요구하여 데이터를 보호합니다. | 내보내기/업로드 URL을 사용하는 경우 시스템은 사용자에게 Azure Active Directory에 ID가 있는지와 데이터를 내보내고 업로드하는 데 필요한 권한이 있는지 확인합니다. aka.ms/DisksAzureADAuth를 참조하세요. | 수정, 사용 안 함 | 1.0.0 |
| Virtual Machine Scale Sets에 자동 OS 이미지 패치 필요 | 이 정책은 매달 최신 보안 패치를 안전하게 적용하여 항상 Virtual Machines의 보안을 유지하도록 Virtual Machine Scale Sets에 자동 OS 이미지 패치를 사용하도록 설정합니다. | deny | 1.0.0 |
| 가상 머신 및 가상 머신 확장 집합에서는 호스트에서 암호화를 사용하도록 설정해야 함 | 호스트에서 암호화를 사용하여 가상 머신 및 가상 머신 확장 집합 데이터에 대한 엔드투엔트 암호화를 가져옵니다. 호스트에서 암호화를 사용하면 임시 디스크 및 OS/데이터 디스크 캐시에 대해 미사용 데이터를 암호화할 수 있습니다. 임시 및 사용 후 삭제 OS 디스크는 호스트에서 암호화가 활성화될 때 플랫폼 관리형 키로 암호화됩니다. OS/데이터 디스크 캐시는 디스크에서 선택한 암호화 유형에 따라 고객 관리형 키 또는 플랫폼 관리형 키를 사용하여 미사용 데이터를 암호화합니다. https://aka.ms/vm-hbe에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 가상 머신에 새 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 관리, 관리 ID 액세스, 비밀을 위해 키 자격 증명 모음에 액세스, Azure AD 기반 인증, 보다 쉬운 보안 관리를 위한 태그 및 리소스 그룹 지원과 같은 보안 기능 향상을 제공합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Container Apps
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Container Apps에서 인증을 사용하도록 설정해야 함 | Container Apps 인증은 익명 HTTP 요청이 Container Apps에 도달하지 않도록 방지하거나 Container Apps에 도달하기 전에 토큰이 있는 요청을 인증할 수 있는 기능입니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| Container App 환경에서 네트워크 삽입을 사용해야 함 | Container Apps 환경에서 가상 네트워크 삽입을 사용하여 다음을 수행해야 합니다. 1. 퍼블릭 인터넷에서 Container Apps를 격리합니다. 2. 온-프레미스 또는 다른 Azure 가상 네트워크의 리소스와의 네트워크 통합을 사용하도록 설정합니다. 3. 환경에서 이동하는 네트워크 트래픽을 더 세부적으로 제어합니다. | 감사, 사용 안 함, 거부 | 1.0.2 |
| Container App에서 볼륨 탑재를 사용하여 구성해야 함 | 볼륨 탑재를 Container Apps에 사용하도록 적용하여 영구 스토리지 용량의 가용성을 보장합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Container Apps 환경에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 내부 부하 분산 장치를 통해 Container Apps 환경을 공개하여 보안을 향상시키기 위해 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이렇게 하면 공용 IP 주소가 필요하지 않으며 환경 내의 모든 Container Apps에 대한 인터넷 액세스가 차단됩니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Container Apps에서 외부 네트워크 액세스를 사용하지 않도록 설정해야 함 | 내부 전용 수신을 적용하여 Container Apps에 대한 외부 네트워크 액세스를 사용하지 않도록 설정합니다. 이렇게 하면 Container Apps에 대한 인바운드 통신이 Container Apps 환경 내의 호출자로 제한됩니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Container Apps에서 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. 'allowInsecure'를 사용하지 않도록 설정하면 Container Apps에 대한 요청이 자동으로 HTTP에서 HTTPS 연결로 리디렉션됩니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 관리 ID를 Container Apps에 사용하도록 설정해야 함 | 관리 ID를 적용하면 Container Apps에서 Azure AD 인증을 지원하는 모든 리소스에 안전하게 인증할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
Container Instances
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Container Instance 컨테이너 그룹은 가상 네트워크에 배포해야 함 | Azure Virtual Network를 사용하여 컨테이너 간 통신을 보호합니다. 가상 네트워크를 지정하면 가상 네트워크 내의 리소스가 서로 안전하게 비공개적으로 통신할 수 있습니다. | 감사, 사용 안 함, 거부 | 2.0.0 |
| Azure Container Instance 컨테이너 그룹은 암호화에 고객 관리형 키를 사용해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 컨테이너를 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사, 사용 안 함, 거부 | 1.0.0 |
| Log Analytics 작업 영역에 대한 컨테이너 그룹의 진단 설정 구성 | 이 진단 설정이 누락된 컨테이너 인스턴스가 만들어지거나 업데이트될 때 리소스 로그를 Log Analytics 작업 영역으로 스트림하도록 컨테이너 인스턴스에 대한 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Container Instances
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Log Analytics 작업 영역에 대한 컨테이너 그룹 진단 구성 | 해당 필드가 누락된 컨테이너 그룹이 만들어지거나 업데이트되면 지정된 로그 분석 작업 영역 ID 및 작업 영역 키를 추가합니다. 해당 리소스 그룹이 변경될 때까지 이 정책이 적용되기 전에 만들어진 컨테이너 그룹의 필드를 수정하지 않습니다. | 추가, 사용 안 함 | 1.0.0 |
Container Registry
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 익명 인증을 사용하지 않도록 컨테이너 레지스트리 구성 | 인증되지 않은 사용자가 데이터에 액세스할 수 없도록 레지스트리에 대한 익명 끌어오기를 사용하지 않도록 설정합니다. 관리 사용자, 리포지토리 범위 액세스 토큰, 익명 끌어오기 등의 로컬 인증 방법을 사용하지 않도록 설정하면 컨테이너 레지스트리에서는 인증을 위해 Azure Active Directory ID만 요구하므로 보안이 향상됩니다. https://aka.ms/acr/authentication에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| ARM 대상 토큰 인증을 비활성화하도록 컨테이너 레지스트리 구성 | 레지스트리에 대한 인증을 위해 Azure Active Directory ARM 대상 그룹 토큰을 사용하지 않도록 설정합니다. 인증에는 ACR(Azure Container Registry) 대상 그룹 토큰만 사용됩니다. 이렇게 하면 레지스트리에서 사용할 토큰만 인증에 사용할 수 있습니다. ARM 대상 그룹 토큰을 사용하지 않도록 설정해도 관리 사용자 또는 범위가 지정된 액세스 토큰의 인증에는 영향을 주지 않습니다. https://aka.ms/acr/authentication에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 로컬 관리자 계정을 사용하지 않도록 컨테이너 레지스트리 구성 | 로컬 관리자가 액세스할 수 없도록 레지스트리에 대한 관리자 계정을 사용하지 않도록 설정합니다. 관리 사용자, 리포지토리 범위 액세스 토큰, 익명 가져오기 등의 로컬 인증 방법을 사용하지 않도록 설정하면 컨테이너 레지스트리에서는 인증을 위해 Azure Active Directory ID만 요구하므로 보안이 향상됩니다. https://aka.ms/acr/authentication에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.1 |
| 공용 네트워크 액세스를 사용하지 않도록 컨테이너 레지스트리 구성 | 공용 인터넷을 통해 액세스할 수 없도록 Container Registry 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/acr/portal/public-network 및 https://aka.ms/acr/private-link에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 리포지토리 범위 액세스 토큰을 사용하지 않도록 컨테이너 레지스트리 구성 | 리포지토리가 토큰으로 액세스할 수 없도록 레지스트리에 대한 리포지토리 범위 액세스 토큰을 사용하지 않도록 설정합니다. 관리 사용자, 리포지토리 범위 액세스 토큰, 익명 끌어오기 등의 로컬 인증 방법을 사용하지 않도록 설정하면 컨테이너 레지스트리에서는 인증을 위해 Azure Active Directory ID만 요구하므로 보안이 향상됩니다. https://aka.ms/acr/authentication에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 컨테이너 레지스트리 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Container Registry를 확인합니다. https://aka.ms/privatednszone 및 https://aka.ms/acr/private-link에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 프라이빗 엔드포인트를 사용하여 컨테이너 레지스트리 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 프리미엄 컨테이너 레지스트리 리소스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/privateendpoints 및 https://aka.ms/acr/private-link에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 컨테이너 레지스트리는 고객 관리형 키를 사용하여 암호화해야 함 | 고객 관리형 키를 사용하여 레지스트리 콘텐츠의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/acr/CMK에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.2 |
| 컨테이너 레지스트리는 익명 인증을 사용하지 않도록 설정해야 함 | 인증되지 않은 사용자가 데이터에 액세스할 수 없도록 레지스트리에 대한 익명 끌어오기를 사용하지 않도록 설정합니다. 관리 사용자, 리포지토리 범위 액세스 토큰, 익명 끌어오기 등의 로컬 인증 방법을 사용하지 않도록 설정하면 컨테이너 레지스트리에서는 인증을 위해 Azure Active Directory ID만 요구하므로 보안이 향상됩니다. https://aka.ms/acr/authentication에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 컨테이너 레지스트리에는 ARM 대상 토큰 인증이 비활성화되어 있어야 함 | 레지스트리에 대한 인증을 위해 Azure Active Directory ARM 대상 그룹 토큰을 사용하지 않도록 설정합니다. 인증에는 ACR(Azure Container Registry) 대상 그룹 토큰만 사용됩니다. 이렇게 하면 레지스트리에서 사용할 토큰만 인증에 사용할 수 있습니다. ARM 대상 그룹 토큰을 사용하지 않도록 설정해도 관리 사용자 또는 범위가 지정된 액세스 토큰의 인증에는 영향을 주지 않습니다. https://aka.ms/acr/authentication에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 컨테이너 레지스트리에는 내보내기가 비활성화되어 이어야 함 | 내보내기를 비활성화하면 레지스트리의 데이터가 데이터 평면('docker pull')을 통해서만 액세스되도록 하여 보안이 향상됩니다. 데이터는 'acr import' 또는 'acr transfer'를 통해 레지스트리 밖으로 이동할 수 없습니다. 내보내기를 비활성화하려면 공용 네트워크 액세스를 비활성화해야 합니다. https://aka.ms/acr/export-policy에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 컨테이너 레지스트리는 로컬 관리자 계정을 사용하지 않도록 설정해야 함 | 로컬 관리자가 액세스할 수 없도록 레지스트리에 대한 관리자 계정을 사용하지 않도록 설정합니다. 관리 사용자, 리포지토리 범위 액세스 토큰, 익명 가져오기 등의 로컬 인증 방법을 사용하지 않도록 설정하면 컨테이너 레지스트리에서는 인증을 위해 Azure Active Directory ID만 요구하므로 보안이 향상됩니다. https://aka.ms/acr/authentication에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 컨테이너 레지스트리는 리포지토리 범위 액세스 토큰을 사용하지 않도록 설정해야 함 | 리포지토리가 토큰으로 액세스할 수 없도록 레지스트리에 대한 리포지토리 범위 액세스 토큰을 사용하지 않도록 설정합니다. 관리 사용자, 리포지토리 범위 액세스 토큰, 익명 끌어오기 등의 로컬 인증 방법을 사용하지 않도록 설정하면 컨테이너 레지스트리에서는 인증을 위해 Azure Active Directory ID만 요구하므로 보안이 향상됩니다. https://aka.ms/acr/authentication에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 컨테이너 레지스트리에 Private Link를 지원하는 SKU가 있어야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스 대신 프라이빗 엔드포인트를 컨테이너 레지스트리에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/acr/private-link에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함 | 기본적으로 Azure Container Registry는 모든 네트워크에 있는 호스트로부터의 인터넷 연결을 수락합니다. 잠재적인 위협으로부터 레지스트리를 보호하려면 특정 프라이빗 엔드포인트, 공용 IP 주소 또는 주소 범위에서만 액세스를 허용합니다. 레지스트리에 네트워크 규칙이 구성되어 있지 않으면 비정상 리소스에 나타납니다. Container Registry 네트워크 규칙에 대한 자세한 내용은 https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network 및 https://aka.ms/acr/vnet을 참조하세요. | 감사, 거부, 사용 안 함 | 2.0.0 |
| 컨테이너 레지스트리는 캐시 규칙 만들기를 방지해야 합니다. | 캐시 끌어오기를 통한 끌어오기를 방지하려면 Azure Container Registry에 대한 캐시 규칙 만들기를 사용하지 않도록 설정합니다. https://aka.ms/acr/cache에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 컨테이너 레지스트리는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스 대신 프라이빗 엔드포인트를 컨테이너 레지스트리에 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/acr/private-link에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 |
| 컨테이너 레지스트리에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 컨테이너 레지스트리가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 컨테이너 레지스트리 리소스의 노출을 제한할 수 있습니다. https://aka.ms/acr/portal/public-network 및 https://aka.ms/acr/private-link에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
Cosmos DB
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Cosmos DB 계정에 방화벽 규칙이 있어야 함 | 권한 없는 원본의 트래픽을 방지하기 위해 Azure Cosmos DB 계정에 방화벽 규칙을 정의해야 합니다. 가상 네트워크 필터를 사용하도록 정의된 IP 규칙이 하나 이상 있는 계정은 규정을 준수하는 것으로 간주됩니다. 퍼블릭 액세스를 비활성화한 계정도 규정을 준수하는 것으로 간주됩니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
| Azure Cosmos DB 계정은 마지막 계정 키를 다시 생성한 후 허용되는 최대 일수를 초과하면 안 됩니다. | 데이터를 추가로 보호하려면 지정된 시간에 키를 다시 생성합니다. | 감사, 사용 안 함 | 1.0.0 |
| Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Cosmos DB의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/cosmosdb-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Azure Cosmos DB 허용되는 위치 | 이 정책을 사용하면 Azure Cosmos DB 조직에서 리소스를 배포할 때 지정할 수 있는 위치를 제한할 수 있습니다. 지역 규정 준수 요구 사항을 적용하는 데 사용합니다. | [parameters('policyEffect')] | 1.1.0 |
| Azure Cosmos DB 키 기반 메타데이터 쓰기 액세스를 사용하지 않도록 설정해야 함 | 이 정책을 통해 모든 Azure Cosmos DB 계정에서 키 기반 메타데이터 쓰기 액세스를 사용하지 않도록 설정할 수 있습니다. | 추가 | 1.0.0 |
| Azure Cosmos DB는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 CosmosDB 계정이 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 CosmosDB 계정의 노출을 제한할 수 있습니다. https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Cosmos DB 처리량을 제한해야 함 | 이 정책을 사용하면 리소스 공급자를 통해 Azure Cosmos DB 데이터베이스 및 컨테이너를 만들 때 조직에서 지정할 수 있는 최대 처리량을 제한할 수 있습니다. 자동 크기 조정 리소스 생성을 차단합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| 로컬 인증을 사용하지 않도록 Cosmos DB 데이터베이스 계정 구성 | Cosmos DB 데이터베이스 계정에 인증을 위해 Azure Active Directory ID가 독점적으로 필요하도록 로컬 인증 방법을 사용하지 않도록 설정합니다. https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.0 |
| 공용 네트워크 액세스를 사용하지 않도록 CosmosDB 계정 구성 | 공용 인터넷을 통해 액세스할 수 없도록 CosmosDB 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.1 |
| 프라이빗 DNS 영역을 사용하도록 CosmosDB 계정 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 CosmosDB 계정으로 확인됩니다. https://aka.ms/privatednszone에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| 프라이빗 엔드포인트로 CosmosDB 계정 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 CosmosDB 계정에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Cosmos DB 데이터베이스 계정은 로컬 인증 방법을 사용하지 않도록 설정해야 합니다 | 로컬 인증 방법을 사용하지 않도록 설정하면 Cosmos DB 데이터베이스 계정에 인증을 위해 Azure Active Directory ID가 독점적으로 필요하도록 하여 보안이 향상됩니다. https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| CosmosDB 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 CosmosDB 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| Cosmos DB 계정에 대한 Advanced Threat Protection 배포 | 이 정책은 Cosmos DB 계정에서 Advanced Threat Protection을 사용하도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
사용자 지정 공급자
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 사용자 지정 공급자에 대한 연결 배포 | 선택한 리소스 유형을 지정된 사용자 지정 공급자에 연결하는 연결 리소스를 배포합니다. 이 정책 배포는 중첩된 리소스 유형을 지원하지 않습니다. | deployIfNotExists | 1.0.0 |
Data Box
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Data Box 작업에서 디바이스의 미사용 데이터에 대한 이중 암호화를 사용하도록 설정해야 함 | 디바이스의 미사용 데이터에 대해 소프트웨어 기반 암호화의 두 번째 계층을 사용하도록 설정합니다. 디바이스는 미사용 데이터에 대해 Advanced Encryption Standard 256비트 암호화를 통해 이미 보호되고 있습니다. 이 옵션은 데이터 암호화의 두 번째 계층을 추가합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Data Box 작업에서 고객 관리형 키를 사용하여 디바이스 잠금 해제 암호를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Data Box에 대한 디바이스 잠금 해제 암호의 암호화를 제어합니다. 고객 관리형 키는 디바이스를 준비하고 자동화된 방식으로 데이터를 복사하기 위해 Data Box 서비스에서 디바이스 잠금 해제 암호에 대한 액세스를 관리하는 데도 도움이 됩니다. 디바이스 자체의 데이터는 Advanced Encryption Standard 256비트 암호화를 사용하여 미사용 상태로 이미 암호화되어 있으며, 디바이스 잠금 해제 암호는 기본적으로 Microsoft 관리형 키를 사용하여 암호화됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Data Factory
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Azure Data Factory 파이프라인은 허용된 도메인과만 통신해야 함 | 데이터 및 토큰 반출을 방지하려면 Azure Data Factory와 통신할 수 있는 도메인을 설정합니다. 참고: 공개 미리 보기에서는 이 정책에 대한 규정 준수가 보고되지 않습니다. 정책을 Data Factory에 적용하려면 ADF 스튜디오에서 아웃바운드 규칙 기능을 사용하도록 설정하세요. 자세한 내용은 https://aka.ms/data-exfiltration-policy을 참조하세요. | 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| Azure Data Factory는 고객 관리형 키로 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Data Factory의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/adf-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Data Factory 통합 런타임에는 코어 수 제한이 있어야 함 | 리소스 및 비용을 관리하려면 통합 런타임에 대한 코어 수를 제한합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Data Factory 연결된 서비스 리소스 종류가 허용 목록에 있어야 함 | Azure Data Factory 연결된 서비스 유형의 허용 목록을 정의합니다. 허용되는 리소스 종류를 제한하면 데이터 이동의 경계를 제어할 수 있습니다. 예를 들어 분석을 위해 Data Lake Storage Gen1 및 Gen2를 사용하는 Blob Storage만 허용하거나, 실시간 쿼리를 위해 SQL 및 Kusto 액세스만 허용하도록 범위를 제한합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Azure Data Factory 연결된 서비스는 비밀 저장에 Key Vault를 사용해야 함 | 비밀(예: 연결 문자열)을 안전하게 관리하려면 사용자가 연결된 서비스에서 인라인으로 지정하는 대신 Azure Key Vault를 사용하여 비밀을 제공해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Data Factory 연결된 서비스는 지원되는 경우 시스템 할당 관리 ID 인증을 사용해야 함 | 연결된 서비스를 통해 데이터 저장소와 통신할 때 시스템 할당 관리 ID를 사용하면 암호나 연결 문자열과 같은 덜 안전한 자격 증명을 사용하지 않아도 됩니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| Azure Data Factory는 소스 제어에 Git 리포지토리를 사용해야 함 | Git 통합으로 개발 Data Factory를 구성합니다. 테스트 및 프로덕션에 대한 변경 내용은 CI/CD를 통해 배포되어야 하며 Git 통합이 있어서는 안 됩니다. QA/테스트/프로덕션 데이터 팩터리에 이 정책을 적용하지 마세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Data Factory는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Data Factory에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/data-factory/data-factory-private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Data Factory 구성 | 공용 인터넷을 통해 액세스할 수 없도록 Data Factory에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/data-factory/data-factory-private-link에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| Azure Data Factory에 연결되는 프라이빗 엔드포인트에 대한 프라이빗 DNS 영역 구성 | 프라이빗 DNS 레코드는 프라이빗 엔드포인트에 대한 프라이빗 연결을 허용합니다. 프라이빗 엔드포인트 연결을 사용하면 원본 또는 대상에서 공용 IP 주소 없이 Azure Data Factory에 대한 프라이빗 연결을 활성화하여 보안 통신을 수행할 수 있습니다. Azure Data Factory의 프라이빗 엔드포인트 및 DNS 영역에 대한 자세한 내용은 https://docs.microsoft.com/azure/data-factory/data-factory-private-link를 참조하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Data Factory에 대한 프라이빗 엔드포인트 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Data Factory에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/data-factory/data-factory-private-link에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| Azure Data Factory에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure Data Factory에 액세스할 수 있어 보안이 향상됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Data Factory의 SQL Server Integration Services 통합 런타임을 가상 네트워크에 조인해야 함 | Azure Virtual Network를 배포하면 서브넷, 액세스 제어 정책, 추가로 액세스를 제어하는 기타 기능이 제공될 뿐만 아니라 Azure Data Factory에서 SQL Server Integration Services 통합 런타임에 대한 보안과 격리가 향상됩니다. | 감사, 거부, 사용 안 함 | 2.3.0 |
Data Lake
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Data Lake Store 계정에서 암호화 필요 | 이 정책은 모든 Data Lake Store 계정에서 암호화를 사용할 수 있도록 합니다. | deny | 1.0.0 |
| Azure Data Lake Store에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
| Data Lake Analytics의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
데스크톱 가상화
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Virtual Desktop 호스트 풀은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Azure Virtual Desktop 서비스에 대한 액세스가 공용 인터넷에 노출되지 않도록 하여 보안을 강화하고 데이터를 안전하게 유지합니다. https://aka.ms/avdprivatelink에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Virtual Desktop 호스트 풀은 세션 호스트에서만 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | Azure Virtual Desktop 호스트 풀 세션 호스트에 대한 공용 네트워크 액세스를 사용하지 않도록 설정하지만 최종 사용자에 대한 공용 액세스를 허용하면 공용 인터넷에 대한 노출을 제한하여 보안이 강화됩니다. https://aka.ms/avdprivatelink에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Virtual Desktop 서비스는 프라이빗 링크를 사용해야 함 | Azure Virtual Desktop 리소스와 함께 Azure Private Link를 사용하면 보안을 강화하고 데이터를 안전하게 유지할 수 있습니다. https://aka.ms/avdprivatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| Azure Virtual Desktop 작업 영역은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | Azure Virtual Desktop 작업 영역 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정하면 공용 인터넷을 통해 피드에 액세스할 수 없습니다. 프라이빗 네트워크 액세스만 허용하면 보안이 강화되고 데이터를 안전하게 유지할 수 있습니다. https://aka.ms/avdprivatelink에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 Azure Virtual Desktop 호스트 풀 리소스 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결하여 Azure Virtual Desktop 리소스로 확인합니다. https://aka.ms/privatednszone에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Azure Virtual Desktop 호스트 풀 구성 | 공용 인터넷을 통해 액세스할 수 없도록 Azure Virtual Desktop 호스트 풀 리소스에서 세션 호스트 및 최종 사용자에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이렇게 하면 보안이 강화되고 데이터가 안전하게 유지됩니다. https://aka.ms/avdprivatelink에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 세션 호스트에 대해서만 공용 네트워크 액세스를 사용하지 않도록 Azure Virtual Desktop 호스트 풀 구성 | Azure Virtual Desktop 호스트 풀 세션 호스트에 대한 공용 네트워크 액세스를 사용하지 않도록 설정하고 최종 사용자에 대한 공용 액세스를 허용합니다. 이를 통해 사용자는 프라이빗 경로를 통해서만 세션 호스트에 액세스할 수 있도록 하면서 AVD 서비스에 계속 액세스할 수 있습니다. https://aka.ms/avdprivatelink에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 사용하여 Azure Virtual Desktop 호스트 풀 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Virtual Desktop 리소스에 매핑하면 보안을 강화하고 데이터를 안전하게 유지할 수 있습니다. https://aka.ms/avdprivatelink에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 Azure Virtual Desktop 작업 영역 리소스 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결하여 Azure Virtual Desktop 리소스로 확인합니다. https://aka.ms/privatednszone에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Azure Virtual Desktop 작업 영역 구성 | 공용 인터넷을 통해 피드에 액세스할 수 없도록 Azure Virtual Desktop 작업 영역 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이렇게 하면 보안이 강화되고 데이터가 안전하게 유지됩니다. https://aka.ms/avdprivatelink에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 사용하여 Azure Virtual Desktop 작업 영역 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Virtual Desktop 리소스에 매핑하면 보안을 강화하고 데이터를 안전하게 유지할 수 있습니다. https://aka.ms/avdprivatelink에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
DevCenter
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Microsoft Dev Box 풀은 Microsoft 호스팅 네트워크를 사용해서는 안 됩니다. | 풀 리소스를 만들 때 Microsoft 호스트 네트워크의 사용을 허용하지 않습니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
ElasticSan
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| ElasticSan은 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 인터넷을 통해 액세스할 수 없도록 ElasticSan에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| ElasticSan 볼륨 그룹은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. | 고객 관리형 키를 사용하여 나머지 볼륨 그룹의 암호화를 관리합니다. 기본적으로 고객 데이터는 플랫폼 관리형 키로 암호화되지만, CMK는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 회전 및 관리를 포함하여 모든 권한과 책임으로 사용자가 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. | 감사, 사용 안 함 | 1.0.0 |
| ElasticSan 볼륨 그룹은 프라이빗 엔드포인트를 사용해야 합니다. | 프라이빗 엔드포인트를 사용하면 관리자는 원본 또는 대상의 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. 프라이빗 엔드포인트를 볼륨 그룹에 매핑함으로써 관리자는 데이터 유출 위험을 줄일 수 있습니다. | 감사, 사용 안 함 | 1.0.0 |
Event Grid
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Event Grid 도메인은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제한할 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Event Grid 도메인에는 로컬 인증 방법이 비활성화되어 있어야 함 | 로컬 인증 방법을 사용하지 않도록 설정하면 Azure Event Grid 도메인에서 인증 시 Azure Active Directory ID만 필요하므로 보안이 향상됩니다. https://aka.ms/aeg-disablelocalauth에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Event Grid 도메인은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Event Grid 도메인에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.2 |
| Azure Event Grid 네임스페이스 MQTT 브로커는 프라이빗 링크를 사용해야 합니다. | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스 대신 Event Grid 네임스페이스에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수도 있습니다. https://aka.ms/aeg-ns-privateendpoints에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| Azure Event Grid 네임스페이스 토픽 브로커는 프라이빗 링크를 사용해야 합니다. | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스 대신 Event Grid 네임스페이스에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수도 있습니다. https://aka.ms/aeg-ns-privateendpoints에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| Azure Event Grid 네임스페이스는 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제한할 수 있습니다. https://aka.ms/aeg-ns-privateendpoints에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Event Grid 파트너 네임스페이스에는 로컬 인증 방법이 비활성화되어 있어야 함 | 로컬 인증 방법을 사용하지 않도록 설정하면 Azure Event Grid 파트너 네임스페이스에서 인증 시 Azure Active Directory ID만 필요하므로 보안이 향상됩니다. https://aka.ms/aeg-disablelocalauth에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Event Grid 토픽은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제한할 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Event Grid 항목에는 로컬 인증 방법이 비활성화되어 있어야 함 | 로컬 인증 방법을 사용하지 않도록 설정하면 Azure Event Grid 토픽에서 인증 시 Azure Active Directory ID만 필요하므로 보안이 향상됩니다. https://aka.ms/aeg-disablelocalauth에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Event Grid 토픽은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Event Grid 토픽에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.2 |
| 로컬 인증을 사용하지 않도록 Azure Event Grid 도메인 구성 | Azure Event Grid 도메인에 인증을 위해 Azure Active Directory ID가 독점적으로 필요하도록 로컬 인증 방법을 사용하지 않도록 설정합니다. https://aka.ms/aeg-disablelocalauth에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트로 Azure Event Grid 네임스페이스 MQTT 브로커 구성 | 프라이빗 엔드포인트를 사용하면 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 엔드포인트를 리소스에 매핑하면 데이터 유출 위험으로부터 보호됩니다. https://aka.ms/aeg-ns-privateendpoints에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트로 Azure Event Grid 네임스페이스 구성 | 프라이빗 엔드포인트를 사용하면 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 엔드포인트를 리소스에 매핑하면 데이터 유출 위험으로부터 보호됩니다. https://aka.ms/aeg-ns-privateendpoints에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 로컬 인증을 사용하지 않도록 Azure Event Grid 파트너 네임스페이스 구성 | Azure Event Grid 파트너 네임스페이스에 인증을 위해 Azure Active Directory ID가 독점적으로 필요하도록 로컬 인증 방법을 사용하지 않도록 설정합니다. https://aka.ms/aeg-disablelocalauth에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 로컬 인증을 사용하지 않도록 Azure Event Grid 항목 구성 | Azure Event Grid 토픽에 인증을 위해 Azure Active Directory ID가 독점적으로 필요하도록 로컬 인증 방법을 사용하지 않도록 설정합니다. https://aka.ms/aeg-disablelocalauth에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 배포 - 프라이빗 DNS 영역을 사용하도록 Azure Event Grid 도메인 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. https://aka.ms/privatednszone에서 자세히 알아보세요. | deployIfNotExists, DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 배포 - 프라이빗 엔드포인트를 사용하여 Azure Event Grid 도메인 구성 | 프라이빗 엔드포인트를 사용하면 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 엔드포인트를 리소스에 매핑하면 데이터 유출 위험으로부터 보호됩니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 배포 - 프라이빗 DNS 영역을 사용하도록 Azure Event Grid 토픽 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. https://aka.ms/privatednszone에서 자세히 알아보세요. | deployIfNotExists, DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 배포 - 프라이빗 엔드포인트를 사용하여 Azure Event Grid 토픽 구성 | 프라이빗 엔드포인트를 사용하면 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 엔드포인트를 리소스에 매핑하면 데이터 유출 위험으로부터 보호됩니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 수정 - 공용 네트워크 액세스를 사용하지 않도록 Azure Event Grid 도메인 구성 | 공용 인터넷을 통해 액세스할 수 없도록 Azure Event Grid 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이렇게 하면 데이터 유출 위험으로부터 보호할 수 있습니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제한할 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 수정 - 공용 네트워크 액세스를 사용하지 않도록 Azure Event Grid 토픽 구성 | 공용 인터넷을 통해 액세스할 수 없도록 Azure Event Grid 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이렇게 하면 데이터 유출 위험으로부터 보호할 수 있습니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제한할 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
이벤트 허브
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| RootManageSharedAccessKey를 제외한 모든 권한 부여 규칙을 이벤트 허브 네임스페이스에서 제거해야 함 | 이벤트 허브 클라이언트는 네임스페이스의 모든 큐 및 토픽에 대한 액세스를 제공하는 네임스페이스 수준 액세스 정책을 사용하지 않아야 합니다. 최소 권한 보안 모델에 맞추려면 큐 및 토픽에 대한 엔터티 수준의 액세스 정책을 만들어 특정 엔터티에만 액세스를 제공해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 이벤트 허브 인스턴스의 권한 부여 규칙을 정의해야 함 | 최소 권한 액세스를 부여하기 위해 이벤트 허브 엔터티 권한 부여 규칙의 존재를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Event Hub 네임스페이스에 로컬 인증 방법을 사용하지 않도록 설정 | 로컬 인증 방법을 사용하지 않도록 설정하면 Azure Event Hubs 네임스페이스에 인증을 위해 Microsoft Entra ID ID가 제외적으로 필요하도록 하여 보안이 개선됩니다. https://aka.ms/disablelocalauth-eh에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 로컬 인증을 사용하지 않도록 Azure Event Hub 네임스페이스 구성 | Azure Event Hubs 네임스페이스가 인증을 위해 Microsoft Entra ID ID를 제외적으로 요구하도록 로컬 인증 방법을 사용하지 않도록 설정합니다. https://aka.ms/disablelocalauth-eh에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.1 |
| 프라이빗 DNS 영역을 사용하도록 Event Hub 네임스페이스 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Event Hub 네임스페이스로 확인됩니다. https://docs.microsoft.com/azure/event-hubs/private-link-service에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트로 Event Hub 네임스페이스 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Event Hub 네임스페이스에 매핑하면 데이터 누출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/event-hubs/private-link-service에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Event Hub 네임스페이스는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | Azure Event Hub는 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제한할 수 있습니다. https://docs.microsoft.com/azure/event-hubs/private-link-service에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 이벤트 허브 네임스페이스는 이중 암호화를 사용하도록 설정해야 합니다. | 이중 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. 이중 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 개의 다른 암호화 알고리즘과 두 개의 다른 키를 사용하여 두 번 암호화됩니다(서비스 수준에서 한 번, 인프라 수준에서 한 번). | 감사, 거부, 사용 안 함 | 1.0.0 |
| Event Hub 네임스페이스는 암호화에 고객 관리형 키를 사용해야 함 | Azure Event Hubs는 Microsoft 관리형 키(기본값) 또는 고객 관리형 키를 사용하여 미사용 데이터를 암호화하는 옵션을 지원합니다. 고객 관리형 키를 사용하여 데이터를 암호화하도록 선택하면 Event Hub가 네임스페이스의 데이터를 암호화하는 데 사용할 키에 대한 액세스 권한을 할당, 회전, 비활성화 및 취소할 수 있습니다. Event Hub는 전용 클러스터의 네임스페이스에 대해 고객 관리형 키를 사용한 암호화만 지원합니다. | 감사, 사용 안 함 | 1.0.0 |
| Event Hub 네임스페이스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Event Hub 네임스페이스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/event-hubs/private-link-service에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Event Hub의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Fluid Relay
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Fluid Relay는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Fluid Relay 서버의 나머지 부분에서 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, CMK는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 회전 및 관리를 포함하여 모든 권한과 책임으로 사용자가 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
일반
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 허용되는 위치 | 이 정책을 사용하면 조직에서 리소스를 배포할 때 지정할 수 있는 위치를 제한할 수 있습니다. 지역 규정 준수 요구 사항을 적용하는 데 사용합니다. 리소스 그룹, Microsoft.AzureActiveDirectory/b2cDirectories 및 '글로벌' 지역을 사용하는 리소스를 제외합니다. | deny | 1.0.0 |
| 리소스 그룹에 허용된 위치 | 이 정책을 통해 조직에서 리소스 그룹을 만들 수 있는 위치를 제한할 수 있습니다. 지역 규정 준수 요구 사항을 적용하는 데 사용합니다. | deny | 1.0.0 |
| 허용되는 리소스 유형 | 이 정책을 사용하면 조직에서 배포할 수 있는 리소스 유형을 지정할 수 있습니다. '태그' 및 '위치'를 지원하는 리소스 유형만 이 정책의 영향을 받습니다. 모든 리소스를 제한하려면 이 정책을 복제하고 '모드'를 '모두'로 변경하세요. | deny | 1.0.0 |
| 리소스 위치가 리소스 그룹 위치와 일치하는지 감사 | 리소스 위치가 리소스 그룹 위치와 일치하는지 감사 | 감사 | 2.0.0 |
| 사용자 지정 RBAC 역할의 사용량 감사 | 오류가 발생하기 쉬운 사용자 지정 RBAC 역할 대신 '소유자, 기여자, 읽기 권한자' 같은 기본 제공 역할을 감사합니다. 사용자 지정 역할 사용은 예외로 처리되며 엄격한 검토 및 위협 모델링이 필요합니다. | 감사, 사용 안 함 | 1.0.1 |
| 미리 보기 기능을 설정하려면 구독을 구성합니다. | 이 정책은 기존 구독의 미리 보기 기능을 평가합니다. 새로운 미리 보기 기능에 등록하기 위해 구독을 수정할 수 있습니다. 신규 구독은 자동으로 등록되지 않습니다. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 리소스 종류 삭제를 허용하지 않음 | 이 정책을 사용하면 거부 작업 효과를 사용하여 삭제 호출을 차단함으로써 조직이 실수로 삭제되지 않도록 보호할 수 있는 리소스 종류를 지정할 수 있습니다. | 거부 작업, 사용하지 않도록 설정됨 | 1.0.1 |
| M365 리소스 허용 안 함 | M365 리소스 만들기를 차단합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| MCPP 리소스 허용 안 함 | MCPP 리소스 만들기를 차단합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 사용 비용 리소스 제외 | 이 정책을 사용하면 사용 비용 리소스를 제외할 수 있습니다. 사용 비용에는 측정된 스토리지 및 사용량에 따라 요금이 청구되는 Azure 리소스 등이 포함됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 허용되지 않는 리소스 유형 | 사용자 환경에 배포할 수 있는 리소스 종류를 제한합니다. 리소스 종류를 제한하면 환경의 복잡성과 공격을 줄이는 동시에 비용을 관리할 수 있습니다. 규정 준수 결과는 비규격 리소스에 대해서만 표시됩니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
게스트 구성
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 사용자가 할당한 관리 ID를 추가하여 가상 머신에서 게스트 구성 할당 사용 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 가상 머신에 사용자가 할당한 관리 ID를 추가합니다. 사용자가 할당한 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 2.1.0-preview |
| [미리 보기]: 로컬 사용자를 사용하지 않도록 Windows Server 구성 | Windows Server에서 로컬 사용자 사용 안 함을 구성하기 위한 게스트 구성 할당을 만듭니다. 이렇게 하면 이 정책에서 명시적으로 허용된 사용자 목록이나 AAD(Azure Active Directory) 계정에서만 Windows Server에 액세스할 수 있으므로 전반적인 보안 태세가 향상됩니다. | DeployIfNotExists, 사용 안 함 | 1.2.0-preview |
| [미리 보기]: Windows Server 2012 Arc 컴퓨터에는 확장 보안 업데이트를 설치해야 합니다. | Windows Server 2012 Arc 컴퓨터에는 Microsoft에서 릴리스한 모든 확장 보안 업데이트가 설치되어 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Linux 머신은 Docker 호스트에 대한 Azure 보안 기준 요구 사항을 충족해야 합니다. | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Docker 호스트에 대한 Azure 보안 기준의 권장 사항 중 하나에 대해 컴퓨터가 올바르게 구성되지 않았습니다. | AuditIfNotExists, 사용 안 함 | 1.2.0-preview |
| [미리 보기]: Linux 머신이 Azure 컴퓨팅에 대한 STIG 규정 준수 요구 사항을 충족해야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 컴퓨터가 Azure 컴퓨팅에 대한 STIG 규정 준수 요구 사항의 권장 사항 중 하나에 대해 올바르게 구성되지 않은 경우 컴퓨터가 비준수입니다. DISA(국방정보체계국)는 DoD(국방부)에서 요구하는 컴퓨팅 OS 보안에 대한 기술 가이드인 STIG(보안 기술 구현 가이드)를 제공합니다. 자세한 내용은 https://public.cyber.mil/stigs/를 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.2.0-preview |
| [미리 보기]: OMI가 설치된 Linux 컴퓨터에 버전 1.6.8-1 이상이 있어야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Linux용 OMI 패키지 버전 1.6.8-1에 포함된 보안 수정으로 인해 모든 컴퓨터를 최신 릴리스로 업데이트해야 합니다. OMI를 사용하는 앱/패키지를 업그레이드하여 문제를 해결합니다. 자세한 내용은 https://aka.ms/omiguidance를 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.2.0-preview |
| [미리 보기]: Nexus Compute Machine은 보안 기준을 충족해야 합니다. | 감사를 위해 Azure Policy 게스트 구성 에이전트를 활용합니다. 이 정책은 다양한 취약성 및 안전하지 않은 구성(Linux에만 해당)으로부터 컴퓨터를 강화하도록 설계된 다양한 권장 사항을 포함하여 컴퓨터가 Nexus 컴퓨팅 보안 기준을 준수하도록 보장합니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 - 미리 보기 |
| [미리 보기]: Windows 컴퓨터가 Azure 컴퓨팅에 대한 STIG 규정 준수 요구 사항을 충족해야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 컴퓨터가 Azure 컴퓨팅에 대한 STIG 규정 준수 요구 사항의 권장 사항 중 하나에 대해 올바르게 구성되지 않은 경우 컴퓨터가 비준수입니다. DISA(국방정보체계국)는 DoD(국방부)에서 요구하는 컴퓨팅 OS 보안에 대한 기술 가이드인 STIG(보안 기술 구현 가이드)를 제공합니다. 자세한 내용은 https://public.cyber.mil/stigs/를 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 4.1.0 |
| 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 4.1.0 |
| 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| passwd 파일 권한이 0644로 설정되지 않은 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. passwd 파일 권한이 0644로 설정되지 않은 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| 지정된 애플리케이션이 설치되지 않은 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Chef InSpec 리소스에서 매개 변수에서 제공하는 하나 이상의 패키지가 설치되지 않았음을 나타내는 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 4.2.0 |
| 암호가 없는 계정이 있는 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호가 없는 계정이 있는 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| 지정된 애플리케이션이 설치되지 않은 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 하나 이상의 패키지가 설치되었음을 Chef InSpec 리소스가 나타내는 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 4.2.0 |
| 관리자 그룹에 지정된 구성원이 없는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 로컬 관리자 그룹에 정책 매개 변수에 나열된 구성원이 하나 이상 포함되어 있지 않은 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| Windows 머신 네트워크 연결 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. IP 및 TCP 포트에 대한 네트워크 연결 상태가 정책 매개 변수와 일치하지 않는 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| 비규격 DSC 구성의 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows PowerShell 명령 Get-DSCConfigurationStatus가 머신의 DSC 구성이 비규격으로 반환되는 경우 머신이 비규격입니다. | auditIfNotExists | 3.0.0 |
| Log Analytics 에이전트가 예상대로 연결되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 에이전트가 설치되지 않았거나 설치되었지만 정책 매개 변수에 지정된 ID 이외의 작업 영역에 등록된 COM 개체 AgentConfigManager.MgmtSvcCfg가 반환되는 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| 지정된 서비스가 설치되어 '실행 중'이지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows PowerShell 명령 Get-Service의 결과가 정책 매개 변수에 지정된 것과 일치하는 상태로 서비스 이름을 포함하지 않는 경우 머신은 비규격입니다. | auditIfNotExists | 3.0.0 |
| Windows 직렬 콘솔이 설정되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 머신에 직렬 콘솔 소프트웨어가 설치되어 있지 않거나 EMS 포트 번호 또는 전송 속도가 정책 매개 변수와 동일한 값으로 구성되지 않은 경우 머신은 비규격입니다. | auditIfNotExists | 3.0.0 |
| 지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있도록 허용하는 경우 머신은 비규격입니다. 고유 암호의 기본값은 24입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 지정한 도메인에 조인하지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. WMI 클래스 win32_computersystem의 도메인 속성 값이 정책 매개 변수의 값과 일치하지 않는 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| 지정한 표준 시간대로 설정되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. WMI 클래스 Win32_TimeZone의 StandardName 속성 값이 정책 매개 변수의 선택한 표준 시간대와 일치하지 않는 경우 머신은 비규격입니다. | auditIfNotExists | 3.0.0 |
| 지정한 기간(일) 내에 만료되는 인증서가 포함된 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 지정된 저장소에 있는 인증서의 만료 날짜가 매개 변수로 지정된 일 수에 대한 범위를 벗어나는 경우 머신은 비규격입니다. 또한 이 정책은 특정 인증서를 확인하거나 특정 인증서를 제외하는 옵션 및 만료된 인증서를 보고할지 여부를 제공합니다. | auditIfNotExists | 2.0.0 |
| 신뢰할 수 있는 루트에 지정한 인증서가 포함되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 머신의 신뢰할 수 있는 루트 인증서 저장소(Cert:\LocalMachine\Root)에 정책 매개 변수에 나열된 인증서 중 하나 이상이 포함되어 있지 않으면 머신은 비규격입니다. | auditIfNotExists | 3.0.0 |
| 최대 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최대 암호 사용 기간이 지정된 일 수로 설정되지 않은 경우 머신은 비규격입니다. 최대 암호 사용 기간의 기본값은 70일입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 최소 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최소 암호 사용 기간이 지정된 일 수로 설정되지 않은 경우 머신은 비규격입니다. 최소 암호 사용 기간의 기본값은 1일입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 암호 복잡성 설정이 활성화되지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호 복잡성 설정이 활성화되지 않는 Windows 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 지정한 Windows PowerShell 실행 정책이 없는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows PowerShell 명령 Get-ExecutionPolicy가 정책 매개 변수에서 선택한 값과 다른 값을 반환하는 경우 머신은 비준수입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 지정한 Windows PowerShell 모듈이 설치되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 환경 변수 PSModulePath에 지정된 위치에서 모듈을 사용할 수 없는 경우 머신은 비준수입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 암호 최소 길이를 지정된 문자 수로 제한하지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최소 암호 길이를 지정된 문자 수로 제한하지 않는 경우 머신은 비규격입니다. 최소 암호 길이에 대한 기본값은 14자입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 지정된 애플리케이션이 설치되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 다음 레지스트리 경로에서 애플리케이션 이름을 찾을 수 없는 경우 컴퓨터가 비준수입니다. HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall | auditIfNotExists | 2.0.0 |
| 관리자 그룹에 추가 계정이 있는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 로컬 관리자 그룹에 정책 매개 변수에 나열되지 않은 구성원이 포함된 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| 지정한 기간(일) 내에 다시 시작되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 클래스 Win32_Operatingsystem의 LastBootUpTime WMI 속성이 정책 매개 변수에서 제공하는 일 범위를 벗어나는 경우 머신이 비규격입니다. | auditIfNotExists | 2.0.0 |
| 지정된 애플리케이션이 설치된 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 애플리케이션 이름이 다음 레지스트리 경로 중 하나에 있으면 컴퓨터가 비준수입니다. HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall | auditIfNotExists | 2.0.0 |
| 관리자 그룹에 지정된 구성원이 있는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 로컬 관리자 그룹에 정책 매개 변수에 나열된 구성원이 하나 이상 포함된 경우 머신은 비규격입니다. | auditIfNotExists | 2.0.0 |
| 재부팅을 대기 중인 Windows VM 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 구성 요소 기반 서비스, Windows 업데이트, 보류 중인 파일 이름 바꾸기, 보류 중인 컴퓨터 이름 바꾸기, 구성 관리자의 다시 부팅 보류 중 등의 이유로 머신이 다시 부팅을 보류 중인 경우 머신은 비규격입니다. 각 검색에는 고유한 레지스트리 경로가 있습니다. | auditIfNotExists | 2.0.0 |
| Linux 머신에 대한 인증에 SSH 키가 필요함 | SSH 자체에서 암호화된 연결을 제공하지만 SSH와 함께 암호를 사용하면 VM은 여전히 무차별 암호 대입 공격에 취약합니다. SSH를 통해 Azure Linux 가상 머신에 인증하는 가장 안전한 옵션은 SSH 키라고도 하는 퍼블릭-프라이빗 키 쌍을 사용하는 것입니다. https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 3.2.0 |
| 로컬 사용자를 사용하지 않도록 Linux Server를 구성합니다. | 게스트 구성 할당을 만들어 Linux 서버에서 로컬 사용자를 사용하지 않도록 설정을 구성합니다. 이렇게 하면 이 정책에서 명시적으로 허용된 사용자 목록이나 AAD(Azure Active Directory) 계정에서만 Linux Server에 액세스할 수 있으므로 전반적인 보안 태세가 향상됩니다. | DeployIfNotExists, 사용 안 함 | 1.3.0-preview |
| Windows 컴퓨터에서 보안 통신 프로토콜(TLS 1.1 또는 TLS 1.2) 구성 | Windows 컴퓨터에서 지정된 보안 프로토콜 버전(TLS 1.1 또는 TLS 1.2)을 구성하는 게스트 구성 할당을 만듭니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| Windows 머신에서 표준 시간대를 구성합니다. | 이 정책은 Windows 가상 머신에서 지정된 표준 시간대를 설정하기 위한 게스트 구성 할당을 만듭니다. | deployIfNotExists | 2.1.0 |
| Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Linux 가상 머신에 Linux 게스트 구성 확장을 배포합니다. Linux 게스트 구성 확장은 모든 Linux 게스트 구성 할당의 필수 조건이며 Linux 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 3.1.0 |
| Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Windows 가상 머신에 Windows 게스트 구성 확장을 배포합니다. Windows 게스트 구성 확장은 모든 Windows 게스트 구성 할당의 필수 조건이며 Windows 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.2.0 |
| Linux 컴퓨터는 Azure Arc에 Log Analytics 에이전트가 설치되어 있어야 함 | Log Analytics 에이전트가 Azure Arc 지원 Linux 서버에 설치되어 있지 않으면 머신이 호환되지 않습니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
| Linux 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.2.0 |
| Linux 머신에는 허용되는 로컬 계정만 있어야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure Active Directory를 사용한 사용자 계정 관리는 ID 관리의 모범 사례입니다. 로컬 머신 계정을 줄이면 중앙 시스템 외부에서 관리되는 ID의 확산을 방지할 수 있습니다. 정책 매개 변수에 나열되지 않고 사용하도록 설정된 로컬 사용자 계정이 있는 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.2.0 |
| Linux 가상 머신은 Azure Disk Encryption 또는 EncryptionAtHost를 활성화해야 함 | 가상 머신의 OS 및 데이터 디스크는 기본적으로 플랫폼 관리형 키를 사용하여 저장 시 암호화됩니다. 리소스 디스크(임시 디스크), 데이터 캐시, 컴퓨팅 리소스와 스토리지 리소스 사이의 데이터 흐름은 암호화되지 않습니다. Azure Disk Encryption 또는 EncryptionAtHost를 사용하여 문제를 수정합니다. 암호화 제품을 비교하려면 https://aka.ms/diskencryptioncomparison을 방문하세요. 이 정책을 사용하려면 정책 할당 범위에 두 가지 필수 구성 요소를 배포해야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.2.1 |
| Linux 머신에서 로컬 인증 방법을 사용하지 않도록 설정해야 합니다. | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Linux 서버에서 로컬 인증 방법을 사용하지 않도록 설정하지 않은 경우 컴퓨터는 호환되지 않습니다. 이는 AAD(Azure Active Directory) 계정 또는 이 정책에 의해 명시적으로 허용된 사용자 목록에서만 Linux 서버에 액세스할 수 있는지 유효성을 검사하여 전반적인 보안 태세를 개선합니다. | AuditIfNotExists, 사용 안 함 | 1.2.0-preview |
| Windows 서버에서 로컬 인증 방법을 사용하지 않도록 설정해야 합니다. | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 서버에서 로컬 인증 방법을 사용하지 않도록 설정하지 않은 경우 컴퓨터는 호환되지 않습니다. 이는 AAD(Azure Active Directory) 계정 또는 이 정책에 의해 명시적으로 허용된 사용자 목록에서만 Windows 서버에 액세스할 수 있는지 유효성을 검사하여 전반적인 보안 태세를 개선합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| 게스트 구성 할당에 프라이빗 엔드포인트를 사용해야 함 | 프라이빗 엔드포인트 연결은 가상 머신에 대한 게스트 구성에 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. 'EnablePrivateNetworkGC' 태그가 있는 경우를 제외하고는 가상 머신은 호환되지 않습니다. 이 태그는 Virtual Machines에 대한 게스트 구성에 대해 프라이빗 연결을 통해 보안 통신을 적용합니다. 프라이빗 연결은 알려진 네트워크에서 들어오는 트래픽에 대한 액세스를 제한하고 Azure 내부를 비롯한 다른 IP 주소의 액세스를 차단합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 사용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에서 일반적으로 사용되는 동작을 차단하면서 기업에서 보안 위험과 생산성 요구 사항 사이의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다(Windows에만 해당). | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 컴퓨터에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 컴퓨터 간 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. | AuditIfNotExists, 사용 안 함 | 4.1.1 |
| Windows 머신은 하루 안에 보호 서명을 업데이트하도록 Windows Defender를 구성해야 함 | 새로 릴리스된 맬웨어를 적절하게 보호하려면 새로 릴리스된 맬웨어를 고려하도록 Windows Defender 보호 서명을 정기적으로 업데이트해야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Windows 시스템은 Windows Defender 실시간 보호를 사용해야 함 | Windows 머신은 새로 릴리스된 맬웨어를 적절하게 보호하도록 Windows Defender의 실시간 보호를 사용해야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Windows 컴퓨터는 Azure Arc에 Log Analytics 에이전트가 설치되어 있어야 함 | Log Analytics 에이전트가 Azure Arc 지원 Windows 서버에 설치되어 있지 않으면 머신이 호환되지 않습니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| Windows 머신은 '관리 템플릿 - 제어판'에 대한 요구 사항을 충족해야 함 | Windows 머신에는 입력 개인 설정 및 잠금 화면 활성화 방지를 위해 '관리 템플릿 - 제어판' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '관리 템플릿 - MSS(레거시)'에 대한 요구 사항을 충족해야 함 | Windows 머신에는 자동 로그온, 화면 보호기, 네트워크 동작, 안전 DLL 및 이벤트 로그를 위해 '관리 템플릿 - MSS(레거시)' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '관리 템플릿 - 네트워크'에 대한 요구 사항을 충족해야 함 | Windows 머신에는 게스트 로그온, 동시 연결, 네트워크 브리지, ICS 및 멀티캐스트 이름 확인을 위해 '관리 템플릿 - 네트워크' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '관리 템플릿 - 시스템'에 대한 요구 사항을 충족해야 함 | Windows 머신에는 관리 환경과 원격 지원을 제어하는 설정을 위해 '관리 템플릿 - 시스템' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 옵션 - 계정'에 대한 요구 사항을 충족해야 함 | Windows 컴퓨터에는 빈 암호 및 게스트 계정 상태의 로컬 계정 사용을 제한하는 그룹 정책 설정이 '보안 옵션 - 계정' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 컴퓨터는 '보안 옵션 - 감사' 요구 사항을 충족해야 함 | Windows 컴퓨터에는 감사 정책 하위 범주를 강제로 적용하고 보안 감사를 기록할 수 없는 경우 종료하는 그룹 정책 설정이 '보안 옵션 - 감사' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 옵션 - 디바이스'에 대한 요구 사항을 충족해야 함 | Windows 머신에서 로그온하지 않고 도킹 해제, 프린트 드라이버 설치 및 미디어 포맷/꺼내기를 사용하려면 '보안 옵션 - 디바이스' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 옵션 - 대화형 로그온'에 대한 요구 사항을 충족해야 함 | Windows 머신에서 마지막 사용자 이름을 표시하고 ctrl-alt-del을 요구하려면 '보안 옵션 - 대화형 로그온' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되었어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 옵션 - Microsoft 네트워크 클라이언트'에 대한 요구 사항을 충족해야 함 | Windows 머신에서 Microsoft 네트워크 클라이언트/서버 및 SMB v1을 사용하려면 '보안 옵션 - Microsoft 네트워크 클라이언트' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 컴퓨터는 '보안 옵션 - Microsoft 네트워크 서버' 요구 사항을 충족해야 함 | Windows 컴퓨터에는 SMB v1 서버를 사용하지 않도록 설정하는 그룹 정책 설정이 '보안 옵션 - Microsoft 네트워크 서버' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 컴퓨터는 '보안 옵션 - 네트워크 액세스' 요구 사항을 충족해야 함 | Windows 컴퓨터에는 익명 사용자, 로컬 계정 및 레지스트리에 대한 원격 액세스에 대한 액세스를 포함하는 그룹 정책 설정이 '보안 옵션 - 네트워크 액세스' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 옵션 - 네트워크 보안'에 대한 요구 사항을 충족해야 함 | Windows 머신에는 로컬 시스템 동작, PKU2U, LAN Manager, LDAP 클라이언트 및 NTLM SSP를 포함하는 '보안 옵션 - 네트워크 보안' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 컴퓨터는 '보안 옵션 - 복구 콘솔' 요구 사항을 충족해야 함 | Windows 컴퓨터에는 모든 드라이브와 폴더에 대한 플로피 복사 및 액세스를 허용하는 그룹 정책 설정이 '보안 옵션 - 복구 콘솔' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 옵션 - 종료'에 대한 요구 사항을 충족해야 함 | Windows 머신에서 로그온하거나 가상 메모리 페이지 파일을 지우지 않은 상태에서 종료를 허용하려면 '보안 옵션 - 종료' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 옵션 - 시스템 개체'에 대한 요구 사항을 충족해야 함 | Windows 머신에서 비 Windows 하위 시스템의 대/소문자 비구분 및 내부 시스템 개체의 권한을 얻으려면 '보안 옵션 - 시스템 개체' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 옵션 - 시스템 설정'에 대한 요구 사항을 충족해야 함 | Windows 머신에서 SRP 및 선택적 하위 시스템의 실행 파일에 대한 인증서 규칙을 사용하려면 '보안 옵션 - 시스템 설정' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 컴퓨터는 '보안 옵션 - 사용자 계정 컨트롤' 요구 사항을 충족해야 함 | Windows 컴퓨터에는 관리자 모드, 권한 상승 프롬프트 동작, 파일 및 레지스트리 쓰기 오류 가상화에 대한 그룹 정책 설정이 '보안 옵션 - 사용자 계정 컨트롤' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '보안 설정 - 계정 정책'에 대한 요구 사항을 충족해야 함 | Windows 머신에서 암호 기록, 사용 기간, 길이, 복잡성 및 해독 가능한 암호화를 사용한 암호를 저장하려면 '보안 설정 - 계정 정책' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '시스템 감사 정책 - 계정 로그온'의 요구 사항을 충족해야 함 | Windows 머신에서 자격 증명 유효성 검사 및 기타 계정 로그온 이벤트를 감사하려면 '시스템 감사 정책 - 계정 로그온' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '시스템 감사 정책 - 계정 관리'의 요구 사항을 충족해야 함 | Windows 컴퓨터에는 애플리케이션, 보안, 사용자 그룹 관리 및 기타 관리 이벤트를 감사하는 그룹 정책 설정이 '시스템 감사 정책 - 계정 관리' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '시스템 감사 정책 - 상세 추적'에 대한 요구 사항을 충족해야 함 | Windows 컴퓨터에는 DPAPI, 프로세스 만들기/종료, RPC 이벤트 및 PNP 활동을 감사하는 그룹 정책 설정이 '시스템 감사 정책 - 세부 추적' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '시스템 감사 정책 - 로그온-로그오프'의 요구 사항을 충족해야 함 | Windows 머신에서 IPSec, 네트워크 정책, 클레임, 계정 잠금, 그룹 멤버 자격 및 로그온/로그오프 이벤트를 감사하려면 '시스템 감사 정책 - 로그온-로그오프' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '시스템 감사 정책 - 개체 액세스'의 요구 사항을 충족해야 함 | Windows 머신에서 파일, 레지스트리, SAM, 스토리지, 필터링, 커널 및 기타 시스템 유형을 감사하려면 '시스템 감사 정책 - 개체 액세스' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '시스템 감사 정책 - 정책 변경'의 요구 사항을 충족해야 함 | Windows 머신에서 시스템 감사 정책에 대한 변경 내용을 감사하려면 '시스템 감사 정책 - 정책 변경' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '시스템 감사 정책 - 권한 사용'의 요구 사항을 충족해야 함 | Windows 머신에서 중요하지 않은 권한 사용 및 기타 권한 사용을 감사하려면 '시스템 감사 정책 - 권한 사용' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '시스템 감사 정책 - 시스템'의 요구 사항을 충족해야 함 | Windows 머신에서 IPsec 드라이버, 시스템 무결성, 시스템 확장, 상태 변경 및 기타 시스템 이벤트를 감사하려면 '시스템 감사 정책 - 시스템' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 '사용자 권한 할당'에 대한 요구 사항을 충족해야 함 | Windows 컴퓨터에는 로컬 로그온, RDP, 네트워크 액세스 및 기타 다양한 사용자 활동을 허용하는 그룹 정책 설정이 '사용자 권한 할당' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 'Windows 구성 요소'의 요구 사항을 충족해야 함 | Windows 머신에서 기본 인증, 암호화된 트래픽, Microsoft 계정, 원격 분석, Cortana 및 기타 Windows 동작을 사용하려면 'Windows 구성 요소' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 컴퓨터는 'Windows 방화벽 속성' 요구 사항을 충족해야 함 | Windows 컴퓨터에는 방화벽 상태, 연결, 규칙 관리 및 알림에 대한 그룹 정책 설정이 'Windows 방화벽 속성' 범주에 지정되어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Windows 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| Windows 머신에는 허용되는 로컬 계정만 있어야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 이 정의는 Windows Server 2012 또는 2012 R2에서 지원되지 않습니다. Azure Active Directory를 사용한 사용자 계정 관리는 ID 관리의 모범 사례입니다. 로컬 머신 계정을 줄이면 중앙 시스템 외부에서 관리되는 ID의 확산을 방지할 수 있습니다. 정책 매개 변수에 나열되지 않고 사용하도록 설정된 로컬 사용자 계정이 있는 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| Windows 시스템은 Windows Defender가 매일 예약된 검사를 수행하도록 예약해야 함 | 맬웨어를 즉각적으로 검색하고 시스템에 미치는 영향을 최소화하려면 Windows Defender가 있는 Windows 시스템으로 매일 검사를 예약하는 것이 좋습니다. Windows Defender가 지원되고, 디바이스에 미리 설치되고, 게스트 구성 필수 구성 요소가 배포되었는지 확인하세요. 이러한 요구 사항을 충족하지 못하면 평가 결과가 부정확해질 수 있습니다. https://aka.ms/gcpol에서 게스트 구성에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.2.0 |
| Windows 시스템은 기본 NTP 서버를 사용해야 함 | 'time.windows.com'을 모든 Windows 시스템의 기본 NTP 서버로 설정하여 모든 시스템의 로그에 동기화된 시스템 시계가 있는지 확인합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되어 있어야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Windows 가상 머신은 Azure Disk Encryption 또는 EncryptionAtHost를 활성화해야 함 | 가상 머신의 OS 및 데이터 디스크는 기본적으로 플랫폼 관리형 키를 사용하여 저장 시 암호화됩니다. 리소스 디스크(임시 디스크), 데이터 캐시, 컴퓨팅 리소스와 스토리지 리소스 사이의 데이터 흐름은 암호화되지 않습니다. Azure Disk Encryption 또는 EncryptionAtHost를 사용하여 문제를 수정합니다. 암호화 제품을 비교하려면 https://aka.ms/diskencryptioncomparison을 방문하세요. 이 정책을 사용하려면 정책 할당 범위에 두 가지 필수 구성 요소를 배포해야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.1.1 |
HDInsight
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure HDInsight 클러스터는 가상 네트워크에 삽입되어야 함 | 가상 네트워크에 Azure HDInsight 클러스터를 삽입하면 고급 HDInsight 네트워킹 및 보안 기능의 잠금이 해제되며 네트워크 보안 구성을 제어할 수 있습니다. | 감사, 사용 안 함, 거부 | 1.0.0 |
| Azure HDInsight 클러스터는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure HDInsight 클러스터의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/hdi.cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure HDInsight 클러스터는 호스트에서 암호화를 사용하여 미사용 데이터를 암호화해야 함 | 호스트에서 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. 호스트에서 암호화를 사용하도록 설정하면 VM 호스트에 저장된 데이터는 미사용 및 스토리지 서비스로 암호화된 흐름으로 암호화됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure HDInsight 클러스터는 전송 중 암호화를 사용하여 Azure HDInsight 클러스터 노드 간 통신을 암호화해야 함 | 데이터는 Azure HDInsight 클러스터 노드 간 전송 중에 변조될 수 있습니다. 전송 중 암호화를 사용하도록 설정하면 전송 중 오용 및 변조 문제가 해결됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure HDInsight는 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure HDInsight 클러스터에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/hdi.pl에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 Azure HDInsight 클러스터 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Azure HDInsight 클러스터로 확인됩니다. https://aka.ms/hdi.pl에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트가 있는 Azure HDInsight 클러스터 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure HDInsight 클러스터에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/hdi.pl에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
Health Bot
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Health Bot은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | CMK(고객 관리형 키)를 사용하여 헬스봇의 나머지 데이터 암호화를 관리합니다. 기본적으로 데이터는 서비스 관리형 키로 암호화되어 있지만 일반적으로 규정 준수 표준을 충족하려면 CMK가 필요합니다. CMK를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://docs.microsoft.com/azure/health-bot/cmk에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
Health Data Services 작업 영역
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Health Data Services 작업 영역은 프라이빗 링크를 사용해야 함 | Health Data Services 작업 영역에는 승인된 프라이빗 엔드포인트 연결이 하나 이상 있어야 합니다. 가상 네트워크의 클라이언트는 프라이빗 링크를 통해 프라이빗 엔드포인트 연결이 있는 리소스에 안전하게 액세스할 수 있습니다. 자세한 내용은 https://aka.ms/healthcareapisprivatelink를 방문하세요. | 감사, 사용 안 함 | 1.0.0 |
Healthcare API
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| CORS에서 모든 도메인이 FHIR Service에 액세스하도록 허용하지 않아야 함 | CORS(교차 원본 리소스 공유)는 FHIR Service에 액세스하는 모든 도메인을 허용하지 않아야 합니다. FHIR Service를 보호하려면 모든 도메인에 대한 액세스를 제거하고 연결할 수 있는 도메인을 명시적으로 정의합니다. | 감사, 사용 안 함 | 1.1.0 |
| DICOM 서비스는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. | 규정 또는 규정 준수 요구 사항인 경우 고객 관리형 키를 사용하여 Azure Health Data Services DICOM 서비스에 저장된 나머지 데이터의 암호화를 제어합니다. 또한 고객 관리형 키는 서비스 관리형 키를 사용하여 수행되는 기본 암호화 계층 위에 두 번째 암호화 계층을 추가하여 이중 암호화를 제공합니다. | 감사, 사용 안 함 | 1.0.0 |
| FHIR 서비스는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. | 규정 또는 규정 준수 요구 사항인 경우 고객 관리형 키를 사용하여 Azure Health Data Services FHIR 서비스에 저장된 나머지 데이터의 암호화를 제어합니다. 또한 고객 관리형 키는 서비스 관리형 키를 사용하여 수행되는 기본 암호화 계층 위에 두 번째 암호화 계층을 추가하여 이중 암호화를 제공합니다. | 감사, 사용 안 함 | 1.0.0 |
사물 인터넷
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Azure IoT Hub는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 IoT Hub에서 미사용 데이터를 암호화하면 기본 서비스 관리형 키 위에 두 번째 암호화 계층이 추가되고, 키에 대한 고객 제어, 사용자 지정 회전 정책 및 키 액세스 제어를 통해 데이터에 대한 액세스를 관리할 수 있습니다. IoT Hub를 만드는 동안 고객 관리형 키를 구성해야 합니다. 고객 관리형 키를 구성하는 방법에 대한 자세한 내용은 https://aka.ms/iotcmk를 구성해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: IoT Hub 디바이스 프로비저닝 서비스 데이터는 CMK(고객 관리형 키)를 사용하여 암호화되어야 함 | 고객 관리형 키를 사용하여 IoT Hub 디바이스 프로비저닝 서비스의 미사용 데이터 암호화를 관리합니다. 데이터는 서비스 관리형 키를 사용하여 자동으로 미사용 데이터가 암호화되지만, CMK(고객 관리형 키)는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. CMK를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. https://aka.ms/dps/CMK에서 CMK 암호화에 대해 자세히 알아봅니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| Azure Device Update 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. | 고객 관리형 키를 사용하여 Azure Device Update에서 미사용 데이터를 암호화하면 기본 서비스 관리형 키 위에 두 번째 암호화 계층이 추가되고, 키에 대한 고객 제어, 사용자 지정 회전 정책 및 키 액세스 제어를 통해 데이터에 대한 액세스를 관리할 수 있습니다. https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Device Update for IoT Hub 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Device Update for IoT Hub 계정에 매핑하면 데이터 유출 위험이 감소합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure IoT Hub는 Service Api에 대해 로컬 인증 방법을 사용하지 않도록 설정해야 함 | 로컬 인증 방법을 사용하지 않도록 설정하면 Azure IoT Hub에서 Service Api 인증을 위해 Azure Active Directory ID만 필요하므로 보안이 향상됩니다. https://aka.ms/iothubdisablelocalauth에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Azure Device Update for IoT Hub 계정 구성 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Device Update for IoT Hub에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 정책은 Device Update for IoT Hub 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 Azure Device Update for IoT Hub 계정 구성 | Azure 프라이빗 DNS는 사용자 지정 DNS 솔루션을 추가하지 않고도 가상 네트워크의 도메인 이름을 관리하고 확인할 수 있는 안정적이고 신뢰할 수 있는 DNS 서비스를 제공합니다. 프라이빗 DNS 영역을 통해 프라이빗 엔드포인트에 대한 자체 사용자 지정 도메인 이름을 사용하여 DNS 확인을 재정의할 수 있습니다. 이 정책은 Device Update for IoT Hub 프라이빗 엔드포인트에 대한 프라이빗 DNS 영역을 배포합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 사용하여 Azure Device Update for IoT Hub 계정 구성 | 프라이빗 엔드포인트는 Azure 리소스에 연결할 수 있는 고객 소유 가상 네트워크 내에 할당된 프라이빗 IP 주소입니다. 이 정책은 Device Update for IoT Hub에 대한 프라이빗 엔드포인트를 배포하여 트래픽을 IoT Hub의 퍼블릭 엔드포인트에 보내지 않고도 가상 네트워크 내의 서비스에서 이 리소스에 도달할 수 있도록 합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 로컬 인증을 사용하지 않도록 Azure IoT Hub 구성 | Azure IoT Hub에 인증을 위해 Azure Active Directory ID가 독점적으로 필요하도록 로컬 인증 방법을 사용하지 않도록 설정합니다. https://aka.ms/iothubdisablelocalauth에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 IoT Hub 디바이스 프로비저닝 인스턴스 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결하여 IoT Hub 디바이스 프로비저닝 서비스 인스턴스로 확인합니다. https://aka.ms/iotdpsvnet에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 IoT Hub 디바이스 프로비저닝 서비스 인스턴스 구성 | 공용 인터넷을 통해 액세스할 수 없도록 IoT Hub 디바이스 프로비저닝 인스턴스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/iotdpsvnet에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트로 IoT Hub 디바이스 프로비저닝 서비스 인스턴스 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 IoT Hub 디바이스 프로비저닝 서비스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/iotdpsvnet에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 배포 - 프라이빗 DNS 영역을 사용하도록 Azure IoT Hubs 구성 | Azure 프라이빗 DNS는 사용자 지정 DNS 솔루션을 추가하지 않고도 가상 네트워크의 도메인 이름을 관리하고 확인할 수 있는 안정적이고 신뢰할 수 있는 DNS 서비스를 제공합니다. 프라이빗 DNS 영역을 통해 프라이빗 엔드포인트에 대한 자체 사용자 지정 도메인 이름을 사용하여 DNS 확인을 재정의할 수 있습니다. 이 정책은 IoT Hub 프라이빗 엔드포인트에 대한 프라이빗 DNS 영역을 배포합니다. | deployIfNotExists, DeployIfNotExists, 사용 안 함, 사용 안 함 | 1.1.0 |
| 배포 - 프라이빗 엔드포인트를 사용하여 Azure IoT Hubs 구성 | 프라이빗 엔드포인트는 Azure 리소스에 연결할 수 있는 고객 소유 가상 네트워크 내에 할당된 프라이빗 IP 주소입니다. 이 정책은 IoT 허브에 프라이빗 엔드포인트를 배포하여 트래픽을 IoT Hub의 퍼블릭 엔드포인트로 보내지 않아도 가상 네트워크 내의 서비스가 IoT Hub에 도달할 수 있도록 합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 배포 - 프라이빗 DNS 영역을 사용하도록 IoT Central 구성 | Azure 프라이빗 DNS는 사용자 지정 DNS 솔루션을 추가하지 않고도 가상 네트워크의 도메인 이름을 관리하고 확인할 수 있는 안정적이고 신뢰할 수 있는 DNS 서비스를 제공합니다. 프라이빗 DNS 영역을 통해 프라이빗 엔드포인트에 대한 자체 사용자 지정 도메인 이름을 사용하여 DNS 확인을 재정의할 수 있습니다. 이 정책은 IoT Central 프라이빗 엔드포인트에 대한 프라이빗 DNS 영역을 배포합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 배포 - 프라이빗 엔드포인트를 사용하여 IoT Central 구성 | 프라이빗 엔드포인트는 Azure 리소스에 연결할 수 있는 고객 소유 가상 네트워크 내에 할당된 프라이빗 IP 주소입니다. 이 정책은 IoT Central의 프라이빗 엔드포인트를 배포하여 트래픽을 IoT Central의 공용 엔드포인트로 보낼 필요 없이 가상 네트워크 내부의 서비스가 IoT Central에 도달할 수 있도록 합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| IoT Central 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스 대신 IoT Central 애플리케이션에 프라이빗 엔드포인트를 매핑하여 데이터 누출 위험을 줄일 수 있습니다. https://aka.ms/iotcentral-network-security-using-pe에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| IoT Hub 디바이스 프로비저닝 서비스 인스턴스는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 IoT Hub 디바이스 프로비저닝 서비스 인스턴스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 IoT Hub 디바이스 프로비저닝 인스턴스의 노출을 제한할 수 있습니다. https://aka.ms/iotdpsvnet에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| IoT Hub 디바이스 프로비저닝 서비스 인스턴스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 IoT Hub 디바이스 프로비저닝 서비스에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/iotdpsvnet에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| 수정 - 공용 네트워크 액세스를 사용하지 않도록 Azure IoT Hubs 구성 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure IoT Hub에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 정책은 IoT Hub 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. | 수정, 사용 안 함 | 1.0.0 |
| 수정 - 공용 네트워크 액세스를 사용하지 않도록 IoT Central 구성 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 IoT Central이 프라이빗 엔드포인트에서만 액세스할 수 있도록 하여 보안이 개선됩니다. 이 정책은 IoT Hub 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. | 수정, 사용 안 함 | 1.0.0 |
| IoT Hub의 프라이빗 엔드포인트를 사용하도록 설정해야 함 | 프라이빗 엔드포인트 연결은 IoT Hub에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 적용합니다. 알려진 네트워크에서 들어오는 트래픽에만 액세스할 수 있고 Azure 내부를 비롯한 다른 IP 주소의 액세스를 차단하도록 프라이빗 엔드포인트 연결을 구성합니다. | 감사, 사용 안 함 | 1.0.0 |
| Azure Device Update for IoT Hub 계정에 대한 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure Device Update for IoT Hub 계정에 액세스할 수 있도록 하여 보안이 향상됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure IoT Hub의 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure IoT Hub에 액세스할 수 있도록 하여 보안이 향상됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| IoT Central에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | IoT Central의 보안을 개선시키려면 공용 인터넷에 노출되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. https://aka.ms/iotcentral-restrict-public-access에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| IoT Hub에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
Key Vault
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Azure Key Vault 관리형 HSM 키에는 만료 날짜가 있어야 함 | 미리 보기에서 이 정책을 사용하려면 먼저 https://aka.ms/mhsmgovernance에서 다음 지침을 따라야 합니다. 암호화 키에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 키는 잠재적인 공격자에게 키를 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 암호화 키에 대한 만료 날짜를 설정하는 것이 좋습니다. | 감사, 거부, 사용 안 함 | 1.0.1 - 미리 보기 |
| [미리 보기]: Azure Key Vault 관리형 HSM 키에는 지정된 만료 전 기간(일)보다 긴 기간이 있어야 함 | 미리 보기에서 이 정책을 사용하려면 먼저 https://aka.ms/mhsmgovernance에서 다음 지침을 따라야 합니다. 키가 만료에 너무 가까운 경우 조직에서 키 회전 지연이 발생하여 운영이 중단될 수 있습니다. 키는 오류에 대응할 수 있는 충분한 시간을 제공하기 위해 만료 전 지정된 일 수에서 회전되어야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 - 미리 보기 |
| [미리 보기]: 타원 곡선 암호화를 사용하는 Azure Key Vault 관리되는 HSM 키에는 지정된 곡선 이름이 있어야 함 | 미리 보기에서 이 정책을 사용하려면 먼저 https://aka.ms/mhsmgovernance에서 다음 지침을 따라야 합니다. 타원 곡선 암호화로 지원되는 키는 다른 곡선 이름을 사용할 수 있습니다. 일부 애플리케이션은 특정 타원 곡선 키와만 호환됩니다. 환경에서 만들 수 있는 타원 곡선 키 유형을 적용합니다. | 감사, 거부, 사용 안 함 | 1.0.1 - 미리 보기 |
| [미리 보기]: RSA 암호화를 사용하는 Azure Key Vault 관리형 HSM 키에는 지정된 최소 키 크기가 있어야 함 | 미리 보기에서 이 정책을 사용하려면 먼저 https://aka.ms/mhsmgovernance에서 다음 지침을 따라야 합니다. 키 자격 증명 모음에 사용하는 데 허용되는 최소 키 크기를 설정합니다. 작은 키 크기의 RSA 키를 사용하는 것은 안전한 방법이 아니며 많은 업계 인증 요구 사항을 충족하지 않습니다. | 감사, 거부, 사용 안 함 | 1.0.1 - 미리 보기 |
| [미리 보기]: Azure Key Vault 관리되는 HSM에서 공용 네트워크 액세스를 사용할 수 없음 | 공용 인터넷을 통해 액세스할 수 없도록 Azure Key Vault 관리되는 HSM에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Key Vault 관리되는 HSM은 프라이빗 링크를 사용해야 합니다. | 프라이빗 링크는 공용 인터넷을 통해 트래픽을 보내지 않고 Azure Key Vault 관리되는 HSM을 Azure 리소스에 연결하는 방법을 제공합니다. 프라이빗 링크는 데이터 반출에 대한 심층 방어 기능을 제공합니다. https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 인증서는 지정된 비통합 인증 기관 중 하나에서 발급되어야 합니다. | 키 자격 증명 모음에 인증서를 발급할 수 있는 사용자 지정 또는 내부 인증 기관을 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 공용 네트워크 액세스를 사용하지 않도록 Azure Key Vault Managed HSM 구성 | 공용 인터넷을 통해 액세스할 수 없도록 Azure Key Vault 관리되는 HSM에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm에서 자세히 알아보세요. | 수정, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: 프라이빗 엔드포인트로 Azure Key Vault 관리되는 HSM 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Key Vault 관리되는 HSM에 매핑하여 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| Azure Key Vault Managed HSM에 제거 방지를 사용하도록 설정해야 함 | Azure Key Vault Managed HSM을 악의적으로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 조직의 악의적인 내부자가 잠재적으로 Azure Key Vault Managed HSM을 삭제하고 제거할 수 있습니다. 제거 보호는 일시 삭제된 Azure Key Vault Managed HSM에 대해 필수 보존 기간을 적용하여 내부자 공격으로부터 보호합니다. 일시 삭제 보존 기간 동안에는 조직 또는 Microsoft 내부의 어느 누구도 Azure Key Vault Managed HSM을 제거할 수 없습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Key Vault에서 공용 네트워크 액세스를 사용할 수 없음 | 공용 인터넷을 통해 액세스할 수 없도록 키 자격 증명 모음에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/akvprivatelink에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Azure Key Vault에는 방화벽이 활성화되어 있어야 합니다. | 키 자격 증명 모음이 기본적으로 공용 IP에 액세스할 수 없도록 키 자격 증명 모음 방화벽을 사용하도록 설정합니다. 필요에 따라, 특정 IP 범위를 구성하여 해당 네트워크에 대한 액세스를 제한할 수 있습니다. https://docs.microsoft.com/azure/key-vault/general/network-security에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 3.2.1 |
| Azure Key Vault에서 RBAC 권한 모델을 사용해야 함 | Key Vault 전반에서 RBAC 권한 모델을 사용하도록 설정합니다. https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Key Vault에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 키 자격 증명 모음에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/akvprivatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | [parameters('audit_effect')] | 1.2.1 |
| 인증서는 지정된 통합 인증 기관에서 발급해야 함 | Digicert 또는 GlobalSign과 같은 키 자격 증명 모음에 인증서를 발급할 수 있는 Azure 통합 인증 기관을 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| 인증서는 지정된 비통합 인증 기관에서 발급해야 함 | 키 자격 증명 모음에 인증서를 발급할 수 있는 사용자 지정 또는 내부 인증 기관을 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.1.1 |
| 인증서에 지정된 수명 작업 트리거가 있어야 함 | 특정 수명 백분율 또는 만료 전 특정 기간(일)에 인증서 수명 작업이 트리거되는지 여부를 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| 인증서에 지정된 최대 유효 기간이 있어야 함 | 키 자격 증명 모음 내에서 인증서가 유효한 최대 시간을 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.2.1 |
| 인증서가 지정된 기간(일) 내에 만료되지 않아야 함 | 지정된 기간(일) 내에 만료될 인증서를 관리하여 조직에서 만료 전에 인증서를 회전할 시간이 충분한지 확인합니다. | 감사, 거부, 사용 안 함 | 2.1.1 |
| 인증서는 허용된 키 유형을 사용해야 함 | 인증서에 대해 허용되는 키 유형을 제한하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| 타원 곡선 암호화를 사용하는 인증서에는 허용되는 곡선 이름이 있어야 함 | 키 자격 증명 모음에 저장된 ECC 인증서에 대해 허용되는 타원 곡선 이름을 관리합니다. 자세한 내용은 https://aka.ms/akvpolicy에서 확인할 수 있습니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| RSA 암호화를 사용하는 인증서에는 지정된 최소 키 크기가 있어야 함 | 키 자격 증명 모음에 저장된 RSA 인증서에 대한 최소 키 크기를 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| 프라이빗 DNS 영역을 사용하도록 Azure Key Vault 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 키 자격 증명 모음으로 확인됩니다. https://aka.ms/akvprivatelink에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 프라이빗 엔드포인트로 Azure Key Vault 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 키 자격 증명 모음에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/akvprivatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 방화벽을 사용하도록 키 자격 증명 모음 구성 | 키 자격 증명 모음이 기본적으로 공용 IP에 액세스할 수 없도록 키 자격 증명 모음 방화벽을 사용하도록 설정합니다. 그런 다음, 특정 IP 범위를 구성하여 해당 네트워크에 대한 액세스를 제한할 수 있습니다. https://docs.microsoft.com/azure/key-vault/general/network-security에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.1 |
| 배포 - Azure Key Vault의 진단 설정을 Log Analytics 작업 영역으로 구성 | Azure Key Vault의 진단 설정을 배포하여 해당 진단 설정이 없는 Key Vault가 생성되거나 업데이트될 때 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 2.0.1 |
| 배포 - Azure Key Vault Managed HSM에서 사용할 수 있도록 이벤트 허브에 대한 진단 설정 구성 | 이 진단 설정이 누락된 Azure Key Vault Managed HSM이 생성되거나 업데이트될 때 Azure Key Vault Managed HSM에 대한 진단 설정을 배포하여 지역 Event Hub로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Key Vault의 진단 설정을 Event Hub에 배포 | 이 진단 설정이 누락된 Key Vault를 만들거나 업데이트할 때 Key Vault의 진단 설정을 배포하여 지역별 Event Hub로 스트림합니다. | DeployIfNotExists, 사용 안 함 | 3.0.1 |
| Key Vault 키에는 만료 날짜가 있어야 함 | 암호화 키에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 키는 잠재적인 공격자에게 키를 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 암호화 키에 대한 만료 날짜를 설정하는 것이 좋습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
| Key Vault 비밀에는 만료 날짜가 있어야 함 | 비밀에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 비밀은 잠재적인 공격자에게 비밀을 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 비밀에 대한 만료 날짜를 설정하는 것이 좋습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
| 키 자격 증명 모음에서는 삭제 방지를 사용하도록 설정해야 함 | 키 자격 증명 모음을 악의적으로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 제거 방지 및 일시 삭제를 사용하도록 설정하여 영구적인 데이터 손실을 방지할 수 있습니다. 제거 보호는 일시 삭제된 키 자격 증명 모음에 대해 필수 보존 기간을 적용하여 내부자 공격으로부터 보호합니다. 일시 삭제 보존 기간 동안에는 조직 또는 Microsoft 내부의 어느 누구도 키 자격 증명 모음을 제거할 수 없습니다. 2019년 9월 1일 이후에 만든 키 자격 증명 모음은 기본적으로 일시 삭제를 사용하도록 설정되어 있습니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| 키 자격 증명 모음에 일시 삭제를 사용하도록 설정해야 함 | 일시 삭제를 사용하지 않고 키 자격 증명 모음을 삭제하면 키 자격 증명 모음에 저장된 모든 비밀, 키 및 인증서가 영구적으로 삭제됩니다. 키 자격 증명 모음을 실수로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 일시 삭제를 사용하면 실수로 삭제된 키 자격 증명 모음을 구성 가능한 보존 기간 동안 복구할 수 있습니다. | 감사, 거부, 사용 안 함 | 3.0.0 |
| 키는 HSM(하드웨어 보안 모듈)에서 지원되어야 함 | HSM은 키를 저장하는 하드웨어 보안 모듈입니다. HSM은 암호화 키에 대한 물리적 보호 계층을 제공합니다. 암호화 키는 소프트웨어 키보다 높은 수준의 보안을 제공하는 물리적 HSM을 벗어날 수 없습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 키는 지정된 RSA 또는 EC 암호화 유형이어야 함 | 일부 애플리케이션에서는 특정 암호화 유형으로 지원되는 키를 사용해야 합니다. 사용자 환경에서 특정 암호화 키 유형(RSA 또는 EC)을 적용합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 키에는 키 생성 후 지정된 일 수 이내에 키 회전을 예약하는 회전 정책이 있어야 함 | 키를 만든 후 순환해야 할 때까지 최대 일 수를 지정하여 조직 규정 준수 요구 사항을 관리합니다. | 감사, 사용 안 함 | 1.0.0 |
| 키에는 만료 전에 지정된 기간(일)보다 더 많은 기간이 있어야 함 | 키가 만료에 너무 가까운 경우 조직에서 키 회전 지연이 발생하여 운영이 중단될 수 있습니다. 키는 오류에 대응할 수 있는 충분한 시간을 제공하기 위해 만료 전 지정된 일 수에서 회전되어야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 키에는 지정된 최대 유효 기간이 있어야 함 | 키 자격 증명 모음 내에서 키가 유효한 최대 일 수를 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 키는 지정된 기간(일)을 초과하는 활성 상태가 아니어야 함 | 키가 활성 상태여야 하는 기간(일)을 지정합니다. 기간을 초과하여 키를 사용하면 공격자가 키를 손상시킬 가능성이 높아집니다. 보안상 키가 2년을 초과하는 활성 상태가 아닌지 확인하는 것이 좋습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 타원 곡선 암호화를 사용하는 키에는 지정된 곡선 이름이 있어야 함 | 타원 곡선 암호화로 지원되는 키는 다른 곡선 이름을 사용할 수 있습니다. 일부 애플리케이션은 특정 타원 곡선 키와만 호환됩니다. 환경에서 만들 수 있는 타원 곡선 키 유형을 적용합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| RSA 암호화를 사용하는 키에는 지정된 최소 키 크기가 있어야 함 | 키 자격 증명 모음에 사용하는 데 허용되는 최소 키 크기를 설정합니다. 작은 키 크기의 RSA 키를 사용하는 것은 안전한 방법이 아니며 많은 업계 인증 요구 사항을 충족하지 않습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Key Vault Managed HSM의 리소스 로그를 사용하도록 설정해야 함 | 보안 인시던트가 발생하거나 네트워크가 손상되었을 때 조사를 위해 활동 기록을 다시 만들려면 Managed HSM에서 리소스 로그를 사용하도록 설정하여 감사할 수 있습니다. 여기(https://docs.microsoft.com/azure/key-vault/managed-hsm/logging)의 지침을 따르세요. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
| Key Vault에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
| 비밀에는 콘텐츠 형식이 설정되어야 함 | 콘텐츠 형식 태그는 비밀이 암호, 연결 문자열 등인지 식별하는 데 도움이 됩니다. 비밀마다 교체 요구 사항이 다릅니다. 콘텐츠 형식 태그는 비밀에 설정되어야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 비밀에는 만료 전에 지정된 기간(일)보다 더 많은 기간이 있어야 함 | 비밀이 만료에 너무 가까운 경우 조직에서 비밀 회전 지연이 발생하여 운영이 중단될 수 있습니다. 비밀은 오류에 대응할 수 있는 충분한 시간을 제공하기 위해 만료 전 지정된 일 수에서 회전되어야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 비밀에는 지정된 최대 유효 기간이 있어야 함 | 키 자격 증명 모음 내에서 비밀이 유효한 최대 일 수를 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 비밀은 지정된 기간(일)을 초과하는 활성 상태가 아니어야 함 | 미래의 활성화 날짜를 설정하여 비밀을 만든 경우 비밀이 지정된 기간을 초과하는 활성 상태가 아닌지 확인해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
Kubernetes
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: [이미지 무결성] Kubernetes 클러스터는 표기법으로 서명된 이미지만 사용해야 함 | 이미지가 신뢰할 수 있는 원본에서 왔으며 악의적으로 수정되지 않도록 표기법으로 서명된 이미지를 사용합니다. 자세한 내용은 https://aka.ms/aks/image-integrity을 방문하세요. | 감사, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Arc 지원 Kubernetes 클러스터에 클라우드용 Microsoft Defender의 확장이 설치되어 있어야 함 | Azure Arc용 클라우드용 Microsoft Defender 확장은 Arc 지원 Kubernetes 클러스터에 대한 위협 방지를 제공합니다. 이 확장은 클러스터의 모든 노드에서 데이터를 수집하고 추가 분석을 위해 클라우드의 Azure Defender for Kubernetes 백 엔드로 보냅니다. https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 6.0.0-preview |
| [미리 보기]: 개별 노드를 편집할 수 없음 | 개별 노드를 편집할 수 없습니다. 사용자는 개별 노드를 편집해서는 안 됩니다. 노드 풀을 편집하세요. 개별 노드를 수정하면 일관되지 않은 설정, 운영 문제 및 잠재적인 보안 위험이 발생할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.1-preview |
| [미리 보기]: 클라우드용 Microsoft Defender 확장을 설치하도록 Azure Arc 지원 Kubernetes 클러스터 구성 | Azure Arc용 클라우드용 Microsoft Defender 확장은 Arc 지원 Kubernetes 클러스터에 대한 위협 방지를 제공합니다. 이 확장은 클러스터의 모든 노드에서 데이터를 수집하고 추가 분석을 위해 클라우드의 Azure Defender for Kubernetes 백 엔드로 보냅니다. https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 7.1.0-preview |
| [미리 보기]: Azure Kubernetes Service에 이미지 무결성 배포 | 이미지 무결성 및 정책 추가 기능 Azure Kubernetes 클러스터를 모두 배포합니다. 자세한 내용은 https://aka.ms/aks/image-integrity을 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.5-preview |
| [미리 보기]: Kubernetes 클러스터 컨테이너 이미지에는 preStop 후크가 포함되어야 합니다. | Pod 종료 중에 프로세스를 정상적으로 종료하려면 컨테이너 이미지에 preStop 후크가 포함되어야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Kubernetes 클러스터 컨테이너 이미지에는 최신 이미지 태그가 포함되어서는 안 됩니다. | 컨테이너 이미지는 Kubernetes의 최신 태그를 사용하지 않아야 하며, 명시적이고 버전이 지정된 컨테이너 이미지를 사용하여 재현성을 보장하고, 의도하지 않은 업데이트를 방지하고, 더 쉽게 디버깅 및 롤백을 지원하는 것이 모범 사례입니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Kubernetes 클러스터 컨테이너는 이미지 끌어오기 비밀이 있는 경우에만 이미지를 가져와야 합니다. | 컨테이너의 이미지 끌어오기를 제한하여 ImagePullSecrets의 존재를 강제함으로써 Kubernetes 클러스터 내의 이미지에 대한 안전하고 권한이 있는 액세스를 보장합니다. | 감사, 거부, 사용 안 함 | 1.1.0 - 미리 보기 |
| [미리 보기]: Kubernetes 클러스터 서비스는 고유한 선택기를 사용해야 합니다. | 네임스페이스의 서비스에 고유한 선택기가 있는지 확인합니다. 고유한 서비스 선택기를 사용하면 네임스페이스 내의 각 서비스가 특정 기준에 따라 고유하게 식별될 수 있습니다. 이 정책은 Gatekeeper를 통해 수신 리소스를 OPA에 동기화합니다. 적용하기 전에 Gatekeeper Pod 메모리 용량이 초과되지 않는지 확인합니다. 매개 변수는 특정 네임스페이스에 적용되지만 모든 네임스페이스에서 해당 형식의 모든 리소스를 동기화합니다. 현재 AKS(Kubernetes Service) 미리 보기 상태입니다. | 감사, 거부, 사용 안 함 | 1.1.1-preview |
| [미리 보기]: Kubernetes 클러스터는 정확한 Pod 중단 예산을 구현해야 합니다. | 잘못된 Pod Disruption Budget을 방지하여 최소한의 운영 Pod 수를 보장합니다. 자세한 내용은 공식 Kubernetes 설명서를 참조하세요. Gatekeeper 데이터 복제를 사용하고 범위가 지정된 모든 수신 리소스를 OPA로 동기화합니다. 이 정책을 적용하기 전에 동기화된 수신 리소스가 메모리 용량에 부담을 주지 않는지 확인합니다. 매개 변수는 특정 네임스페이스를 평가하지만 네임스페이스 전체에서 해당 종류의 모든 리소스가 동기화됩니다. 참고: 현재 AKS(Kubernetes Service) 미리 보기 상태입니다. | 감사, 거부, 사용 안 함 | 1.1.1-preview |
| [미리 보기]: Kubernetes 클러스터는 특정 리소스 종류의 만들기를 제한해야 함 | 지정된 Kubernetes 리소스 종류는 특정 네임스페이스에 배포하지 않아야 합니다. | 감사, 거부, 사용 안 함 | 2.2.0-preview |
| [미리 보기]: 선호도 방지 규칙 집합이 있어야 함 | 이 정책은 Pod가 클러스터 내의 다른 노드에 예약되도록 보장합니다. 선호도 방지 규칙을 적용하면 노드 중 하나를 사용할 수 없게 되더라도 가용성이 유지됩니다. Pod는 다른 노드에서 계속 실행되어 복원력이 향상됩니다. | 감사, 거부, 사용 안 함 | 1.1.1-preview |
| [미리 보기]: AKS 특정 레이블 없음 | 고객이 AKS 특정 레이블을 적용하지 못하도록 방지합니다. AKS는 AKS 소유 구성 요소를 나타내기 위해 접두사가 kubernetes.azure.com인 레이블을 사용합니다. 고객은 이러한 레이블을 사용해서는 안 됩니다. |
감사, 거부, 사용 안 함 | 1.1.1-preview |
| [미리 보기]: 예약된 시스템 풀 taint | CriticalAddonsOnly 테인트를 시스템 풀로만 제한합니다. AKS는 CriticalAddonsOnly 테인트를 사용하여 고객 Pod를 시스템 풀에서 멀리 유지합니다. 이를 통해 AKS 구성 요소와 고객 Pod를 명확하게 구분할 수 있을 뿐만 아니라 CriticalAddonsOnly 테인트를 허용하지 않는 경우 고객 Pod가 제거되는 것을 방지할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.1-preview |
| [미리 보기]: CriticalAddonsOnly 테인트를 시스템 풀로만 제한합니다. | 사용자 풀에서 사용자 앱이 제거되는 것을 방지하고 사용자 풀과 시스템 풀 간의 문제 분리를 유지하려면 'CriticalAddonsOnly' 테인트를 사용자 풀에 적용해서는 안 됩니다. | Mutate, 사용 안 함 | 1.1.0 - 미리 보기 |
| [미리 보기]: 존재하지 않는 경우 Kubernetes 클러스터 컨테이너 CPU 제한을 기본값으로 설정합니다. | Kubernetes 클러스터에서 리소스 소진 공격을 방지하기 위해 컨테이너 CPU 제한을 설정합니다. | Mutate, 사용 안 함 | 1.1.1-preview |
| [미리 보기]: 존재하지 않는 경우 Kubernetes 클러스터 컨테이너 메모리 제한을 기본값으로 설정합니다. | Kubernetes 클러스터에서 리소스 소진 공격을 방지하기 위해 컨테이너 메모리 제한을 설정합니다. | Mutate, 사용 안 함 | 1.1.1-preview |
| [미리 보기]: PodDisruptionBudget 리소스에 대해 maxUnavailable Pod를 1로 설정합니다. | 사용할 수 없는 최대 Pod 값을 1로 설정하면 중단 중에 애플리케이션이나 서비스를 사용할 수 있습니다. | Mutate, 사용 안 함 | 1.1.0 - 미리 보기 |
| [미리 보기]: init 컨테이너의 Pod 사양에 있는 readOnlyRootFileSystem이 설정되지 않은 경우 true로 설정합니다. | readOnlyRootFileSystem을 true로 설정하면 컨테이너가 루트 파일 시스템에 쓰는 것을 방지하여 보안이 강화됩니다. 이는 Linux 컨테이너에서만 작동합니다. | Mutate, 사용 안 함 | 1.1.0 - 미리 보기 |
| [미리 보기]: Pod 사양의 readOnlyRootFileSystem이 설정되지 않은 경우 true로 설정합니다. | readOnlyRootFileSystem을 true로 설정하면 컨테이너가 루트 파일 시스템에 쓰는 것을 방지하여 보안이 강화됩니다. | Mutate, 사용 안 함 | 1.1.0 - 미리 보기 |
| Azure Arc 지원 Kubernetes 클러스터에 Azure Policy 확장이 설치되어 있어야 함 | Azure Arc용 Azure Policy 확장은 일관된 중앙 집중식 방식으로 Arc 지원 Kubernetes 클러스터에 대규모 적용 및 보호를 제공합니다. https://aka.ms/akspolicydoc에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
| Azure Arc 사용 Kubernetes 클러스터에는 Open Service Mesh 확장이 설치되어 있어야 함 | Open Service Mesh 확장은 애플리케이션 서비스의 보안, 트래픽 관리 및 가시성을 위한 모든 표준 서비스 메시 기능을 제공합니다. 여기서 자세히 알아보기: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Arc 지원 Kubernetes 클러스터에 Strimzi Kafka 확장이 설치되어 있어야 함 | Strimzi Kafka 확장은 운영자가 보안 및 통합 가시성 기능을 갖춘 실시간 데이터 파이프라인과 스트림 애플리케이션을 구축하기 위해 Kafka를 설치할 수 있도록 지원합니다. 여기(https://aka.ms/arc-strimzikafka-doc)에서 자세히 알아보세요. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Kubernetes 클러스터는 CSI(Container Storage Interface)를 활성화해야 합니다. | CSI(Container Storage Interface)는 임의 블록 및 파일 스토리지 시스템을 Azure Kubernetes Service의 컨테이너화된 워크로드에 노출하기 위한 표준입니다. 자세한 내용은 https://aka.ms/aks-csi-driver를 참조하세요. | 감사, 사용 안 함 | 1.0.0 |
| Azure Kubernetes 클러스터는 KMS(Key Management Service)를 사용하도록 설정해야 함 | KMS(키 관리 서비스)를 사용하여 Kubernetes 클러스터 보안을 위해 etcd의 미사용 비밀 데이터를 암호화합니다. https://aka.ms/aks/kmsetcdencryption에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| Azure Kubernetes 클러스터는 Azure CNI를 사용해야 함 | Azure CNI는 Azure 네트워크 정책, Windows 노드 풀 및 가상 노드 추가 기능을 비롯한 일부 Azure Kubernetes Service 기능의 필수 구성 요소입니다. https://aka.ms/aks-azure-cni에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 |
| Azure Kubernetes Service 클러스터는 명령 호출을 사용하지 않도록 설정해야 함 | 명령 호출을 사용하지 않도록 설정하면 제한된 네트워크 액세스 또는 Kubernetes 역할 기반 액세스 제어 바이패스를 방지하여 보안을 강화할 수 있습니다. | 감사, 사용 안 함 | 1.0.1 |
| Azure Kubernetes Service 클러스터는 클러스터 자동 업그레이드를 사용하도록 설정해야 합니다. | AKS 클러스터 자동 업그레이드를 통해 클러스터를 최신 상태로 유지하고 AKS 및 업스트림 Kubernetes의 최신 기능이나 패치를 놓치지 마세요. https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| Azure Kubernetes Service 클러스터는 Image Cleaner를 사용하도록 설정해야 합니다. | Image Cleaner는 취약하고 사용되지 않는 이미지를 자동으로 식별 및 제거하여 부실한 이미지의 위험을 완화하고 이미지 정리에 필요한 시간을 줄여줍니다. https://aka.ms/aks/image-cleaner에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| Azure Kubernetes Service 클러스터는 Microsoft Entra ID 통합을 사용하도록 설정해야 합니다. | AKS 관리 Microsoft Entra ID 통합은 사용자 ID 또는 디렉터리 그룹 멤버 자격을 기반으로 Kubernetes 역할 기반 액세스 제어(Kubernetes RBAC)를 구성하여 클러스터에 대한 액세스를 관리할 수 있습니다. https://aka.ms/aks-managed-aad에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.2 |
| Azure Kubernetes Service 클러스터는 노드 OS 자동 업그레이드를 사용하도록 설정해야 합니다. | AKS 노드 OS 자동 업그레이드는 노드 수준 OS 보안 업데이트를 제어합니다. https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| Azure Kubernetes Service 클러스터는 워크로드 ID를 사용하도록 설정해야 함 | 워크로드 ID를 사용하면 각 Kubernetes Pod에 고유한 ID를 할당하고 이를 Azure Key Vault와 같은 Azure AD 보안 리소스와 연결하여 Pod 내에서 이러한 리소스에 안전하게 액세스할 수 있습니다. https://aka.ms/aks/wi에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| Azure Kubernetes Service 클러스터에는 Defender 프로필이 사용하도록 설정되어 있어야 합니다. | 컨테이너용 Microsoft Defender는 환경 강화, 워크로드 보호 및 런타임 보호를 비롯한 클라우드 네이티브 Kubernetes 보안 기능을 제공합니다. Azure Kubernetes Service 클러스터에서 SecurityProfile.AzureDefender를 사용하도록 설정하면 에이전트가 보안 이벤트 데이터를 수집할 클러스터에 배포됩니다. https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks에서 컨테이너용 Microsoft Defender에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 2.0.1 |
| Azure Kubernetes Service 클러스터에는 로컬 인증 방법을 사용하지 않도록 설정해야 함 | 로컬 인증 방법을 사용하지 않도록 설정하면 Azure Kubernetes Service 클러스터에서 인증 시 Azure Active Directory ID만 필요해야 함을 확인하여 보안이 향상됩니다. https://aka.ms/aks-disable-local-accounts에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Kubernetes Service 클러스터는 관리 ID를 사용해야 함 | 관리 ID를 사용하여 서비스 주체를 래핑하고, 클러스터 관리를 간소화하며, 관리되는 서비스 주체에 필요한 복잡성을 방지합니다. https://aka.ms/aks-update-managed-identities에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 |
| Azure Kubernetes Service 프라이빗 클러스터를 사용하도록 설정해야 함 | API 서버와 노드 풀 간의 네트워크 트래픽이 개인 네트워크에만 유지되도록 프라이빗 클러스터 기능을 Azure Kubernetes Service 클러스터에 사용하도록 설정합니다. 이는 다양한 규정 및 업계 규정 준수 표준의 공통 요구 사항입니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 클러스터에 AKS(Azure Kubernetes Service)용 Azure Policy 추가 기능을 설치하고 사용하도록 설정해야 함 | AKS(Azure Kubernetes Service)용 Azure Policy 추가 기능은 OPA(Open Policy Agent)용 허용 컨트롤러 웹후크인 Gatekeeper v3를 확장하여 일관된 중앙 집중식 방법으로 클러스터에 대규모 규약 및 세이프가드를 적용합니다. | 감사, 사용 안 함 | 1.0.2 |
| Azure Kubernetes Service 클러스터의 운영 체제와 데이터 디스크를 모두 고객 관리형 키로 암호화해야 함 | 고객 관리형 키를 사용하여 OS 및 데이터 디스크를 암호화하면 키 관리를 더 효율적으로 제어하고 더 유연하게 수행할 수 있습니다. 이는 다양한 규정 및 업계 규정 준수 표준의 공통 요구 사항입니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Policy 확장을 설치하도록 Azure Arc 지원 Kubernetes 클러스터 구성 | Azure Arc에 대한 Azure Policy 확장을 배포하여 대규모 적용을 제공하고 일관된 중앙 집중식 방식으로 Arc 지원 Kubernetes 클러스터를 보호합니다. https://aka.ms/akspolicydoc에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| Defender 프로필을 사용하도록 Azure Kubernetes Service 클러스터 구성 | 컨테이너용 Microsoft Defender는 환경 강화, 워크로드 보호 및 런타임 보호를 비롯한 클라우드 네이티브 Kubernetes 보안 기능을 제공합니다. Azure Kubernetes Service 클러스터에서 SecurityProfile.Defender를 사용하도록 설정하면 에이전트가 클러스터에 배포되어 보안 이벤트 데이터를 수집합니다. 컨테이너용 Microsoft Defender에 대해 자세히 알아보세요: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, 사용 안 함 | 4.1.0 |
| Kubernetes 클러스터에 Flux 확장 설치 구성 | Kubernetes 클러스터에 Flux 확장을 설치하여 클러스터에서 'fluxconfigurations' 배포 가능 | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| KeyVault의 버킷 원본 및 비밀을 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 | 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 버킷으로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Key Vault에 저장된 버킷 SecretKey가 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Git 리포지토리 및 HTTPS CA 인증서를 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 | 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 Git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 HTTPS CA 인증서가 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| Git 리포지토리 및 HTTPS 비밀을 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 | 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 Git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Key Vault에 저장된 HTTPS 키 비밀이 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Git 리포지토리 및 로컬 비밀을 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 | 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 Git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Kubernetes 클러스터에 저장된 로컬 인증 비밀이 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Git 리포지토리 및 SSH 비밀을 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 | 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 Git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Key Vault에 저장된 SSH 프라이빗 키 비밀이 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 공개 Git 리포지토리를 사용하여 Flux v2 구성으로 Kubernetes 클러스터 구성 | 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 Git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 비밀이 필요하지 않습니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 로컬 비밀을 사용하여 지정된 Flux v2 버킷 원본으로 Kubernetes 클러스터 구성 | 'fluxConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 버킷으로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Kubernetes 클러스터에 저장된 로컬 인증 비밀이 필요합니다. 지침은 https://aka.ms/GitOpsFlux2Policy를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| HTTPS 비밀을 사용하여 지정된 GitOps 구성으로 Kubernetes 클러스터 구성 | 'sourceControlConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Key Vault에 저장된 HTTPS 사용자 및 키 비밀이 필요합니다. 지침은 https://aka.ms/K8sGitOpsPolicy를 방문하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 비밀을 사용하지 않고 지정된 GitOps 구성으로 Kubernetes 클러스터 구성 | 'sourceControlConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 비밀이 필요하지 않습니다. 지침은 https://aka.ms/K8sGitOpsPolicy를 방문하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 1.1.0 |
| SSH 비밀을 사용하여 지정된 GitOps 구성으로 Kubernetes 클러스터 구성 | 'sourceControlConfiguration'을 Kubernetes 클러스터에 배포하여 클러스터에서 정의된 git 리포지토리로부터 워크로드 및 구성에 대한 올바른 원본을 가져올 수 있도록 합니다. 이 정의에는 Key Vault의 SSH 프라이빗 키 비밀이 필요합니다. 지침은 https://aka.ms/K8sGitOpsPolicy를 방문하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 필요한 관리 그룹 액세스 권한으로 Microsoft Entra ID 통합 Azure Kubernetes Service 클러스터 구성 | Microsoft Entra ID 통합 AKS 클러스터에 대한 관리자 액세스를 중앙에서 관리하여 클러스터 보안을 개선시킵니다. | DeployIfNotExists, 사용 안 함 | 2.1.0 |
| Azure Kubernetes 클러스터에서 노드 OS 자동 업그레이드 구성 | 노드 OS 자동 업그레이드를 사용하여 AKS(Azure Kubernetes Service) 클러스터의 노드 수준 OS 보안 업데이트를 제어합니다. 자세한 내용은 https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image을 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 배포 - Azure Kubernetes Service에 대한 진단 설정을 Log Analytics 작업 영역에 구성 | Azure Kubernetes Service에 대한 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트림합니다. | DeployIfNotExists, 사용 안 함 | 3.0.0 |
| Azure Kubernetes Service 클러스터에 Azure Policy 추가 기능 배포 | Azure Policy 추가 기능을 사용하여 AKS(Azure Kubernetes Service) 클러스터의 규정 준수 상태를 관리하고 보고합니다. 자세한 내용은 https://aka.ms/akspolicydoc를 참조하세요. | DeployIfNotExists, 사용 안 함 | 4.1.0 |
| Azure Kubernetes Service에 Image Cleaner 배포 | Azure Kubernetes 클러스터에 Image Cleaner를 배포합니다. 자세한 내용은 https://aka.ms/aks/image-cleaner을 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.0.4 |
| AKS(Azure Kubernetes Service) 클러스터에 대한 업그레이드를 예약하고 제어하기 위해 계획된 유지 관리 배포 | 계획된 유지 관리를 사용하면 주간 유지 관리 기간을 예약하여 업데이트를 수행하고 워크로드 영향을 최소화할 수 있습니다. 예약되면 선택한 기간 동안에만 업그레이드가 수행됩니다. https://aka.ms/aks/planned-maintenance에서 자세히 알아보세요. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Kubernetes Service 클러스터에서 명령 호출 사용 안 함 | 명령 호출을 사용하지 않도록 설정하면 클러스터에 대한 invoke-command 액세스를 거부하여 보안을 강화할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 1.2.0 |
| 클러스터 컨테이너에 준비 상태 또는 활동성 프로브가 구성되어 있는지 확인 | 이 정책은 모든 Pod에 준비 상태 및/또는 활동성 프로브를 구성하도록 적용합니다. 프로브 형식은 tcpSocket, httpGet 및 exec일 수 있습니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 이 정책 사용에 대한 지침은 https://aka.ms/kubepolicydoc를 방문하세요. | 감사, 거부, 사용 안 함 | 3.2.0 |
| Kubernetes 클러스터 컨테이너 CPU 및 메모리 리소스 한도는 지정된 한도를 초과하지 않아야 함 | Kubernetes 클러스터에서 리소스 소모 공격을 방지하기 위해 컨테이너 CPU 및 메모리 리소스 제한을 적용합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 9.2.0 |
| Kubernetes 클러스터 컨테이너는 호스트 프로세스 ID 또는 호스트 IPC 네임스페이스를 공유해서는 안 됨 | Kubernetes 클러스터에서 호스트 프로세스 ID 네임스페이스 및 호스트 IPC 네임스페이스를 공유하지 못하도록 Pod 컨테이너를 차단합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.2 및 CIS 5.2.3의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 5.1.0 |
| Kubernetes 클러스터 컨테이너는 금지된 sysctl 인터페이스를 사용해서는 안 됨 | 컨테이너는 Kubernetes 클러스터에서 금지된 sysctl 인터페이스를 사용하지 않아야 합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.1 |
| Kubernetes 클러스터 컨테이너는 허용된 AppArmor 프로필만 사용해야 함 | 컨테이너는 Kubernetes 클러스터에서 허용된 AppArmor 프로필만 사용해야 합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 6.1.1 |
| Kubernetes 클러스터 컨테이너는 허용된 기능만 사용해야 함 | Kubernetes 클러스터에서 컨테이너의 공격 노출 영역을 줄이기 위해 기능을 제한합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.8 및 CIS 5.2.9의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 6.1.0 |
| Kubernetes 클러스터 컨테이너는 허용된 이미지만 사용해야 함 | 신뢰할 수 있는 레지스트리의 이미지를 사용하여 알 수 없는 취약성, 보안 문제 및 악성 이미지에 대한 Kubernetes 클러스터의 노출 위험을 줄입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 9.2.0 |
| Kubernetes 클러스터 컨테이너는 허용된 ProcMountType만 사용해야 함 | Pod 컨테이너는 Kubernetes 클러스터에서 허용된 ProcMountTypes만 사용할 수 있습니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 8.1.1 |
| Kubernetes 클러스터 컨테이너는 허용된 끌어오기 정책만 사용해야 함 | 컨테이너의 끌어오기 정책을 제한하여 컨테이너가 배포에서 허용된 이미지만 사용하도록 허용 | 감사, 거부, 사용 안 함 | 3.1.0 |
| Kubernetes 클러스터 컨테이너는 허용된 seccomp 프로필만 사용해야 함 | Pod 컨테이너는 Kubernetes 클러스터에서 허용된 seccomp 프로필만 사용할 수 있습니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.1 |
| Kubernetes 클러스터 컨테이너는 읽기 전용 루트 파일 시스템에서 실행되어야 함 | 읽기 전용 루트 파일 시스템을 통해 컨테이너를 실행하여 Kubernetes 클러스터의 PATH에 추가된 악성 이진 파일로 인한 런타임 시 변경으로부터 보호합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 6.2.0 |
| Kubernetes 클러스터 Pod FlexVolume 볼륨은 허용되는 드라이버만 사용해야 함 | Pod FlexVolume 볼륨은 Kubernetes 클러스터에서 허용된 드라이버만 사용해야 합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 5.1.1 |
| Kubernetes 클러스터 Pod hostPath 볼륨은 허용된 호스트 경로만 사용해야 함 | Pod HostPath 볼륨 탑재를 Kubernetes 클러스터에서 허용된 호스트 경로로 제한합니다. 이 정책은 일반적으로 AKS(Kubernetes Service) 및 Azure Arc 지원 Kubernetes에 사용할 수 있습니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 6.1.1 |
| Kubernetes 클러스터 Pod 및 컨테이너는 승인된 사용자 및 그룹 ID로만 실행해야 함 | Pod 및 컨테이너가 Kubernetes 클러스터에서 실행하는 데 사용할 수 있는 사용자, 기본 그룹, 보조 그룹 및 파일 시스템 그룹 ID를 제어합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 6.1.1 |
| Kubernetes 클러스터 Pod 및 컨테이너는 허용된 SELinux 옵션만 사용해야 함 | Pod 및 컨테이너는 Kubernetes 클러스터에서 허용된 SELinux 옵션만 사용해야 합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.1 |
| Kubernetes 클러스터 Pod는 허용된 볼륨 유형만 사용해야 함 | Pod는 Kubernetes 클러스터에서 허용된 볼륨 유형만 사용할 수 있습니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 5.1.1 |
| Kubernetes 클러스터 Pod는 승인된 호스트 네트워크와 포트 범위만 사용해야 함 | Kubernetes 클러스터에서 호스트 네트워크 및 허용 가능한 호스트 포트 범위에 대한 Pod 액세스를 제한합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.4의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 6.1.0 |
| Kubernetes 클러스터 Pod는 지정된 레이블을 사용해야 함 | 지정된 레이블을 사용하여 Kubernetes 클러스터에서 Pod를 식별합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.0 |
| Kubernetes 클러스터 서비스는 허용된 포트에서만 수신 대기해야 함 | Kubernetes 클러스터에 대한 액세스를 보호하기 위해 서비스가 허용된 포트에서만 수신 대기하도록 제한합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 8.1.0 |
| Kubernetes 클러스터 서비스는 허용된 외부 IP만 사용해야 함 | 허용되는 외부 IP를 사용하여 Kubernetes 클러스터에서 잠재적인 공격(CVE-2020-8554)을 방지합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 5.1.0 |
| Kubernetes 클러스터는 권한 있는 컨테이너를 허용하지 않아야 함 | Kubernetes 클러스터는 권한 있는 컨테이너를 만드는 것을 허용하지 않습니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.1의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 9.1.0 |
| Kubernetes 클러스터에서 Naked Pod를 사용하지 않아야 함 | Naked Pod를 사용하지 않도록 차단합니다. 노드 실패가 발생하는 경우 Naked Pod의 일정이 조정되지 않습니다. Pod는 Deployment, Replicset, Daemonset 또는 Jobs를 통해 관리해야 합니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| Kubernetes 클러스터 Windows 컨테이너에서 CPU 및 메모리를 과도하게 커밋하지 않아야 함 | Windows 컨테이너 리소스 요청은 리소스 제한보다 작거나 같아야 초과 커밋을 방지할 수 있습니다. Windows 메모리가 과도하게 프로비저닝되면 메모리 부족으로 컨테이너를 종료하는 대신 디스크의 페이지를 처리하여 성능을 저하시킬 수 있습니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| Kubernetes 클러스터 Windows 컨테이너는 ContainerAdministrator로 실행하지 않아야 함 | Windows Pod 또는 컨테이너에 대한 컨테이너 프로세스를 실행하기 위해 ContainerAdministrator를 사용자로 사용할 수 없습니다. 이 권장 사항은 Windows 노드의 보안을 개선하기 위한 것입니다. 자세한 내용은 https://kubernetes.io/docs/concepts/windows/intro/을 참조하십시오. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Kubernetes 클러스터 Windows 컨테이너에서 승인된 사용자 및 도메인 사용자 그룹으로만 실행해야 함 | Windows Pod 및 컨테이너를 통해 Kubernetes 클러스터에서 실행하는 데 사용할 수 있는 사용자를 제어합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 Windows 노드의 Pod 보안 정책 중 일부입니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| Kubernetes 클러스터는 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 인증을 보장하고, 네트워크 계층 도청 공격으로부터 전송 중인 데이터를 보호합니다. 이 기능은 현재 AKS(Kubernetes Service)에 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 방문하세요. | 감사, 거부, 사용 안 함 | 8.1.0 |
| Kubernetes 클러스터는 자동 탑재 API 자격 증명을 사용하지 않도록 설정해야 함 | 잠재적으로 손상된 Pod 리소스가 Kubernetes 클러스터에 대해 API 명령을 실행할 수 없도록 자동 탑재 API 자격 증명을 사용하지 않도록 설정합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 4.1.0 |
| Kubernetes 클러스터는 클러스터 관리자 역할이 필요한 경우에만 사용되도록 해야 합니다. | 'cluster-admin' 역할은 환경에 대한 광범위한 권한을 제공하며 필요할 때만 사용해야 합니다. | 감사, 사용 안 함 | 1.0.0 |
| Kubernetes 클러스터는 역할 및 클러스터 역할에서 와일드카드 사용을 최소화해야 합니다. | 와일드카드 '*'를 사용하면 특정 역할에 필요하지 않을 수 있는 광범위한 권한을 부여하므로 보안 위험이 발생할 수 있습니다. 역할에 권한이 너무 많으면 공격자나 손상된 사용자가 이를 악용하여 클러스터의 리소스에 무단으로 액세스할 수 있습니다. | 감사, 사용 안 함 | 1.0.0 |
| Kubernetes 클러스터는 컨테이너 권한 상승을 허용해서는 안 됨 | 컨테이너가 Kubernetes 클러스터 루트로의 권한 상승을 통해 실행되는 것을 허용하지 않습니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.5의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.0 |
| Kubernetes 클러스터는 ClusterRole/system:aggregate-to-edit의 엔드포인트 편집 권한을 허용하지 않아야 함 | ClusterRole/system:aggregate-to-edit는 CVE-2021-25740으로 인한 엔드포인트 편집 권한을 허용하지 않아야 합니다. 엔드포인트 및 EndpointSlice 권한에서 네임스페이스 간 전달(https://github.com/kubernetes/kubernetes/issues/103675)을 허용합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 사용 안 함 | 3.1.0 |
| Kubernetes 클러스터는 CAP_SYS_ADMIN 보안 기능을 부여하지 않아야 함 | 컨테이너의 공격 노출 영역을 줄이려면 CAP_SYS_ADMIN Linux 기능을 제한합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 5.1.0 |
| Kubernetes 클러스터는 특정 보안 기능을 사용하지 않아야 함 | Kubernetes 클러스터의 특정 보안 기능을 차단하여 Pod 리소스에 대해 부여되지 않은 권한을 방지합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 5.1.0 |
| Kubernetes 클러스터는 기본 네임스페이스를 사용하지 않아야 함 | Kubernetes 클러스터에서 기본 네임스페이스를 사용하여 ConfigMap, Pod, Secret, Service 및 ServiceAccount 리소스 종류에 대한 무단 액세스를 방지합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 4.1.0 |
| Kubernetes 클러스터는 CSI(Container Storage Interface) 드라이버 StorageClass를 사용해야 합니다. | CSI(Container Storage Interface)는 Kubernetes에서 컨테이너화된 워크로드에 임의 블록 및 파일 스토리지 시스템을 노출하는 표준입니다. AKS 버전 1.21 이후 트리 내 프로비저닝 프로그램 StorageClass는 더 이상 사용되지 않습니다. 자세한 내용은 https://aka.ms/aks-csi-driver를 참조하세요. | 감사, 거부, 사용 안 함 | 2.2.0 |
| Kubernetes 클러스터는 내부 부하 분산 장치를 사용해야 함 | 내부 부하 분산 장치를 사용하여 Kubernetes 클러스터와 동일한 가상 네트워크에서 실행되는 애플리케이션에서만 Kubernetes 서비스에 액세스할 수 있게 합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 8.1.0 |
| Kubernetes 리소스에 필수 주석이 있어야 함 | Kubernetes 리소스의 개선된 리소스 관리를 위해 필요한 주석이 지정된 Kubernetes 리소스 종류에 연결되어 있는지 확인합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 3.1.0 |
| Azure Kubernetes Service의 리소스 로그를 사용하도록 설정해야 함 | Azure Kubernetes Service의 리소스 로그를 통해 보안 인시던트를 조사할 때 작업 추적을 다시 만들 수 있습니다. 필요할 때 로그가 존재하는지 확인하는 데 사용 | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Kubernetes Service 클러스터의 에이전트 노드 풀에 대한 임시 디스크 및 캐시는 호스트에서 암호화되어야 함 | 데이터 보안을 강화하려면 Azure Kubernetes Service 노드 VM의 VM(가상 머신) 호스트에 저장된 데이터는 미사용 시 암호화해야 합니다. 이는 다양한 규정 및 업계 규정 준수 표준의 공통 요구 사항입니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
Lab Services
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Lab Services는 자동 종료에 대한 모든 옵션을 사용하도록 설정해야 함 | 이 정책은 랩에 대해 모든 자동 종료 옵션을 사용하도록 설정하여 비용 관리에 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| 랩 서비스에서는 랩에 템플릿 가상 머신을 허용해서는 안 됩니다. | 이 정책은 랩 서비스를 통해 관리되는 랩에 대한 템플릿 가상 머신의 생성 및 사용자 지정을 방지합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| 랩 서비스에는 랩에 대한 관리자가 아닌 사용자가 필요함 | 이 정책을 사용하려면 랩 서비스를 통해 관리되는 랩에 대해 관리자가 아닌 사용자 계정을 만들어야 합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Lab Services는 허용되는 가상 머신 SKU 크기를 제한해야 함 | 이 정책을 사용하면 Lab Services를 통해 관리되는 랩에 대해 특정 Compute VM SKU를 제한할 수 있습니다. 이렇게 하면 특정 가상 머신 크기가 제한됩니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
Lighthouse
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 관리 테넌트 ID가 Azure Lighthouse를 통해 온보딩하도록 허용 | Azure Lighthouse 위임을 특정 관리 테넌트로 제한하면 Azure 리소스를 관리할 수 있는 사람을 제한하여 보안이 강화됩니다. | deny | 1.0.1 |
| 관리 테넌트에 대한 범위 위임 감사 | Azure Lighthouse를 통해 관리 테넌트에 대한 범위 위임을 감사합니다. | 감사, 사용 안 함 | 1.0.0 |
Logic Apps
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Logic Apps 통합 서비스 환경은 고객 관리형 키로 암호화되어야 함 | 통합 서비스 환경에 배포하여 고객 관리형 키를 사용하여 미사용 Logic Apps 데이터의 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 통합 서비스 환경에 Logic Apps를 배포해야 함 | 가상 네트워크에서 통합 서비스 환경에 Logic Apps를 배포하면 고급 Logic Apps 네트워킹 및 보안 기능이 잠금 해제되고 네트워크 구성을 보다 강력하게 제어할 수 있습니다. https://aka.ms/integration-service-environment에서 자세히 알아보세요. 통합 서비스 환경에 배포하면 암호화 키를 관리할 수 있도록 하여 향상된 데이터 보호 기능을 제공하는 고객 관리형 키로 암호화할 수도 있습니다. 이는 주로 규정 준수 요구 사항을 충족하기 위한 것입니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Logic Apps의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.1.0 |
Machine Learning
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Azure Machine Learning 모델 레지스트리 배포는 허용된 레지스트리를 제외하고 제한됩니다. | 허용되고 제한되지 않은 레지스트리에만 레지스트리 모델을 배포합니다. | 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| Azure Machine Learning 컴퓨팅 인스턴스에 유휴 종료가 있어야 함 | 유휴 상태 종료 일정을 사용하면 사전 결정된 활동 기간 후에 유휴 상태인 컴퓨팅을 종료하여 비용이 줄어듭니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 최신 소프트웨어 업데이트를 가져오려면 Azure Machine Learning 컴퓨팅 인스턴스를 다시 만들어야 합니다. | Azure Machine Learning 컴퓨팅 인스턴스가 사용 가능한 최신 운영 체제에서 실행되는지 확인합니다. 최신 보안 패치를 실행하여 보안이 개선되고 취약성이 줄어듭니다. 자세한 내용은 https://aka.ms/azureml-ci-updates/을 참조하세요. | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning 컴퓨팅은 가상 네트워크에 있어야 합니다. | Azure Virtual Network는 Azure Machine Learning 컴퓨팅 클러스터 및 인스턴스에 대한 강화된 보안 및 격리는 물론 서브넷, 액세스 제어 정책 및 액세스를 추가로 제한하는 기타 기능을 제공합니다. 컴퓨팅이 가상 네트워크로 구성된 경우 공개적으로 주소를 지정할 수 없으며 가상 네트워크 내의 가상 머신 및 애플리케이션에서만 액세스할 수 있습니다. | 감사, 사용 안 함 | 1.0.1 |
| Azure Machine Learning 컴퓨팅에는 로컬 인증 방법이 사용하지 않도록 설정되어야 합니다. | 로컬 인증 방법을 사용하지 않도록 설정하면 Machine Learning 컴퓨팅에서 인증에만 Azure Active Directory ID를 요구하도록 하여 보안이 향상됩니다. https://aka.ms/azure-ml-aad-policy에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 2.1.0 |
| Azure Machine Learning 작업 영역은 고객 관리형 키로 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Machine Learning 작업 영역의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/azureml-workspaces-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.3 |
| Azure Machine Learning 작업 영역은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Machine Learning 작업 영역이 공용 인터넷에 노출되지 않으므로 보안이 강화됩니다. 대신 프라이빗 엔드포인트를 만들어 작업 영역의 노출을 제어할 수 있습니다. 자세한 내용은 https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal을 참조하세요. | 감사, 거부, 사용 안 함 | 2.0.1 |
| Azure Machine Learning 작업 영역은 V1LegacyMode를 활성화하여 네트워크 격리 이전 버전과의 호환성을 지원해야 함 | Azure ML은 Azure Resource Manager에서 새 V2 API 플랫폼으로 전환하고 있으며 V1LegacyMode 매개 변수를 사용하여 API 플랫폼 버전을 제어할 수 있습니다. V1LegacyMode 매개 변수를 사용하도록 설정하면 새 V2 기능을 사용하지 않더라도 작업 영역을 V1과 동일한 네트워크 격리 상태로 유지할 수 있습니다. 프라이빗 네트워크 내에서 AzureML 컨트롤 플레인 데이터를 유지하려는 경우에만 V1 레거시 모드를 설정하는 것이 좋습니다. https://aka.ms/V1LegacyMode에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Machine Learning 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Machine Learning 작업 영역에 매핑하면 데이터 유출 위험이 줄어듭니다. https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| Azure Machine Learning 작업 영역은 사용자가 할당한 관리 ID를 사용해야 함 | 사용자 할당 관리 ID를 사용하여 Azure ML 작업 영역 및 관련 리소스, Azure Container Registry, KeyVault, Storage 및 App Insights에 대한 액세스를 관리합니다. 기본적으로 시스템 할당 관리 ID는 Azure ML 작업 영역에서 연결된 리소스에 액세스하는 데 사용됩니다. 사용자 할당 관리 ID를 사용하면 ID를 Azure 리소스로 만들고 해당 ID의 수명 주기를 유지할 수 있습니다. https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Machine Learning 컴퓨팅을 구성하여 로컬 인증 방법을 사용하지 않도록 설정합니다. | 위치 인증 방법을 사용하지 않도록 설정하여 Machine Learning 컴퓨팅에서 인증에만 Azure Active Directory ID를 요구하도록 합니다. https://aka.ms/azure-ml-aad-policy에서 자세히 알아보세요. | 수정, 사용 안 함 | 2.1.0 |
| 프라이빗 DNS 영역을 사용하도록 Azure Machine Learning 작업 영역 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Azure Machine Learning 작업 영역으로 확인됩니다. https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Azure Machine Learning 작업 영역 구성 | 공용 인터넷을 통해 작업 영역에 액세스할 수 없도록 Azure Machine Learning 작업 영역에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이는 데이터 누출 위험으로부터 작업 영역을 보호하는 데 도움이 됩니다. 대신 프라이빗 엔드포인트를 만들어 작업 영역의 노출을 제어할 수 있습니다. 자세한 내용은 https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal을 참조하세요. | 수정, 사용 안 함 | 1.0.3 |
| 프라이빗 엔드포인트를 사용하여 Azure Machine Learning 작업 영역 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Machine Learning 작업 영역에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Machine Learning 작업 영역에 대한 진단 설정을 Log Analytics 작업 영역으로 구성합니다. | 이 진단 설정이 누락된 Azure Machine Learning 작업 영역이 만들어지거나 업데이트될 때 Log Analytics 작업 영역으로 리소스 로그를 스트리밍하기 위해 Azure Machine Learning 작업 영역에 대한 진단 설정을 배포합니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| Azure Machine Learning 작업 영역의 리소스 로그를 사용하도록 설정해야 합니다. | 리소스 로그를 사용하면 보안 인시던트가 발생하거나 네트워크가 손상되었을 때 조사 목적으로 사용할 작업 추적을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
관리형 애플리케이션
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 관리형 애플리케이션에 대한 애플리케이션 정의는 고객이 제공한 스토리지 계정을 사용해야 함 | 규제 또는 규정 준수 요구 사항인 경우 사용자 고유의 스토리지 계정을 사용하여 애플리케이션 정의 데이터를 제어합니다. 관리형 애플리케이션 정의를 만드는 중에 사용자가 제공한 스토리지 계정 내에 저장하도록 선택하여 규정 준수 요구 사항을 충족하도록 해당 위치 및 액세스를 완전히 관리할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| 관리형 애플리케이션에 대한 연결 배포 | 선택한 리소스 종류를 지정된 관리형 애플리케이션에 연결하는 연결 리소스를 배포합니다. 이 정책 배포는 중첩된 리소스 유형을 지원하지 않습니다. | deployIfNotExists | 1.0.0 |
Managed Grafana
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Managed Grafana는 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Managed Grafana에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. | 감사, 사용 안 함 | 1.0.0 |
| Azure Managed Grafana 작업 영역은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Azure Managed Grafana 작업 영역이 공용 인터넷에 노출되지 않도록 하여 보안이 강화됩니다. 프라이빗 엔드포인트를 만들면 작업 영역의 노출을 제한할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 사용하여 Azure Managed Grafana 대시보드 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Managed Grafana에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Azure Managed Grafana 작업 영역 구성 | 공용 인터넷을 통해 액세스할 수 없도록 Azure Managed Grafana 작업 영역에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 Azure Managed Grafana 작업 영역 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Azure Managed Grafana 작업 영역으로 확인됩니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
관리 ID
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Azure Kubernetes의 관리 ID 페더레이션 자격 증명은 신뢰할 수 있는 원본에서 온 것이어야 함 | 이 정책은 승인된 테넌트, 승인된 지역, 추가 클러스터의 특정 예외 목록의 클러스터로만 Azure Kubernetes 클러스터와의 페더레이션을 제한합니다. | 감사, 사용 안 함, 거부 | 1.0.0 - 미리 보기 |
| [미리 보기]: GitHub의 관리 ID 페더레이션 자격 증명은 신뢰할 수 있는 리포지토리 소유자의 자격 증명이어야 함 | 이 정책은 GitHub 리포지토리와의 페더레이션을 승인된 리포지토리 소유자로만 제한합니다. | 감사, 사용 안 함, 거부 | 1.0.1 - 미리 보기 |
| [미리 보기]: 관리 ID 페더레이션 자격 증명은 허용된 발급자 유형이어야 함 | 이 정책은 관리 ID에서 페더레이션 자격 증명을 사용할 수 있는지 여부와 허용되는 일반 발급자 유형을 제한하고 허용되는 발급자 예외 목록을 제공합니다. | 감사, 사용 안 함, 거부 | 1.0.0 - 미리 보기 |
| [미리 보기]: 기본 제공 사용자가 할당한 관리 ID를 Virtual Machine Scale Sets에 할당 | 기본 제공 사용자가 할당한 관리 ID를 만들고 할당하거나 미리 만든 사용자가 할당한 관리 ID를 가상 머신 확장 집합에 규모에 맞게 할당합니다. 자세한 설명서는 aka.ms/managedidentitypolicy를 참조하세요. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 1.1.0 - 미리 보기 |
| [미리 보기]: 기본 제공 사용자가 할당한 관리 ID를 가상 머신에 할당 | 기본 제공 사용자가 할당한 관리 ID를 만들고 할당하거나 미리 만든 사용자가 할당한 관리 ID를 가상 머신에 규모에 맞게 할당합니다. 자세한 설명서는 aka.ms/managedidentitypolicy를 참조하세요. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 1.1.0 - 미리 보기 |
Maps
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| CORS에서 모든 리소스가 맵 계정에 액세스할 수 있도록 허용하지 않아야 함 | CORS(원본 간 리소스 공유)에서 모든 도메인이 맵 계정에 액세스할 수 있도록 허용하지 않아야 합니다. 필요한 도메인만 맵 계정과 상호 작용할 수 있도록 허용합니다. | 사용 안 함, 감사, 거부 | 1.0.0 |
Media Services
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Media Services 계정은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Media Services 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 Media Services 리소스의 노출을 제한할 수 있습니다. https://aka.ms/mediaservicesprivatelinkdocs에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Media Services 계정은 Private Link를 지원하는 API를 사용해야 함 | Azure Media Services 계정은 프라이빗 링크를 지원하는 API를 통해 만들어야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 레거시 v2 API에 대한 액세스를 허용하는 Azure Media Services 계정은 차단되어야 함 | Media Services 레거시 v2 API는 Azure Policy를 사용하여 관리할 수 없는 요청을 허용합니다. 2020-05-01 API 이상을 사용하여 만든 Media Services 리소스는 레거시 v2 API에 대한 액세스를 차단합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Media Services 콘텐츠 키 정책은 토큰 인증을 사용해야 함 | 콘텐츠 키 정책은 콘텐츠 키에 액세스하기 위해 충족해야 하는 조건을 정의합니다. 토큰 제한을 통해 인증 서비스(예: Microsoft Entra ID)의 유효한 토큰이 있는 사용자만 콘텐츠 키에 액세스할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| HTTPS 입력이 있는 Azure Media Services 작업은 입력 URI를 허용된 URI 패턴으로 제한해야 함 | Media Services 작업에서 사용하는 HTTPS 입력을 알려진 엔드포인트로 제한합니다. 허용되는 작업 입력 패턴의 빈 목록을 설정하여 HTTPS 엔드포인트의 입력을 완전히 비활성화할 수 있습니다. 작업 입력에서 'baseUri'를 지정하는 경우 패턴은 이 값과 일치합니다. 'baseUri'가 설정되지 않은 경우 패턴은 'files' 속성과 일치합니다. | 거부, 사용 안 함 | 1.0.1 |
| Azure Media Services는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Media Services 계정의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/mediaservicescmkdocs에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Media Services는 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Media Services에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/mediaservicesprivatelinkdocs에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 Azure Media Services 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Media Services 계정으로 확인됩니다. https://aka.ms/mediaservicesprivatelinkdocs에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 사용하여 Azure Media Services 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Media Services에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/mediaservicesprivatelinkdocs에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
마이그레이션
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 프라이빗 DNS 영역을 사용하도록 Azure Migrate 리소스 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Azure Migrate 프로젝트를 확인합니다. https://aka.ms/privatednszone에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
모바일 네트워크
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 인증 유형 Microsoft EntraID를 사용하도록 Packet Core 컨트롤 플레인 진단 액세스 구성 | 로컬 API를 통한 패킷 코어 진단 액세스를 위해서는 인증 형식이 Microsoft Entra ID여야 함 | 수정, 사용 안 함 | 1.0.0 |
| Packet Core 컨트롤 플레인 진단 액세스는 Microsoft EntraID 인증 유형만 사용해야 합니다. | 로컬 API를 통한 패킷 코어 진단 액세스를 위해서는 인증 형식이 Microsoft Entra ID여야 함 | 감사, 거부, 사용 안 함 | 1.0.0 |
| SIM 그룹은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. | 고객 관리형 키를 사용하여 SIM 그룹의 나머지 SIM 비밀 암호화를 관리합니다. 고객 관리형 키는 일반적으로 규정 준수 표준을 충족하는 데 필요하며 이를 통해 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
모니터링
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 기본 Log Analytics 작업 영역에 연결된 Log Analytics 에이전트를 사용하여 Azure Arc 지원 Linux 머신 구성 | 클라우드용 Microsoft Defender에서 만든 기본 Log Analytics 작업 영역으로 데이터를 보내는 Log Analytics 에이전트를 설치하여 클라우드용 Microsoft Defender 기능으로 Azure Arc 지원 Linux 머신을 보호합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 기본 Log Analytics 작업 영역에 연결된 Log Analytics 에이전트를 사용하여 Azure Arc 지원 Windows 머신 구성 | 클라우드용 Microsoft Defender에서 만든 기본 Log Analytics 작업 영역으로 데이터를 보내는 Log Analytics 에이전트를 설치하여 클라우드용 Microsoft Defender 기능으로 Azure Arc 지원 Windows 머신을 보호합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 - 미리 보기 |
| [미리 보기]: VM에서 Azure Monitor 할당을 사용하도록 시스템 할당 관리 ID 구성 | Azure Monitor에서 지원하고 컴퓨터 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 컴퓨터 할당 관리 ID를 구성합니다. 시스템 할당 관리 ID는 모든 Azure Monitor 할당에 대한 필수 구성 요소이며 Azure Monitor 확장을 사용하기 전에 머신에 추가해야 합니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. | 수정, 사용 안 함 | 6.0.0-preview |
| [미리 보기]: 나열된 가상 머신 이미지에 대해 Log Analytics 확장을 사용하도록 설정해야 합니다. | 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신을 비규격으로 보고합니다. | AuditIfNotExists, 사용 안 함 | 2.0.1-preview |
| [미리 보기]: Log Analytics 확장이 Linux Azure Arc 컴퓨터에 설치되어 있어야 함 | 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 Linux Azure Arc 컴퓨터를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 - 미리 보기 |
| [미리 보기]: Log Analytics 확장이 Windows Azure Arc 컴퓨터에 설치되어 있어야 함 | 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 Windows Azure Arc 컴퓨터를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 - 미리 보기 |
| [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
| [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
| 활동 로그는 1년 이상 보존되어야 합니다. | 이 정책은 보존이 365일 또는 계속(보존 기간이 0으로 설정)으로 설정되지 않은 경우 활동 로그를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 특정 관리 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 특정 정책 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 정책 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 특정 보안 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Application Insights 구성 요소는 공용 네트워크에서 로그 수집 및 쿼리를 차단해야 함 | 공용 네트워크에서 로그 수집 및 쿼리를 차단하여 Application Insights 보안을 향상합니다. 프라이빗 링크로 연결된 네트워크만 이 구성 요소의 로그를 수집하고 쿼리할 수 있습니다. https://aka.ms/AzMonPrivateLink#configure-application-insights에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Application Insights 구성 요소는 Azure Active Directory 기반이 아닌 수집을 차단해야 함. | Azure Active Directory 인증이 필요하도록 로그 수집을 적용하면 공격자가 인증하지 않은 로그를 방지하여 잘못된 상태, 잘못된 경고 및 잘못된 로그가 시스템에 저장될 수 있습니다. | 거부, 감사, 사용 안 함 | 1.0.0 |
| Private Link를 사용하도록 설정된 Application Insights 구성 요소는 프로파일러 및 디버거에 Bring Your Own Storage 계정을 사용해야 함. | 프라이빗 링크 및 고객 관리형 키 정책을 지원하려면 프로파일러 및 디버거에 대한 사용자 고유의 스토리지 계정을 만듭니다. https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage에서 자세히 알아보세요. | 거부, 감사, 사용 안 함 | 1.0.0 |
| 선택한 리소스 종류에 대한 진단 설정 감사 | 선택한 리소스 종류에 대한 감사 진단 설정 진단 설정을 지원하는 리소스 종류만 선택해야 합니다. | AuditIfNotExists | 2.0.1 |
| Azure Application Gateway에서 리소스 로그를 사용하도록 설정해야 함 | Azure Application Gateway(WAF 포함)에 대한 리소스 로그를 사용하도록 설정하고 Log Analytics 작업 영역으로 스트림합니다. 인바운드 웹 트래픽 및 공격을 완화하기 위해 수행된 작업을 자세히 살펴봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Front Door에서 리소스 로그를 사용하도록 설정해야 함 | Azure Front Door(WAF 포함)에 대한 리소스 로그를 사용하도록 설정하고 Log Analytics 작업 영역으로 스트림합니다. 인바운드 웹 트래픽 및 공격을 완화하기 위해 수행된 작업을 자세히 살펴봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Front Door 표준 또는 프리미엄(WAF 포함)에는 리소스 로그가 사용하도록 설정되어 있어야 함 | Azure Front Door 표준 또는 프리미엄(WAF 포함)에 대한 리소스 로그를 사용하도록 설정하고 Log Analytics 작업 영역으로 스트림합니다. 인바운드 웹 트래픽 및 공격을 완화하기 위해 수행된 작업을 자세히 살펴봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Log Analytics 작업 영역에 대한 Azure 로그 검색 알림은 고객 관리형 키를 사용해야 함 | 고객이 쿼리한 Log Analytics 작업 영역에 대해 제공한 스토리지 계정을 사용하여 쿼리 텍스트를 저장함으로써 Azure 로그 검색 알림에서 고객 관리형 키를 구현하는지 확인합니다. 자세한 내용은 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview을 참조하세요. | 감사, 사용 안 함, 거부 | 1.0.0 |
| Azure Monitor 로그 프로필은 'write'(쓰기), 'delete'(삭제) 및 'action'(작업) 범주에 대한 로그를 수집해야 합니다. | 이 정책을 사용하면 로그 프로필이 '쓰기,' '삭제' 및 '작업' 범주에 대한 로그를 수집합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Monitor 로그 클러스터는 인프라 암호화를 사용하도록 설정한 상태에서 만들어야 함(이중 암호화) | 보안 데이터 암호화가 서비스 수준 및 인프라 수준에서 두 개의 다른 암호화 알고리즘과 두 개의 다른 키를 통해 사용하도록 설정하려면 Azure Monitor 전용 클러스터를 사용합니다. 이 옵션은 지역에서 지원되는 경우 기본적으로 사용하도록 설정됩니다. https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview를 참조하세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Azure Monitor 로그 클러스터는 고객 관리형 키로 암호화해야 함 | 고객 관리형 키 암호화를 사용하여 Azure Monitor 로그 클러스터를 만듭니다. 기본적으로 로그 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수를 충족하려면 고객 관리형 키가 필요합니다. Azure Monitor에서 고객 관리형 키를 사용하면 데이터에 대한 액세스를 보다 강력하게 제어할 수 있습니다. https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys를 참조하세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Application Insights의 Azure Monitor 로그는 Log Analytics 작업 영역에 연결해야 함 | 로그 암호화를 위해 Application Insights 구성 요소를 Log Analytics 작업 영역에 연결합니다. 고객 관리형 키는 일반적으로 규정 준수를 충족하고 Azure Monitor에서 데이터를 보다 강력하게 제어하는 데 필요합니다. 고객 관리형 키를 통해 사용하도록 설정된 Log Analytics 작업 영역에 구성 요소를 연결하여 Application Insights 로그가 이 규정 준수 요구 사항을 충족 하는지 확인합니다. https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys를 참조하세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Azure Monitor Private Link 범위는 프라이빗 링크가 아닌 리소스에 대한 액세스를 차단해야 함 | Azure Private Link를 사용하면 AMPLS(Azure Monitor Private Link Scope)에 대한 프라이빗 엔드포인트를 통해 가상 네트워크를 Azure 리소스에 연결할 수 있습니다. Private Link 액세스 모드는 네트워크의 수집 및 쿼리 요청이 모든 리소스에 연결할 수 있는지 또는 Private Link 리소스에만 연결할 수 있는지(데이터 반출을 방지하기 위해) 여부를 제어하기 위해 AMPLS에 설정됩니다. https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Monitor Private Link 범위는 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Monitor Private Link 범위에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Monitor는 모든 지역의 활동 로그를 수집해야 합니다. | 이 정책은 글로벌 지역을 포함하여 모든 Azure 지원 지역에서 활동을 내보내지 않는 Azure Monitor 로그 프로필을 감사합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| Azure Monitor 솔루션 '보안 및 감사'가 배포되어야 합니다. | 이 정책은 보안 및 감사가 배포되었는지 확인합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 구독에는 활동 로그에 대한 로그 프로필이 있어야 합니다. | 이 정책은 로그 프로필이 활동 로그를 내보낼 수 있는지 확인합니다. 로그를 스토리지 계정 또는 이벤트 허브로 내보내기 위해 생성된 로그 프로필이 없는지 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 지정된 Log Analytics 작업 영역으로 스트림할 Azure 활동 로그 구성 | 구독 감사 로그를 Log Analytics 작업 영역으로 스트리밍하기 위한 Azure Activity의 진단 설정을 배포하여 구독 수준 이벤트를 모니터링합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 로그 수집 및 쿼리를 위해 퍼블릭 네트워크 액세스를 사용하지 않도록 Azure Application Insights 구성 요소 구성 | 보안 향상을 위해 퍼블릭 네트워크 액세스에서의 구성 요소 로그 수집 및 쿼리를 사용하지 않도록 설정합니다. 프라이빗 링크로 연결된 네트워크만 이 작업 영역의 로그를 수집하고 쿼리할 수 있습니다. https://aka.ms/AzMonPrivateLink#configure-application-insights에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.0 |
| 로그 수집 및 쿼리를 위해 퍼블릭 네트워크 액세스를 사용하지 않도록 Azure Log Analytics 작업 영역 구성 | 공용 네트워크에서 로그 수집 및 쿼리를 차단하여 작업 영역 보안을 향상합니다. 프라이빗 링크로 연결된 네트워크만 이 작업 영역의 로그를 수집하고 쿼리할 수 있습니다. https://aka.ms/AzMonPrivateLink#configure-log-analytics에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.0 |
| 프라이빗 링크가 아닌 리소스에 대한 액세스를 차단하도록 Azure Monitor Private Link 범위 구성 | Azure Private Link를 사용하면 AMPLS(Azure Monitor Private Link Scope)에 대한 프라이빗 엔드포인트를 통해 가상 네트워크를 Azure 리소스에 연결할 수 있습니다. Private Link 액세스 모드는 네트워크의 수집 및 쿼리 요청이 모든 리소스에 연결할 수 있는지 또는 Private Link 리소스에만 연결할 수 있는지(데이터 반출을 방지하기 위해) 여부를 제어하기 위해 AMPLS에 설정됩니다. https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open에서 프라이빗 링크에 대해 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 Azure Monitor Private Link 범위 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Azure Monitor 프라이빗 링크 범위로 확인됩니다. https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 사용하여 Azure Monitor Private Link 범위 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Monitor Private Link 범위에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Arc 지원 Linux 서버에서 종속성 에이전트 구성 | 종속성 에이전트 가상 머신 확장을 설치하여 Arc 지원 서버를 통해 Azure에 연결된 서버 및 머신에서 VM 인사이트를 사용하도록 설정합니다. VM 인사이트는 종속성 에이전트를 사용하여 네트워크 메트릭과 머신에서 실행되는 프로세스 및 외부 프로세스 종속성에 대한 검색된 데이터를 수집합니다. 자세히 보기 - https://aka.ms/vminsightsdocs. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| Azure Monitoring Agent 설정을 사용하여 Azure Arc 사용 가능한 Linux 서버에서 종속성 에이전트 구성 | Azure Monitoring Agent 설정을 사용하여 종속성 에이전트 가상 머신 확장을 설치하여 Arc 지원 서버를 통해 Azure에 연결된 서버 및 머신에서 VM 인사이트를 사용하도록 설정합니다. VM 인사이트는 종속성 에이전트를 사용하여 네트워크 메트릭과 머신에서 실행되는 프로세스 및 외부 프로세스 종속성에 대한 검색된 데이터를 수집합니다. 자세히 보기 - https://aka.ms/vminsightsdocs. | DeployIfNotExists, 사용 안 함 | 1.1.2 |
| Azure Arc 사용 Windows 서버에서 종속성 에이전트 구성 | 종속성 에이전트 가상 머신 확장을 설치하여 Arc 지원 서버를 통해 Azure에 연결된 서버 및 머신에서 VM 인사이트를 사용하도록 설정합니다. VM 인사이트는 종속성 에이전트를 사용하여 네트워크 메트릭과 머신에서 실행되는 프로세스 및 외부 프로세스 종속성에 대한 검색된 데이터를 수집합니다. 자세히 보기 - https://aka.ms/vminsightsdocs. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| Azure Monitoring Agent 설정을 사용하여 Azure Arc 지원 Windows 서버에서 종속성 에이전트 구성 | Azure Monitoring Agent 설정을 사용하여 종속성 에이전트 가상 머신 확장을 설치하여 Arc 지원 서버를 통해 Azure에 연결된 서버 및 머신에서 VM 인사이트를 사용하도록 설정합니다. VM 인사이트는 종속성 에이전트를 사용하여 네트워크 메트릭과 머신에서 실행되는 프로세스 및 외부 프로세스 종속성에 대한 검색된 데이터를 수집합니다. 자세히 보기 - https://aka.ms/vminsightsdocs. | DeployIfNotExists, 사용 안 함 | 1.1.2 |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Linux Arc 머신 구성 | Linux Arc 컴퓨터를 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결하기 위해 연결을 배포합니다. 위치 목록은 시간이 지남에 따라 지원이 증가하면서 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 2.2.0 |
| Azure Monitor 에이전트를 실행하도록 Linux Arc 지원 머신 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Linux Arc 지원 머신에 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 해당 지역이 지원되는 경우 확장을 설치합니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 2.4.0 |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Linux 머신 구성 | 연결을 배포하여 Linux Virtual Machines, 가상 머신 확장 집합 및 Arc 컴퓨터를 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 6.3.0 |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Linux Virtual Machine Scale Sets 구성 | 연결을 배포하여 Linux 가상 머신 확장 집합을 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 4.2.0 |
| 시스템에서 할당된 관리 ID 기반 인증으로 Azure Monitor 에이전트를 실행하도록 Linux 가상 머신 확장 집합 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Linux 가상 머신 확장 집합에 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 OS 및 지역이 지원되고 시스템 할당 관리 ID가 사용하도록 설정된 경우 확장을 설치하고 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 3.5.0 |
| 사용자가 할당한 관리 ID 기반 인증으로 Azure Monitor 에이전트를 실행하도록 Linux 가상 머신 확장 집합 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Linux 가상 머신 확장 집합에 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 3.6.0 |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Linux Virtual Machines 구성 | Linux 가상 머신을 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결하기 위해 연결을 배포합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 4.2.0 |
| 시스템에서 할당된 관리 ID 기반 인증으로 Azure Monitor 에이전트를 실행하도록 Linux 가상 머신 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Linux Virtual Machines에 Azure Monitor Agent 확장 배포를 자동화합니다. 이 정책은 OS 및 지역이 지원되고 시스템 할당 관리 ID가 사용하도록 설정된 경우 확장을 설치하고 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 3.5.0 |
| 사용자가 할당한 관리 ID 기반 인증으로 Azure Monitor 에이전트를 실행하도록 Linux 가상 머신 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Linux Virtual Machines에 Azure Monitor Agent 확장 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 3.6.0 |
| Azure Arc 지원 Linux 서버에서 Log Analytics 확장을 구성합니다. 아래 사용 중단 알림을 참조하세요. | Log Analytics 가상 머신 확장을 설치하여 Arc 지원 서버를 통해 Azure에 연결된 서버와 머신에서 VM 인사이트를 사용하도록 설정합니다. VM 인사이트는 Log Analytics 에이전트를 사용하여 게스트 OS 성능 데이터를 수집하고 성능에 대한 인사이트를 제공합니다. 자세히 보기 - https://aka.ms/vminsightsdocs. 사용 중단 알림: Log Analytics 에이전트는 사용 중단 과정에 있으며 2024년 8월 31일 이후에는 지원되지 않습니다. 이 날짜가 되기 전에 대체 'Azure Monitor 에이전트'로 마이그레이션해야 합니다. | DeployIfNotExists, 사용 안 함 | 2.1.1 |
| Azure Arc 지원 Windows 서버에서 Log Analytics 확장 구성 | Log Analytics 가상 머신 확장을 설치하여 Arc 지원 서버를 통해 Azure에 연결된 서버와 머신에서 VM 인사이트를 사용하도록 설정합니다. VM 인사이트는 Log Analytics 에이전트를 사용하여 게스트 OS 성능 데이터를 수집하고 성능에 대한 인사이트를 제공합니다. 자세히 보기 - https://aka.ms/vminsightsdocs. 사용 중단 알림: Log Analytics 에이전트는 사용 중단 과정에 있으며 2024년 8월 31일 이후에는 지원되지 않습니다. 이 날짜가 되기 전에 대체 'Azure Monitor 에이전트'로 마이그레이션해야 합니다. | DeployIfNotExists, 사용 안 함 | 2.1.1 |
| Log Analytics 작업 영역 및 자동화 계정을 구성하여 로그 및 모니터링 중앙 집중화 | Log Analytics 작업 영역 및 연결된 자동화 계정을 포함하는 리소스 그룹을 배포하여 로그 및 모니터링을 중앙에서 집중적으로 처리합니다. 자동화 계정은 업데이트 및 변경 내용 추적과 같은 솔루션의 필수 조건입니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Windows Arc 머신 구성 | 연결을 배포하여 Windows Arc 컴퓨터를 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결합니다. 위치 목록은 시간이 지남에 따라 지원이 증가하면서 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 2.2.0 |
| Azure Monitor 에이전트를 실행하도록 Windows Arc 지원 머신 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Windows Arc 지원 머신에 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 OS 및 지역이 지원되고 시스템 할당 관리 ID가 사용하도록 설정된 경우 확장을 설치하고 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 2.4.0 |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Windows 머신 구성 | 연결을 배포하여 Windows Virtual Machines, 가상 머신 확장 집합 및 Arc 컴퓨터를 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 4.5.0 |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Windows Virtual Machine Scale Sets 구성 | 연결을 배포하여 Windows 가상 머신 확장 집합을 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 3.3.0 |
| 시스템이 할당한 관리 ID를 사용하여 Azure Monitor 에이전트를 실행하도록 Windows 가상 머신 확장 집합 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Windows 가상 머신 확장 집합에 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 OS 및 지역이 지원되고 시스템 할당 관리 ID가 사용하도록 설정된 경우 확장을 설치하고 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 3.4.0 |
| 사용자가 할당한 관리 ID 기반 인증으로 Azure Monitor 에이전트를 실행하도록 Windows 가상 머신 확장 집합 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Windows 가상 머신 확장 집합에 Azure Monitor 에이전트 확장 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.5.0 |
| 데이터 수집 규칙 또는 데이터 수집 엔드포인트와 연결되도록 Windows Virtual Machines 구성 | Windows 가상 머신을 지정된 데이터 수집 규칙 또는 지정된 데이터 수집 엔드포인트에 연결하기 위해 연결을 배포합니다. 위치 및 OS 이미지 목록은 지원이 증가하는 시간이 지남에 따라 업데이트됩니다. | DeployIfNotExists, 사용 안 함 | 3.3.0 |
| 시스템이 할당한 관리 ID를 사용하여 Azure Monitor 에이전트를 실행하도록 Windows 가상 머신 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Windows 가상 머신에 Azure Monitor Agent 확장 배포를 자동화합니다. 이 정책은 OS 및 지역이 지원되고 시스템 할당 관리 ID가 사용하도록 설정된 경우 확장을 설치하고 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 4.4.0 |
| 사용자가 할당한 관리 ID 기반 인증으로 Azure Monitor 에이전트를 실행하도록 Windows 가상 머신 구성 | 게스트 OS에서 원격 분석 데이터를 수집하기 위해 Windows 가상 머신에 Azure Monitor Agent 확장 배포를 자동화합니다. 이 정책은 확장 프로그램을 설치하고 OS 및 지역이 지원되는 경우 지정된 사용자 할당 관리 ID를 사용하도록 구성하며, 그렇지 않은 경우 설치를 건너뜁니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.5.0 |
| 나열된 가상 머신 이미지의 종속성 에이전트를 사용하도록 설정해야 함 | 가상 머신 이미지가 정의된 목록에 없고 에이전트가 설치되어 있지 않은 경우 가상 머신을 비규격으로 보고합니다. OS 이미지 목록은 향후 지원이 업데이트됨에 따라 업데이트됩니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 종속성 에이전트를 사용하도록 설정해야 함 | 가상 머신 이미지가 정의된 목록에 없고 에이전트가 설치되어 있지 않은 경우 가상 머신 확장 집합을 비규격으로 보고합니다. OS 이미지 목록은 향후 지원이 업데이트됨에 따라 업데이트됩니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 배포 - Windows 가상 머신 확장 집합에서 사용하도록 Dependency Agent 구성 | 가상 머신 이미지가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Windows 가상 머신 확장 집합용 종속성 에이전트를 배포합니다. 확장 집합 upgradePolicy를 수동으로 설정한 경우 해당 확장 기능을 업데이트하여 집합의 모든 가상 머신에 적용해야 합니다. | DeployIfNotExists, 사용 안 함 | 3.1.0 |
| 배포 - Windows 가상 머신에서 사용하도록 Dependency Agent 구성 | 가상 머신 이미지가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Windows 가상 머신용 종속성 에이전트를 배포합니다. | DeployIfNotExists, 사용 안 함 | 3.1.0 |
| 배포 - Azure Key Vault 관리형 HSM에서 사용하도록 Log Analytics 작업 영역에 대한 진단 설정 구성 | Azure Key Vault 관리형 HSM의 진단 설정을 배포하여 이 진단 설정이 없는 Azure Key Vault 관리형 HSM이 만들어지거나 업데이트될 때 지역별 Log Analytics 작업 영역으로 스트림합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 배포 - Windows 가상 머신에서 사용하도록 Log Analytics 확장 집합 구성 | 가상 머신 이미지가 정의된 목록에 있고 확장이 설치되지 않은 경우 Windows 가상 머신 확장 집합에 대한 Log Analytics 확장을 배포합니다. 확장 집합 upgradePolicy를 수동으로 설정한 경우 해당 확장 기능을 업데이트하여 집합의 모든 가상 머신에 적용해야 합니다. 사용 중단 알림: Log Analytics 에이전트는 사용 중단 과정에 있으며 2024년 8월 31일 이후에는 지원되지 않습니다. 이 날짜가 되기 전에 대체 'Azure Monitor 에이전트'로 마이그레이션해야 합니다. | DeployIfNotExists, 사용 안 함 | 3.1.0 |
| 배포 - Windows 가상 머신에서 사용하도록 Log Analytics 확장 구성 | 가상 머신 이미지가 정의된 목록에 있고 확장이 설치되지 않은 경우 Windows 가상 머신용 Log Analytics 확장을 배포합니다. 사용 중단 알림: Log Analytics 에이전트는 사용 중단 과정에 있으며 2024년 8월 31일 이후에는 지원되지 않습니다. 이 날짜가 되기 전에 대체 'Azure Monitor 에이전트'로 마이그레이션해야 합니다. | DeployIfNotExists, 사용 안 함 | 3.1.0 |
| Linux 가상 머신 확장 집합용 Dependency Agent 배포 | VM 이미지(OS)가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Linux 가상 머신 확장 집합용 Dependency Agent를 배포합니다. 참고: 확장 집합 upgradePolicy를 수동으로 설정한 경우 이에 대한 업그레이드를 호출하여 집합의 모든 가상 머신에 확장을 적용해야 합니다. CLI에서는 az vmss update-instances입니다. | deployIfNotExists | 5.0.0 |
| Azure Monitoring Agent 설정을 사용하여 Linux 가상 머신 확장 집합에 대한 종속성 에이전트 배포 | VM 이미지(OS)가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Azure Monitoring Agent 설정을 사용하여 Linux 가상 머신 확장 집합용 종속성 에이전트를 배포합니다. 참고: 확장 집합 upgradePolicy를 수동으로 설정한 경우 이에 대한 업그레이드를 호출하여 집합의 모든 가상 머신에 확장을 적용해야 합니다. CLI에서는 az vmss update-instances입니다. | DeployIfNotExists, 사용 안 함 | 3.1.1 |
| Linux 가상 머신용 종속성 에이전트 배포 | VM 이미지(OS)가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Linux 가상 머신용 종속성 에이전트를 배포합니다. | deployIfNotExists | 5.0.0 |
| Azure Monitoring Agent 설정을 사용하여 Linux 가상 머신용 종속성 에이전트 배포 | VM 이미지(OS)가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Azure Monitoring Agent 설정을 사용하여 Linux 가상 머신용 종속성 에이전트를 배포합니다. | DeployIfNotExists, 사용 안 함 | 3.1.1 |
| Azure Monitoring Agent 설정을 사용하여 Windows 가상 머신 확장 집합에서 사용하도록 종속성 에이전트 배포 | 가상 머신 이미지가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Azure Monitoring Agent 설정을 사용하여 Windows 가상 머신 확장 집합용 종속성 에이전트를 배포합니다. 확장 집합 upgradePolicy를 수동으로 설정한 경우 해당 확장 기능을 업데이트하여 집합의 모든 가상 머신에 적용해야 합니다. | DeployIfNotExists, 사용 안 함 | 1.2.2 |
| Azure Monitoring Agent 설정을 사용하여 Windows 가상 머신에서 사용하도록 종속성 에이전트 배포 | 가상 머신 이미지가 정의된 목록에 있고 에이전트가 설치되지 않은 경우 Azure Monitoring Agent 설정을 사용하여 Windows 가상 머신용 종속성 에이전트를 배포합니다. | DeployIfNotExists, 사용 안 함 | 1.2.2 |
| 배치 계정의 진단 설정을 이벤트 허브에 배포 | 이 진단 설정이 누락된 배치 계정을 만들거나 업데이트할 때 배치 계정의 진단 설정을 배포하여 지역별 이벤트 허브로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| 배치 계정의 진단 설정을 Log Analytics 작업 영역에 배포 | 이 진단 설정이 누락된 배치 계정을 만들거나 업데이트할 때 배치 계정의 진단 설정을 배포하여 지역별 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Data Lake Analytics의 진단 설정을 이벤트 허브에 배포 | 이 진단 설정이 누락된 Data Lake Analytics를 만들거나 업데이트할 때 Data Lake Analytics의 진단 설정을 배포하여 지역별 이벤트 허브로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| Data Lake Analytics의 진단 설정을 Log Analytics 작업 영역에 배포 | 이 진단 설정이 누락된 Data Lake Analytics를 만들거나 업데이트할 때 Data Lake Analytics의 진단 설정을 배포하여 지역별 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Data Lake Storage Gen1의 진단 설정을 이벤트 허브에 배포 | 이 진단 설정이 누락된 Data Lake Storage Gen1을 만들거나 업데이트할 때 Data Lake Storage Gen1의 진단 설정을 배포하여 지역별 이벤트 허브로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| Data Lake Storage Gen1의 진단 설정을 Log Analytics 작업 영역에 배포 | 이 진단 설정이 누락된 Data Lake Storage Gen1을 만들거나 업데이트할 때 Data Lake Storage Gen1의 진단 설정을 배포하여 지역별 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 이벤트 허브의 진단 설정을 이벤트 허브에 배포 | 이 진단 설정이 누락된 이벤트 허브를 만들거나 업데이트할 때 이벤트 허브의 진단 설정을 배포하여 지역별 이벤트 허브로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 2.1.0 |
| 이벤트 허브의 진단 설정을 Log Analytics 작업 영역에 배포 | 이 진단 설정이 누락된 이벤트 허브를 만들거나 업데이트할 때 이벤트 허브의 진단 설정을 배포하여 지역별 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| Key Vault의 진단 설정을 Log Analytics 작업 영역에 배포 | 이 진단 설정이 누락된 Key Vault를 만들거나 업데이트할 때 Key Vault의 진단 설정을 배포하여 지역별 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 3.0.0 |
| Logic Apps의 진단 설정을 이벤트 허브에 배포 | 이 진단 설정이 누락된 Logic Apps를 만들거나 업데이트할 때 Logic Apps의 진단 설정을 배포하여 지역별 이벤트 허브로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| Logic Apps의 진단 설정을 Log Analytics 작업 영역에 배포 | 이 진단 설정이 누락된 Logic Apps를 만들거나 업데이트할 때 Logic Apps의 진단 설정을 배포하여 지역별 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 네트워크 보안 그룹에 대한 진단 설정 배포 | 이 정책은 네트워크 보안 그룹에 진단 설정을 자동으로 배포합니다. 이름이 '{storagePrefixParameter} {NSGLocation}' 인 스토리지 계정이 자동으로 생성됩니다. | deployIfNotExists | 2.0.1 |
| Search Services의 진단 설정을 이벤트 허브에 배포 | 이 진단 설정이 누락된 Search Services를 만들거나 업데이트할 때 Search Services의 진단 설정을 배포하여 지역별 이벤트 허브로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| Search Services의 진단 설정을 Log Analytics 작업 영역에 배포 | 이 진단 설정이 누락된 Search Services를 만들거나 업데이트할 때 Search Services의 진단 설정을 배포하여 지역별 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Service Bus의 진단 설정을 이벤트 허브에 배포 | 이 진단 설정이 누락된 Service Bus를 만들거나 업데이트할 때 Service Bus의 진단 설정을 배포하여 지역별 이벤트 허브로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| Service Bus의 진단 설정을 Log Analytics 작업 영역에 배포 | 이 진단 설정이 누락된 Service Bus를 만들거나 업데이트할 때 Service Bus의 진단 설정을 배포하여 지역별 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 2.1.0 |
| Stream Analytics의 진단 설정을 이벤트 허브에 배포 | 이 진단 설정이 누락된 Stream Analytics를 만들거나 업데이트할 때 Stream Analytics의 진단 설정을 배포하여 지역별 이벤트 허브로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| Stream Analytics의 진단 설정을 Log Analytics 작업 영역에 배포 | 이 진단 설정이 누락된 Stream Analytics를 만들거나 업데이트할 때 Stream Analytics의 진단 설정을 배포하여 지역별 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 가상 머신 확장 집합용 Log Analytics 확장을 배포합니다. 아래 사용 중단 알림을 참조하세요. | VM 이미지(OS)가 정의된 목록에 있고 확장이 설치되지 않은 경우 Linux 가상 머신 확장 집합에 대한 Log Analytics 확장을 배포합니다. 참고: 확장 집합 upgradePolicy를 수동으로 설정한 경우 이에 대한 업그레이드를 호출하여 집합의 모든 VM에 확장을 적용해야 합니다. CLI에서는 az vmss update-instances입니다. 사용 중단 알림: Log Analytics 에이전트는 2024년 8월 31일 이후에 지원되지 않습니다. 이 날짜가 되기 전에 대체 'Azure Monitor 에이전트'로 마이그레이션해야 합니다. | deployIfNotExists | 3.0.0 |
| Linux VM용 Log Analytics 확장을 배포합니다. 아래 사용 중단 알림을 참조하세요. | VM 이미지(OS)가 정의된 목록에 있고 확장이 설치되지 않은 경우 Linux VM용 Log Analytics 확장을 배포합니다. 사용 중단 알림: Log Analytics 에이전트는 사용 중단 과정에 있으며 2024년 8월 31일 이후에는 지원되지 않습니다. 이 날짜가 되기 전에 대체 'Azure Monitor 에이전트'로 마이그레이션해야 합니다. | deployIfNotExists | 3.0.0 |
| 1ES 호스트된 풀(microsoft.cloudtest/hostedpools)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 1ES 호스트된 풀(microsoft.cloudtest/hostedpools)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 1ES 호스트된 풀(microsoft.cloudtest/hostedpools)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 1ES 호스트된 풀(microsoft.cloudtest/hostedpools)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 1ES 호스트된 풀(microsoft.cloudtest/hostedpools)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 1ES 호스트된 풀(microsoft.cloudtest/hostedpools)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Analysis Services(microsoft.analyticservices/servers)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Analysis Services(microsoft.analyticservices/servers)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Analysis Services(microsoft.analyticservices/servers)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Analysis Services(microsoft.analyticservices/servers)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Analysis Services(microsoft.analyticservices/servers)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Analysis Services(microsoft.analyticservices/servers)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Apache Spark 풀(microsoft.synapse/workspaces/bigdatapools)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Apache Spark 풀(microsoft.synapse/workspaces/bigdatapools)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Apache Spark 풀(microsoft.synapse/workspaces/bigdatapools)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Apache Spark 풀(microsoft.synapse/workspaces/bigdatapools)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Apache Spark 풀(microsoft.synapse/workspaces/bigdatapools)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Apache Spark 풀(microsoft.synapse/workspaces/bigdatapools)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| API Management 서비스(microsoft.apimanagement/service)에 대해 범주 그룹별로 Event Hub에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 API Management 서비스(microsoft.apimanagement/service)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| API Management 서비스(microsoft.apimanagement/service)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 API Management 서비스(microsoft.apimanagement/service)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| API Management 서비스(microsoft.apimanagement/service)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 API Management 서비스(microsoft.apimanagement/service)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| App Configuration(microsoft.appconfiguration/configurationstores)에 대해 범주 그룹별로 Event Hub에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 App Configuration(microsoft.appconfiguration/configurationstores)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| App Configuration(microsoft.appconfiguration/configurationstores)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 App Configuration(microsoft.appconfiguration/configurationstores)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| App Configuration(microsoft.appconfiguration/configurationstores)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 App Configuration(microsoft.appconfiguration/configurationstores)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| App Service(microsoft.web/sites) 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정합니다. | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 App Service에 대한 Log Analytics 작업 영역(microsoft.web/sites)으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| App Service Environment(microsoft.web/hostingenvironments)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 App Service Environments(microsoft.web/hostingenvironments)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| App Service Environment(microsoft.web/hostingenvironments)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 App Service Environments(microsoft.web/hostingenvironments)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| App Service Environment(microsoft.web/hostingenvironments)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 App Service Environments(microsoft.web/hostingenvironments)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 애플리케이션 게이트웨이(microsoft.network/applicationgateways)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 애플리케이션 게이트웨이(microsoft.network/applicationgateways)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 애플리케이션 게이트웨이(microsoft.network/applicationgateways)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 애플리케이션 게이트웨이(microsoft.network/applicationgateways)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 애플리케이션 게이트웨이(microsoft.network/applicationgateways)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 애플리케이션 게이트웨이(microsoft.network/applicationgateways)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 애플리케이션 그룹(microsoft.desktopvirtualization/applicationgroups)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정합니다. | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 Azure Virtual Desktop 애플리케이션 그룹(microsoft.desktopvirtualization/applicationgroups)에 대한 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 애플리케이션 그룹(microsoft.desktopvirtualization/applicationgroups)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 애플리케이션 그룹(microsoft.desktopvirtualization/applicationgroups)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 애플리케이션 그룹(microsoft.desktopvirtualization/applicationgroups)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 로그를 애플리케이션 그룹(microsoft.desktopvirtualization/applicationgroups)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 애플리케이션 그룹(microsoft.desktopvirtualization/applicationgroups)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 애플리케이션 그룹(microsoft.desktopvirtualization/applicationgroups)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Application Insights(microsoft.insights/comComponents)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Application Insights(microsoft.insights/components)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Application Insights(microsoft.insights/components)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Application Insights(microsoft.insights/components)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Application Insights(Microsoft.Insights/comComponents)에 대해 범주 그룹별로 Log Analytics(Virtual Enclaves)에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Application Insights에 대한 Log Analytics 작업 영역(Microsoft.Insights/comComponents)으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.1 |
| Application Insights(microsoft.insights/comComponents)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Application Insights(microsoft.insights/components)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 증명 공급자(microsoft.attestation/attestationproviders)에 대해 범주 그룹별로 Event Hub에 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 증명 공급자(microsoft.attestation/attestationproviders)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| 증명 공급자(microsoft.attestation/attestationproviders)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 증명 공급자(microsoft.attestation/attestationproviders)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 증명 공급자(microsoft.attestation/attestationproviders)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 증명 공급자(microsoft.attestation/attestationproviders)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 자동화 계정(microsoft.automation/automationaccounts)에 대해 범주 그룹별로 Event Hub에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 자동화 계정(microsoft.automation/automationaccounts)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| 자동화 계정(microsoft.automation/automationaccounts)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 자동화 계정(microsoft.automation/automationaccounts)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 자동화 계정(microsoft.automation/automationaccounts)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 자동화 계정(microsoft.automation/automationaccounts)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| AVS 프라이빗 클라우드(microsoft.avs/privateclouds)에 대해 범주 그룹별로 Event Hub에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 AVS 프라이빗 클라우드(microsoft.avs/privateclouds)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| AVS 프라이빗 클라우드(microsoft.avs/privateclouds)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 AVS 프라이빗 클라우드(microsoft.avs/privateclouds)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| AVS 프라이빗 클라우드(microsoft.avs/privateclouds)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 AVS 프라이빗 클라우드(microsoft.avs/privateclouds)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Azure AD Domain Services(microsoft.aad/domainservices)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure AD Domain Services(microsoft.aad/domainservices)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure AD Domain Services(microsoft.aad/domainservices)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure AD Domain Services(microsoft.aad/domainservices)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure AD Domain Services(microsoft.aad/domainservices)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure AD Domain Services(microsoft.aad/domainservices)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure API for FHIR(microsoft.healthcareapis/services)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure API for FHIR(microsoft.healthcareapis/services)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure API for FHIR(microsoft.healthcareapis/services)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure API for FHIR(microsoft.healthcareapis/services)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure API for FHIR(microsoft.healthcareapis/services)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure API for FHIR(microsoft.healthcareapis/services)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Cache for Redis(microsoft.cache/redis)에 대해 범주 그룹별로 Event Hub에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Azure Cache for Redis(microsoft.cache/redis)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Azure Cache for Redis(microsoft.cache/redis)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Azure Cache for Redis(microsoft.cache/redis)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Azure Cache for Redis(microsoft.cache/redis)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Azure Cache for Redis(microsoft.cache/redis)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Azure Cosmos DB(microsoft.documentdb/databaseaccounts) 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정합니다. | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Azure Cosmos DB에 대한 Log Analytics 작업 영역(microsoft.documentdb/databaseaccounts)으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Cosmos DB 계정(microsoft.documentdb/databaseaccounts)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Cosmos DB 계정(microsoft.documentdb/databaseaccounts)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Cosmos DB 계정(microsoft.documentdb/databaseaccounts)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Cosmos DB 계정(microsoft.documentdb/databaseaccounts)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Cosmos DB 계정(microsoft.documentdb/databaseaccounts)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Cosmos DB 계정(microsoft.documentdb/databaseaccounts)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Data Explorer 클러스터(microsoft.kusto/clusters)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Data Explorer 클러스터(microsoft.kusto/clusters)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Data Explorer 클러스터(microsoft.kusto/clusters)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Data Explorer 클러스터(microsoft.kusto/clusters)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Data Explorer 클러스터(microsoft.kusto/clusters)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Data Explorer 클러스터(microsoft.kusto/clusters)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Database for MariaDB 서버(microsoft.dbformariadb/servers)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Database for MariaDB 서버(microsoft.dbformariadb/servers)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Database for MariaDB 서버(microsoft.dbformariadb/servers)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Database for MariaDB 서버(microsoft.dbformariadb/servers)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Database for MariaDB 서버(microsoft.dbformariadb/servers)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Database for MariaDB 서버(microsoft.dbformariadb/servers)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Database for MySQL 서버(microsoft.dbformysql/servers)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Database for MySQL 서버(microsoft.dbformysql/servers)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Database for MySQL 서버(microsoft.dbformysql/servers)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Database for MySQL 서버(microsoft.dbformysql/servers)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Database for MySQL 서버(microsoft.dbformysql/servers)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Database for MySQL 서버(microsoft.dbformysql/servers)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Databricks Services(microsoft.databricks/workspaces)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Databricks Services(microsoft.databricks/workspaces)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Databricks Services(microsoft.databricks/workspaces)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Databricks Services(microsoft.databricks/workspaces)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Databricks Services(microsoft.databricks/workspaces)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Databricks Services(microsoft.databricks/workspaces)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Digital Twins(microsoft.digitaltwins/digitaltwinsinstances)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Digital Twins(microsoft.digitaltwins/digitaltwinsinstances)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Digital Twins(microsoft.digitaltwins/digitaltwinsinstances)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Digital Twins(microsoft.digitaltwins/digitaltwinsinstances)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Digital Twins(microsoft.digitaltwins/digitaltwinsinstances)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Digital Twins(microsoft.digitaltwins/digitaltwinsinstances)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure FarmBeats(microsoft.agfoodplatform/farmbeats)에 대해 범주 그룹별로 Event Hub에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Azure FarmBeats(microsoft.agfoodplatform/farmbeats)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Azure FarmBeats(microsoft.agfoodplatform/farmbeats)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Azure FarmBeats(microsoft.agfoodplatform/farmbeats)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Azure FarmBeats(microsoft.agfoodplatform/farmbeats)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Azure FarmBeats(microsoft.agfoodplatform/farmbeats)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Azure Load Testing(microsoft.loadtestservice/loadtests)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Load Testing(microsoft.loadtestservice/loadtests)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Load Testing(microsoft.loadtestservice/loadtests)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Load Testing(microsoft.loadtestservice/loadtests)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Load Testing(microsoft.loadtestservice/loadtests)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Load Testing(microsoft.loadtestservice/loadtests)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Machine Learning(microsoft.machinelearningservices/workspaces)에 대해 범주 그룹별로 Event Hub에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Azure Machine Learning(microsoft.machinelearningservices/workspaces)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Azure Machine Learning(microsoft.machinelearningservices/workspaces)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Azure Machine Learning(microsoft.machinelearningservices/workspaces)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Azure Machine Learning(microsoft.machinelearningservices/workspaces)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Azure Machine Learning(microsoft.machinelearningservices/workspaces)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Azure Managed Grafana(microsoft.dashboard/grafana)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Managed Grafana(microsoft.dashboard/grafana)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Managed Grafana(microsoft.dashboard/grafana)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Managed Grafana(microsoft.dashboard/grafana)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Managed Grafana(microsoft.dashboard/grafana)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Managed Grafana(microsoft.dashboard/grafana)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Spring Apps(microsoft.appplatform/spring)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Spring Apps(microsoft.appplatform/spring)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Spring Apps(microsoft.appplatform/spring)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Spring Apps(microsoft.appplatform/spring)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Spring Apps(microsoft.appplatform/spring)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Spring Apps(microsoft.appplatform/spring)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Synapse Analytics(microsoft.synapse/workspaces)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Synapse Analytics(microsoft.synapse/workspaces)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Synapse Analytics(microsoft.synapse/workspaces)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Synapse Analytics(microsoft.synapse/workspaces)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Synapse Analytics(microsoft.synapse/workspaces)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Synapse Analytics(microsoft.synapse/workspaces)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Video Indexer(microsoft.videoindexer/accounts)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Video Indexer(microsoft.videoindexer/accounts)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Video Indexer(microsoft.videoindexer/accounts)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Video Indexer(microsoft.videoindexer/accounts)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Video Indexer(microsoft.videoindexer/accounts)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Azure Video Indexer(microsoft.videoindexer/accounts)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Backup 자격 증명 모음(microsoft.dataprotection/backupvaults)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Backup 자격 증명 모음(microsoft.dataprotection/backupvaults)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Backup 자격 증명 모음(microsoft.dataprotection/backupvaults)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Backup 자격 증명 모음(microsoft.dataprotection/backupvaults)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Backup 자격 증명 모음(microsoft.dataprotection/backupvaults)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Backup 자격 증명 모음(microsoft.dataprotection/backupvaults)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Bastions(microsoft.network/bastionhosts)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Bastions용 Event Hub(microsoft.network/bastionhosts)로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Bastions(microsoft.network/bastionhosts)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Bastions용 Log Analytics 작업 영역(microsoft.network/bastionhosts)으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Bastions(microsoft.network/bastionhosts)에 대해 범주 그룹별로 스토리지에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Bastions용 스토리지 계정(microsoft.network/bastionhosts)으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Batch 계정(microsoft.batch/batchaccounts)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Batch 계정(microsoft.batch/batchaccounts)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Batch 계정(microsoft.batch/batchaccounts)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Batch 계정(microsoft.batch/batchaccounts)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Batch 계정(microsoft.batch/batchaccounts)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Batch 계정(microsoft.batch/batchaccounts)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Bot Services(microsoft.botservice/botservices)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Bot Services(microsoft.botservice/botservices)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Bot Services(microsoft.botservice/botservices)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Bot Services(microsoft.botservice/botservices)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Bot Services(microsoft.botservice/botservices)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Bot Services(microsoft.botservice/botservices)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 캐시(microsoft.cache/redisenterprise/databases)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 캐시(microsoft.cache/redisenterprise/databases)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 캐시(microsoft.cache/redisenterprise/databases)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 캐시(microsoft.cache/redisenterprise/databases)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 캐시(microsoft.cache/redisenterprise/databases)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 캐시(microsoft.cache/redisenterprise/databases)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 카오스 실험(microsoft.chaos/experiments)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 카오스 실험(microsoft.chaos/experiments)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 카오스 실험(microsoft.chaos/experiments)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 카오스 실험(microsoft.chaos/experiments)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 카오스 실험(microsoft.chaos/experiments)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 카오스 실험(microsoft.chaos/experiments)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 코드 서명 계정(microsoft.codesigning/codesigningaccounts)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 코드 서명 계정(microsoft.codesigning/codesigningaccounts)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 코드 서명 계정(microsoft.codesigning/codesigningaccounts)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 코드 서명 계정(microsoft.codesigning/codesigningaccounts)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 코드 서명 계정(microsoft.codesigning/codesigningaccounts)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 코드 서명 계정(microsoft.codesigning/codesigningaccounts)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub에 Cognitive Services(microsoft.cognitiveservices/accounts)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Cognitive Services용(microsoft.cognitiveservices/accounts) 이벤트 허브로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics Cognitive Services(microsoft.cognitiveservices/accounts)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Cognitive Services(microsoft.cognitiveservices/accounts)에 대한 Log Analytics 작업 영역으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Storage에 Cognitive Services(microsoft.cognitiveservices/accounts)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Cognitive Services용(microsoft.cognitiveservices/accounts) 스토리지 계정으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Communication Services(microsoft.communication/communicationservices)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Communication Services(microsoft.communication/communicationservices)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Communication Services(microsoft.communication/communicationservices)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Communication Services(microsoft.communication/communicationservices)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Communication Services(microsoft.communication/communicationservices)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Communication Services(microsoft.communication/communicationservices)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 연결된 캐시 리소스(microsoft.connectedcache/ispcustomers)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 연결된 캐시 리소스(microsoft.connectedcache/ispcustomers)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 연결된 캐시 리소스(microsoft.connectedcache/ispcustomers)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 연결된 캐시 리소스(microsoft.connectedcache/ispcustomers)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 연결된 캐시 리소스(microsoft.connectedcache/ispcustomers)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 연결된 캐시 리소스(microsoft.connectedcache/ispcustomers)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Container Apps 환경(microsoft.app/managedenvironments)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Container Apps 환경(microsoft.app/managedenvironments)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Container Apps 환경(microsoft.app/managedenvironments)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Container Apps 환경(microsoft.app/managedenvironments)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Container Apps 환경(microsoft.app/managedenvironments)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Container Apps 환경(microsoft.app/managedenvironments)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 컨테이너 인스턴스(microsoft.containerinstance/containergroups)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 컨테이너 인스턴스(microsoft.containerinstance/containergroups)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 컨테이너 인스턴스(microsoft.containerinstance/containergroups)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 컨테이너 인스턴스(microsoft.containerinstance/containergroups)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 컨테이너 인스턴스(microsoft.containerinstance/containergroups)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 컨테이너 인스턴스(microsoft.containerinstance/containergroups)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 컨테이너 레지스트리(microsoft.containerregistry/registries)에 대해 범주 그룹별로 Event Hub에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 컨테이너 레지스트리(microsoft.containerregistry/registries)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| 컨테이너 레지스트리(microsoft.containerregistry/registries)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 컨테이너 레지스트리(microsoft.containerregistry/registries)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 컨테이너 레지스트리(microsoft.containerregistry/registries)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 컨테이너 레지스트리(microsoft.containerregistry/registries)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 데이터 수집 규칙(microsoft.insights/datacollectionrules)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 데이터 수집 규칙(microsoft.insights/datacollectionrules)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 데이터 수집 규칙(microsoft.insights/datacollectionrules)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 데이터 수집 규칙(microsoft.insights/datacollectionrules)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 데이터 수집 규칙(microsoft.insights/datacollectionrules)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 데이터 수집 규칙(microsoft.insights/datacollectionrules)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 데이터 팩터리(V2)(microsoft.datafactory/factories)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 데이터 팩터리(V2)(microsoft.datafactory/factories)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 데이터 팩터리(V2)(microsoft.datafactory/factories)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 데이터 팩터리(V2)(microsoft.datafactory/factories)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 데이터 팩터리(V2)(microsoft.datafactory/factories)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 데이터 팩터리(V2)(microsoft.datafactory/factories)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Data Lake Analytics(microsoft.datalakeanalytics/accounts)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Data Lake Analytics(microsoft.datalakeanalytics/accounts)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Data Lake Analytics(microsoft.datalakeanalytics/accounts)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Data Lake Analytics(microsoft.datalakeanalytics/accounts)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Data Lake Analytics(microsoft.datalakeanalytics/accounts)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Data Lake Analytics(microsoft.datalakeanalytics/accounts)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Data Lake Storage Gen1(microsoft.datalakestore/accounts)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Data Lake Storage Gen1(microsoft.datalakestore/accounts)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Data Lake Storage Gen1(microsoft.datalakestore/accounts)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Data Lake Storage Gen1(microsoft.datalakestore/accounts)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Data Lake Storage Gen1(microsoft.datalakestore/accounts)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Data Lake Storage Gen1(microsoft.datalakestore/accounts)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 데이터 공유(microsoft.datashare/accounts)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 데이터 공유(microsoft.datashare/accounts)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 데이터 공유(microsoft.datashare/accounts)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 데이터 공유(microsoft.datashare/accounts)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 데이터 공유(microsoft.datashare/accounts)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 데이터 공유(microsoft.datashare/accounts)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 전용 SQL 풀(microsoft.synapse/workspaces/sqlpools)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 전용 SQL 풀(microsoft.synapse/workspaces/sqlpools)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 전용 SQL 풀(microsoft.synapse/workspaces/sqlpools)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 전용 SQL 풀(microsoft.synapse/workspaces/sqlpools)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 전용 SQL 풀(microsoft.synapse/workspaces/sqlpools)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 전용 SQL 풀(microsoft.synapse/workspaces/sqlpools)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 개발자 센터(microsoft.devcenter/devcenters)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 개발자 센터(microsoft.devcenter/devcenters)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 개발자 센터(microsoft.devcenter/devcenters)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 개발자 센터(microsoft.devcenter/devcenters)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 개발자 센터(microsoft.devcenter/devcenters)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 개발자 센터(microsoft.devcenter/devcenters)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| DICOM 서비스(microsoft.healthcareapis/workspaces/dicomservices)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 DICOM 서비스(microsoft.healthcareapis/workspaces/dicomservices)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| DICOM 서비스(microsoft.healthcareapis/workspaces/dicomservices)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 DICOM 서비스(microsoft.healthcareapis/workspaces/dicomservices)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| DICOM 서비스(microsoft.healthcareapis/workspaces/dicomservices)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 DICOM 서비스(microsoft.healthcareapis/workspaces/dicomservices)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 엔드포인트(microsoft.cdn/profiles/endpoints)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 엔드포인트(microsoft.cdn/profiles/endpoints)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 엔드포인트(microsoft.cdn/profiles/endpoints)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 엔드포인트(microsoft.cdn/profiles/endpoints)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 엔드포인트(microsoft.cdn/profiles/endpoints)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 엔드포인트(microsoft.cdn/profiles/endpoints)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Grid 도메인(microsoft.eventgrid/domains)에 대해 범주 그룹별로 Event Hub에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Event Grid 도메인(microsoft.eventgrid/domains)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Event Grid 도메인(microsoft.eventgrid/domains)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 Event Grid 도메인(microsoft.eventgrid/domains)에 대한 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Event Grid 도메인(microsoft.eventgrid/domains)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Event Grid 도메인(microsoft.eventgrid/domains)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Event Grid 파트너 네임스페이스(microsoft.eventgrid/partnernamespaces)에 대해 범주 그룹별로 Event Hub에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Event Grid 파트너 네임스페이스(microsoft.eventgrid/partnernamespaces)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Event Grid 파트너 네임스페이스(microsoft.eventgrid/partnernamespaces)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 Event Grid 파트너 네임스페이스(microsoft.eventgrid/partnernamespaces)에 대한 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Event Grid 파트너 네임스페이스(microsoft.eventgrid/partnernamespaces)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Event Grid 파트너 네임스페이스(microsoft.eventgrid/partnernamespaces)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Event Grid 파트너 토픽(microsoft.eventgrid/partnertopics)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Event Grid 파트너 토픽(microsoft.eventgrid/partnertopics)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Grid 파트너 토픽(microsoft.eventgrid/partnertopics)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Event Grid 파트너 토픽(microsoft.eventgrid/partnertopics)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Grid 파트너 토픽(microsoft.eventgrid/partnertopics)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Event Grid 파트너 토픽(microsoft.eventgrid/partnertopics)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Grid 시스템 토픽(microsoft.eventgrid/systemtopics)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Event Grid 시스템 토픽(microsoft.eventgrid/systemtopics)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Grid 시스템 토픽(microsoft.eventgrid/systemtopics)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Event Grid 시스템 토픽(microsoft.eventgrid/systemtopics)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Grid 시스템 토픽(microsoft.eventgrid/systemtopics)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Event Grid 시스템 토픽(microsoft.eventgrid/systemtopics)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Grid 항목(microsoft.eventgrid/topics)에 대해 범주 그룹별로 Event Hub에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 Event Grid 항목(microsoft.eventgrid/topics)에 대한 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics에 대한 Event Grid 항목(microsoft.eventgrid/topics)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 Event Grid 항목(microsoft.eventgrid/topics)에 대한 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Event Grid 항목(microsoft.eventgrid/topics)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 Event Grid 항목(microsoft.eventgrid/topics)에 대한 스토리지 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Event Hubs 네임스페이스(microsoft.eventhub/namespaces)에 대해 Event Hub에 대한 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Event Hubs 네임스페이스(microsoft.eventhub/namespaces)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Event Hubs 네임스페이스(microsoft.eventhub/namespaces)에서 Log Analytics에 대한 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 Event Hubs 네임스페이스(microsoft.eventhub/namespaces)에 대한 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Event Hubs 네임스페이스(microsoft.eventhub/namespaces)에서 Storage에 대한 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Event Hubs 네임스페이스(microsoft.eventhub/namespaces)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 실험 작업 영역(microsoft.experimentation/experimentworkspaces)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 실험 작업 영역(microsoft.experimentation/experimentworkspaces)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 실험 작업 영역(microsoft.experimentation/experimentworkspaces)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 실험 작업 영역(microsoft.experimentation/experimentworkspaces)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 실험 작업 영역(microsoft.experimentation/experimentworkspaces)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 실험 작업 영역(microsoft.experimentation/experimentworkspaces)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| ExpressRoute 회로(microsoft.network/expressroutecircuits)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 ExpressRoute 회로(microsoft.network/expressroutecircuits)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| ExpressRoute 회로(microsoft.network/expressroutecircuits)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 ExpressRoute 회로(microsoft.network/expressroutecircuits)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| ExpressRoute 회로(microsoft.network/expressroutecircuits)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 ExpressRoute 회로(microsoft.network/expressroutecircuits)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| FHIR 서비스(microsoft.healthcareapis/workspaces/fhirservices)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 FHIR 서비스(microsoft.healthcareapis/workspaces/fhirservices)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| FHIR 서비스(microsoft.healthcareapis/workspaces/fhirservices)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 FHIR 서비스(microsoft.healthcareapis/workspaces/fhirservices)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| FHIR 서비스(microsoft.healthcareapis/workspaces/fhirservices)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 FHIR 서비스(microsoft.healthcareapis/workspaces/fhirservices)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 방화벽(microsoft.network/azurefirewalls) 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정합니다. | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 방화벽에 대한 Log Analytics 작업 영역(microsoft.network/azurefirewalls)으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 방화벽(microsoft.network/azurefirewalls)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 방화벽(microsoft.network/azurefirewalls)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 방화벽(microsoft.network/azurefirewalls)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 방화벽(microsoft.network/azurefirewalls)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 방화벽(microsoft.network/azurefirewalls)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 방화벽(microsoft.network/azurefirewalls)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Front Door 및 CDN 프로필(microsoft.cdn/profiles)에 대해 범주 그룹별로 Event Hub에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Front Door 및 CDN 프로필(microsoft.cdn/profiles)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Front Door 및 CDN 프로필(microsoft.cdn/profiles)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Front Door 및 CDN 프로필(microsoft.cdn/profiles)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Front Door 및 CDN 프로필(microsoft.cdn/profiles)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Front Door 및 CDN 프로필(microsoft.cdn/profiles)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Front Door 및 CDN 프로필(microsoft.network/frontdoors)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Front Door 및 CDN 프로필용 Event Hub(microsoft.network/frontdoors)로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Front Door 및 CDN 프로필(microsoft.network/frontdoors)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Front Door 및 CDN 프로필용 Log Analytics 작업 영역(microsoft.network/frontdoors)으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Front Door 및 CDN 프로필(microsoft.network/frontdoors)에 대해 범주 그룹별로 스토리지에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Front Door 및 CDN 프로필용 스토리지 계정(microsoft.network/frontdoors)으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 함수 앱(microsoft.web/sites) 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정합니다. | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 함수 앱에 대한 Log Analytics 작업 영역(microsoft.web/sites)으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 호스트 풀(microsoft.desktopvirtualization/hostpools) 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정합니다. | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 Azure Virtual Desktop 호스트 풀(microsoft.desktopvirtualization/hostpools)에 대한 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 호스트 풀(microsoft.desktopvirtualization/hostpools)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 호스트 풀(microsoft.desktopvirtualization/hostpools)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 호스트 풀(microsoft.desktopvirtualization/hostpools)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 호스트 풀(microsoft.desktopvirtualization/hostpools)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 호스트 풀(microsoft.desktopvirtualization/hostpools)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 호스트 풀(microsoft.desktopvirtualization/hostpools)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| HPC 캐시(microsoft.storagecache/caches)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 HPC 캐시(microsoft.storagecache/caches)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| HPC 캐시(microsoft.storagecache/caches)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 HPC 캐시(microsoft.storagecache/caches)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| HPC 캐시(microsoft.storagecache/caches)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 HPC 캐시(microsoft.storagecache/caches)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 통합 계정(microsoft.logic/integrationaccounts)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 통합 계정(microsoft.logic/integrationaccounts)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 통합 계정(microsoft.logic/integrationaccounts)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 통합 계정(microsoft.logic/integrationaccounts)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 통합 계정(microsoft.logic/integrationaccounts)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 통합 계정(microsoft.logic/integrationaccounts)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| IoT Hub(microsoft.devices/iothubs)에 대한 범주 그룹별로 Event Hub에 로깅을 사용하도록 설정합니다. | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 IoT Hub(microsoft.devices/iothubs)에 대한 이벤트 허브로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| IoT Hub(microsoft.devices/iothubs)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 IoT Hub(microsoft.devices/iothubs)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| IoT Hub(microsoft.devices/iothubs)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 IoT Hub용 스토리지 계정(microsoft.devices/iothubs)으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Event Hub에 대한 Key Vaults(microsoft.keyvault/vaults)의 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Key Vault(microsoft.keyvault/vaults)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| 키 자격 증명 모음(microsoft.keyvault/vaults)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Key Vault(microsoft.keyvault/vaults)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 키 자격 증명 모음(microsoft.keyvault/vaults)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 로그를 Key Vaults(microsoft.keyvault/vaults)의 Storage Account로 라우팅하는 범주 그룹을 사용한 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 라이브 이벤트(microsoft.media/mediaservices/liveevents)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 라이브 이벤트(microsoft.media/mediaservices/liveevents)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 라이브 이벤트(microsoft.media/mediaservices/liveevents)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 라이브 이벤트(microsoft.media/mediaservices/liveevents)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 라이브 이벤트(microsoft.media/mediaservices/liveevents)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 라이브 이벤트(microsoft.media/mediaservices/liveevents)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 부하 분산 장치(microsoft.network/loadbalancers)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 부하 분산 장치(microsoft.network/loadbalancers)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 부하 분산 장치(microsoft.network/loadbalancers)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 부하 분산 장치(microsoft.network/loadbalancers)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 부하 분산 장치(microsoft.network/loadbalancers)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 부하 분산 장치(microsoft.network/loadbalancers)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics 작업 영역(microsoft.Operationalinsights/workspaces)에 대해 범주 그룹별로 Event Hub에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Log Analytics 작업 영역에 대한 이벤트 허브(microsoft.Operationalinsights/workspaces)로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics 작업 영역(microsoft.Operationalinsights/workspaces)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Log Analytics 작업 영역에 대한 Log Analytics 작업 영역(microsoft.Operationalinsights/workspaces)으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Log Analytics 작업 영역(microsoft.Operationalinsights/workspaces)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Log Analytics 작업 영역에 대한 스토리지 계정(microsoft.Operationalinsights/workspaces)으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 논리 앱(microsoft.logic/workflows)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 논리 앱(microsoft.logic/workflows)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 논리 앱(microsoft.logic/workflows)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 논리 앱(microsoft.logic/workflows)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 논리 앱(microsoft.logic/workflows)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 논리 앱(microsoft.logic/workflows)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 관리되는 CCF 앱(microsoft.confidentialledger/managedccfs)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 관리되는 CCF 앱(microsoft.confidentialledger/managedccfs)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 관리되는 CCF 앱(microsoft.confidentialledger/managedccfs)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 관리되는 CCF 앱(microsoft.confidentialledger/managedccfs)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 관리되는 CCF 앱(microsoft.confidentialledger/managedccfs)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 관리되는 CCF 앱(microsoft.confidentialledger/managedccfs)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 관리되는 데이터베이스(microsoft.sql/managedinstances/databases)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 관리되는 데이터베이스(microsoft.sql/managedinstances/databases)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 관리되는 데이터베이스(microsoft.sql/managedinstances/databases)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 관리되는 데이터베이스(microsoft.sql/managedinstances/databases)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 관리되는 데이터베이스(microsoft.sql/managedinstances/databases)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 관리되는 데이터베이스(microsoft.sql/managedinstances/databases)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub에 대한 관리형 HSM(microsoft.keyvault/managedhsms)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 관리형 HSM(microsoft.keyvault/managedhsms)에 대한 이벤트 허브로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| 관리형 HSM(microsoft.keyvault/managedhsms)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 관리형 HSM(microsoft.keyvault/managedhsms)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 관리형 HSM(microsoft.keyvault/managedhsms)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 로그를 관리형 HSM(microsoft.keyvault/managedhsms)의 Storage Account로 라우팅하는 범주 그룹을 사용한 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Media Services(microsoft.media/mediaservices)에 대한 범주 그룹별로 Event Hub에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Media Services(microsoft.media/mediaservices)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Media Services(microsoft.media/mediaservices)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Media Services(microsoft.media/mediaservices)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Media Services(microsoft.media/mediaservices)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Media Services(microsoft.media/mediaservices)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| MedTech 서비스(microsoft.healthcareapis/workspaces/iotconnectors)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 MedTech 서비스(microsoft.healthcareapis/workspaces/iotconnectors)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| MedTech 서비스(microsoft.healthcareapis/workspaces/iotconnectors)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 MedTech 서비스(microsoft.healthcareapis/workspaces/iotconnectors)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| MedTech 서비스(microsoft.healthcareapis/workspaces/iotconnectors)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 MedTech 서비스(microsoft.healthcareapis/workspaces/iotconnectors)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Purview 계정(microsoft.purview/accounts)에 대해 범주 그룹별로 Event Hub에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 Microsoft Purview 계정(microsoft.purview/accounts)에 대한 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Microsoft Purview 계정(microsoft.purview/accounts)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 Microsoft Purview 계정(microsoft.purview/accounts)에 대한 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Microsoft Purview 계정(microsoft.purview/accounts)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Microsoft Purview 계정(microsoft.purview/accounts)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| microsoft.autonomousdevelopmentplatform/workspaces에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.autonomousdevelopmentplatform/workspaces에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.autonomousdevelopmentplatform/workspaces에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.autonomousdevelopmentplatform/workspaces에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.autonomousdevelopmentplatform/workspaces에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.autonomousdevelopmentplatform/workspaces에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.azuresphere/catalogs에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.azuresphere/catalogs에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.azuresphere/catalogs에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.azuresphere/catalogs에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.azuresphere/catalogs에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.azuresphere/catalogs에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.cdn/cdnwebapplicationfirewallpolicies에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.cdn/cdnwebapplicationfirewallpolicies에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.cdn/cdnwebapplicationfirewallpolicies에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.cdn/cdnwebapplicationfirewallpolicies에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.cdn/cdnwebapplicationfirewallpolicies에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.cdn/cdnwebapplicationfirewallpolicies에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.classicnetwork/networksecuritygroups에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.classicnetwork/networksecuritygroups에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.classicnetwork/networksecuritygroups에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.classicnetwork/networksecuritygroups에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.classicnetwork/networksecuritygroups에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.classicnetwork/networksecuritygroups에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.community/communitytrainings에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.community/communitytrainings에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.community/communitytrainings에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.community/communitytrainings에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.community/communitytrainings에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.community/communitytrainings에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.connectedcache/enterprisemcccustomers에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.connectedcache/enterprisemcccustomers에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.connectedcache/enterprisemcccustomers에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.connectedcache/enterprisemcccustomers에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.connectedcache/enterprisemcccustomers에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.connectedcache/enterprisemcccustomers에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.customproviders/resourceproviders에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.customproviders/resourceproviders에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.customproviders/resourceproviders에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.customproviders/resourceproviders에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.customproviders/resourceproviders에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.customproviders/resourceproviders에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.d365customerinsights/instances에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.d365customerinsights/instances에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.d365customerinsights/instances에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.d365customerinsights/instances에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.d365customerinsights/instances에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.d365customerinsights/instances에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.dbformysql/flexibleservers에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.dbformysql/flexibleservers에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.dbformysql/flexibleservers에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.dbformysql/flexibleservers에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.dbformysql/flexibleservers에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.dbformysql/flexibleservers에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.dbforpostgresql/flexibleservers에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.dbforpostgresql/flexibleservers에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.dbforpostgresql/flexibleservers에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.dbforpostgresql/flexibleservers에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.dbforpostgresql/flexibleservers에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.dbforpostgresql/flexibleservers에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.dbforpostgresql/servergroupsv2에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.dbforpostgresql/servergroupsv2에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.dbforpostgresql/servergroupsv2에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.dbforpostgresql/servergroupsv2에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.dbforpostgresql/servergroupsv2에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.dbforpostgresql/servergroupsv2에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.dbforpostgresql/servers에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.dbforpostgresql/servers에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.dbforpostgresql/servers에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.dbforpostgresql/servers에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.dbforpostgresql/servers에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.dbforpostgresql/servers에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.devices/provisioningservices에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.devices/provisioningservices에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.devices/provisioningservices에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.devices/provisioningservices에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.devices/provisioningservices에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.devices/provisioningservices에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.documentdb/cassandraclusters에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.documentdb/cassandraclusters에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.documentdb/cassandraclusters에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.documentdb/cassandraclusters에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.documentdb/cassandraclusters에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.documentdb/cassandraclusters에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.documentdb/mongoclusters에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.documentdb/mongoclusters에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.documentdb/mongoclusters에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.documentdb/mongoclusters에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.documentdb/mongoclusters에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.documentdb/mongoclusters에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.insights/autoscalesettings에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.insights/autoscalesettings에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.insights/autoscalesettings에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.insights/autoscalesettings에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.insights/autoscalesettings에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.insights/autoscalesettings에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.machinelearningservices/registries에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.machinelearningservices/registries에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.machinelearningservices/registries에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.machinelearningservices/registries에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.machinelearningservices/registries에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.machinelearningservices/registries에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.machinelearningservices/workspaces/onlineendpoints에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.machinelearningservices/workspaces/onlineendpoints에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.machinelearningservices/workspaces/onlineendpoints에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.machinelearningservices/workspaces/onlineendpoints에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.machinelearningservices/workspaces/onlineendpoints에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.machinelearningservices/workspaces/onlineendpoints에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.managednetworkfabric/networkdevices에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.managednetworkfabric/networkdevices에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.managednetworkfabric/networkdevices에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.managednetworkfabric/networkdevices에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.managednetworkfabric/networkdevices에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.managednetworkfabric/networkdevices에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.network/dnsresolverpolicies에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.network/dnsresolverpolicies에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.network/dnsresolverpolicies에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.network/dnsresolverpolicies에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.network/dnsresolverpolicies에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.network/dnsresolverpolicies에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.network/networkmanagers/ipampools에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.network/networkmanagers/ipampools에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.network/networkmanagers/ipampools에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.network/networkmanagers/ipampools에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.network/networkmanagers/ipampools에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.network/networkmanagers/ipampools에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.network/networksecurityperimeters에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.network/networksecurityperimeters에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.network/networksecurityperimeters에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.network/networksecurityperimeters에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.network/networksecurityperimeters에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.network/networksecurityperimeters에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub에 대한 microsoft.network/p2svpngateways에 대해 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 microsoft.network/p2svpngateways용 Event Hub로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics에 대한 microsoft.network/p2svpngateways에 대해 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 microsoft.network/p2svpngateways용 Log Analytics 작업 영역으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 스토리지에 대한 microsoft.network/p2svpngateways에 대해 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 microsoft.network/p2svpngateways용 스토리지 계정으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| microsoft.network/vpngateways에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.network/vpngateways에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.network/vpngateways에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.network/vpngateways에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.network/vpngateways에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.network/vpngateways에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.networkanalytics/dataproducts에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.networkanalytics/dataproducts에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.networkanalytics/dataproducts에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.networkanalytics/dataproducts에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.networkanalytics/dataproducts에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.networkanalytics/dataproducts에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.networkcloud/baremetalmachines에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.networkcloud/baremetalmachines에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.networkcloud/baremetalmachines에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.networkcloud/baremetalmachines에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.networkcloud/baremetalmachines에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.networkcloud/baremetalmachines에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.networkcloud/clusters에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.networkcloud/clusters에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.networkcloud/clusters에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.networkcloud/clusters에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.networkcloud/clusters에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.networkcloud/clusters에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.networkcloud/storageappliances에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.networkcloud/storageappliances에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.networkcloud/storageappliances에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.networkcloud/storageappliances에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.networkcloud/storageappliances에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.networkcloud/storageappliances에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.networkfunction/azuretrafficcollectors에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.networkfunction/azuretrafficcollectors에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.networkfunction/azuretrafficcollectors에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.networkfunction/azuretrafficcollectors에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.networkfunction/azuretrafficcollectors에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.networkfunction/azuretrafficcollectors에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.notificationhubs/namespaces/notificationhubs에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.notificationhubs/namespaces/notificationhubs에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.notificationhubs/namespaces/notificationhubs에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.notificationhubs/namespaces/notificationhubs에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.notificationhubs/namespaces/notificationhubs에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.notificationhubs/namespaces/notificationhubs에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.openenergyplatform/energyservices에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.openenergyplatform/energyservices에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.openenergyplatform/energyservices에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.openenergyplatform/energyservices에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.openenergyplatform/energyservices에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.openenergyplatform/energyservices에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.powerbi/tenants/workspaces에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.powerbi/tenants/workspaces에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.powerbi/tenants/workspaces에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.powerbi/tenants/workspaces에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.powerbi/tenants/workspaces에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.powerbi/tenants/workspaces에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.servicenetworking/trafficcontrollers에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.servicenetworking/trafficcontrollers에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.servicenetworking/trafficcontrollers에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.servicenetworking/trafficcontrollers에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.servicenetworking/trafficcontrollers에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.servicenetworking/trafficcontrollers에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.synapse/workspaces/kustopools에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.synapse/workspaces/kustopools에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.synapse/workspaces/kustopools에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.synapse/workspaces/kustopools에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.synapse/workspaces/kustopools에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.synapse/workspaces/kustopools에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.timeseriesinsights/environments에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.timeseriesinsights/environments에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.timeseriesinsights/environments에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.timeseriesinsights/environments에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.timeseriesinsights/environments에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.timeseriesinsights/environments에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.timeseriesinsights/environments/eventsources에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.timeseriesinsights/environments/eventsources에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.timeseriesinsights/environments/eventsources에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.timeseriesinsights/environments/eventsources에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.timeseriesinsights/environments/eventsources에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.timeseriesinsights/environments/eventsources에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.workloads/sapvirtualinstances에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.workloads/sapvirtualinstances에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.workloads/sapvirtualinstances에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.workloads/sapvirtualinstances에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| microsoft.workloads/sapvirtualinstances에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 microsoft.workloads/sapvirtualinstances에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 네트워크 관리자(microsoft.network/networkmanagers)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 네트워크 관리자(microsoft.network/networkmanagers)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 네트워크 관리자(microsoft.network/networkmanagers)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 네트워크 관리자(microsoft.network/networkmanagers)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 네트워크 관리자(microsoft.network/networkmanagers)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 네트워크 관리자(microsoft.network/networkmanagers)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 네트워크 보안 그룹(microsoft.network/networksecuritygroups)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 네트워크 보안 그룹(microsoft.network/networksecuritygroups)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 네트워크 보안 그룹(microsoft.network/networksecuritygroups)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 네트워크 보안 그룹(microsoft.network/networksecuritygroups)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 네트워크 보안 그룹(microsoft.network/networksecuritygroups)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 네트워크 보안 그룹(microsoft.network/networksecuritygroups)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 알림 허브 네임스페이스(microsoft.notificationhubs/namespaces)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 알림 허브 네임스페이스(microsoft.notificationhubs/namespaces)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 알림 허브 네임스페이스(microsoft.notificationhubs/namespaces)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 알림 허브 네임스페이스(microsoft.notificationhubs/namespaces)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 알림 허브 네임스페이스(microsoft.notificationhubs/namespaces)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 알림 허브 네임스페이스(microsoft.notificationhubs/namespaces)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Playwright 테스트(microsoft.azureplaywrightservice/accounts)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Playwright 테스트(microsoft.azureplaywrightservice/accounts)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Playwright 테스트(microsoft.azureplaywrightservice/accounts)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Playwright 테스트(microsoft.azureplaywrightservice/accounts)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Playwright 테스트(microsoft.azureplaywrightservice/accounts)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Playwright 테스트(microsoft.azureplaywrightservice/accounts)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics에 PostgreSQL 유연한 서버(microsoft.dbforpostgresql/flexibleservers) 범주 그룹별 로깅을 사용하도록 설정합니다. | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 Azure Database for PostgreSQL 유연한 서버(microsoft.dbforpostgresql/flexibleservers)에 대한 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Power BI Embedded(microsoft.powerbidedicated/capacities)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Power BI Embedded(microsoft.powerbidedicated/capacities)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Power BI Embedded(microsoft.powerbidedicated/capacities)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Power BI Embedded(microsoft.powerbidedicated/capacities)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Power BI Embedded(microsoft.powerbidedicated/capacities)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Power BI Embedded(microsoft.powerbidedicated/capacities)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub에 대한 공용 IP 주소(microsoft.network/publicipaddresses)에 대해 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 공용 IP 주소(microsoft.network/publicipaddresses)용 Event Hub로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics에 대한 공용 IP 주소(microsoft.network/publicipaddresses)에 대해 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 공용 IP 주소(microsoft.network/publicipaddresses)용 Log Analytics 작업 영역으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 스토리지에 대한 공용 IP 주소(microsoft.network/publicipaddresses)에 대해 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 공용 IP 주소(microsoft.network/publicipaddresses)용 스토리지 계정으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 공용 IP 접두사(microsoft.network/publicipprefixes)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 공용 IP 접두사(microsoft.network/publicipprefixes)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 공용 IP 접두사(microsoft.network/publicipprefixes)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 공용 IP 접두사(microsoft.network/publicipprefixes)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 공용 IP 접두사(microsoft.network/publicipprefixes)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 공용 IP 접두사(microsoft.network/publicipprefixes)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Recovery Services 자격 증명 모음(microsoft.recoveryservices/vaults)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Recovery Services 자격 증명 모음(microsoft.recoveryservices/vaults)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Recovery Services 자격 증명 모음(microsoft.recoveryservices/vaults)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Recovery Services 자격 증명 모음(microsoft.recoveryservices/vaults)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Recovery Services 자격 증명 모음(microsoft.recoveryservices/vaults)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Recovery Services 자격 증명 모음(microsoft.recoveryservices/vaults)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 릴레이(microsoft.relay/namespaces)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 릴레이(microsoft.relay/namespaces)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 릴레이(microsoft.relay/namespaces)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 릴레이(microsoft.relay/namespaces)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 릴레이(microsoft.relay/namespaces)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 릴레이(microsoft.relay/namespaces)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 크기 조정 계획(microsoft.desktopvirtualization/scalingplans)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 크기 조정 계획(microsoft.desktopvirtualization/scalingplans)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 크기 조정 계획(microsoft.desktopvirtualization/scalingplans)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 크기 조정 계획(microsoft.desktopvirtualization/scalingplans)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 크기 조정 계획(microsoft.desktopvirtualization/scalingplans)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 크기 조정 계획(microsoft.desktopvirtualization/scalingplans)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| SCOPE 풀(microsoft.synapse/workspaces/scopepools)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 SCOPE 풀(microsoft.synapse/workspaces/scopepools)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| SCOPE 풀(microsoft.synapse/workspaces/scopepools)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 SCOPE 풀(microsoft.synapse/workspaces/scopepools)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| SCOPE 풀(microsoft.synapse/workspaces/scopepools)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 SCOPE 풀(microsoft.synapse/workspaces/scopepools)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 검색 서비스(microsoft.search/searchservices)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 검색 서비스(microsoft.search/searchservices)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 검색 서비스(microsoft.search/searchservices)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 검색 서비스(microsoft.search/searchservices)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 검색 서비스(microsoft.search/searchservices)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 검색 서비스(microsoft.search/searchservices)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub에 대한 Service Bus 네임스페이스(microsoft.servicebus/namespaces)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Service Bus 네임스페이스용(microsoft.servicebus/namespaces) Event Hub로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics에 대한 Service Bus 네임스페이스(microsoft.servicebus/namespaces)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Service Bus 네임스페이스용(microsoft.servicebus/namespaces) Log Analytics 작업 영역으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Storage에 대한 Service Bus 네임스페이스(microsoft.servicebus/namespaces)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Service Bus 네임스페이스용(microsoft.servicebus/namespaces) Storage 계정으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Event Hub에 대한 SignalR(microsoft.signalrservice/signalr)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 SignalR(microsoft.signalrservice/signalr)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics에 대한 SignalR(microsoft.signalrservice/signalr)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 SignalR(microsoft.signalrservice/signalr)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Storage에 대한 SignalR(microsoft.signalrservice/signalr)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 SignalR(microsoft.signalrservice/signalr)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Event Hub에 대한 SQL 데이터베이스(microsoft.sql/servers/databases)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 SQL 데이터베이스(microsoft.sql/servers/databases)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics에 대한 SQL 데이터베이스(microsoft.sql/servers/databases)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 SQL 데이터베이스(microsoft.sql/servers/databases)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Storage에 대한 SQL 데이터베이스(microsoft.sql/servers/databases)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 SQL 데이터베이스(microsoft.sql/servers/databases)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Event Hub에 대한 SQL 관리되는 인스턴스(microsoft.sql/managedinstances)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 SQL 관리되는 인스턴스(microsoft.sql/managedinstances)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics에 대한 SQL 관리되는 인스턴스(microsoft.sql/managedinstances)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 SQL 관리되는 인스턴스(microsoft.sql/managedinstances)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Storage에 대한 SQL 관리되는 인스턴스(microsoft.sql/managedinstances)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 SQL 관리되는 인스턴스(microsoft.sql/managedinstances)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Storage Mover(microsoft.storagemover/storagemovers)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Storage Mover(microsoft.storagemover/storagemovers)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Storage Mover(microsoft.storagemover/storagemovers)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Storage Mover(microsoft.storagemover/storagemovers)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Storage Mover(microsoft.storagemover/storagemovers)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Storage Mover(microsoft.storagemover/storagemovers)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Stream Analytics 작업(microsoft.streamanalytics/streamingjobs)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Stream Analytics 작업(microsoft.streamanalytics/streamingjobs)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Stream Analytics 작업(microsoft.streamanalytics/streamingjobs)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Stream Analytics 작업(microsoft.streamanalytics/streamingjobs)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Stream Analytics 작업(microsoft.streamanalytics/streamingjobs)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Stream Analytics 작업(microsoft.streamanalytics/streamingjobs)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 스트리밍 엔드포인트(microsoft.media/mediaservices/streamingendpoints)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 스트리밍 엔드포인트(microsoft.media/mediaservices/streamingendpoints)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 스트리밍 엔드포인트(microsoft.media/mediaservices/streamingendpoints)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 스트리밍 엔드포인트(microsoft.media/mediaservices/streamingendpoints)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 스트리밍 엔드포인트(microsoft.media/mediaservices/streamingendpoints)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 스트리밍 엔드포인트(microsoft.media/mediaservices/streamingendpoints)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Traffic Manager 프로필(microsoft.network/trafficmanagerprofiles)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Traffic Manager 프로필(microsoft.network/trafficmanagerprofiles)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Traffic Manager 프로필(microsoft.network/trafficmanagerprofiles)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Traffic Manager 프로필(microsoft.network/trafficmanagerprofiles)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Traffic Manager 프로필(microsoft.network/trafficmanagerprofiles)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Traffic Manager 프로필(microsoft.network/trafficmanagerprofiles)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub에 대한 Video Analyzer(microsoft.media/videoanalyzers)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Video Analyzer(microsoft.media/videoanalyzers)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics에 대한 Video Analyzer(microsoft.media/videoanalyzers)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Video Analyzer(microsoft.media/videoanalyzers)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Storage에 대한 Video Analyzer(microsoft.media/videoanalyzers)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Video Analyzer(microsoft.media/videoanalyzers)에 대한 스토리지 계정으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Event Hub에 대한 가상 네트워크 게이트웨이(microsoft.network/virtualnetworkgateways)에 대해 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 가상 네트워크 게이트웨이용 Event Hub(microsoft.network/virtualnetworkgateways)로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics에 대한 가상 네트워크 게이트웨이(microsoft.network/virtualnetworkgateways)에 대해 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 가상 네트워크 게이트웨이용 Log Analytics 작업 영역(microsoft.network/virtualnetworkgateways)으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 스토리지에 대한 가상 네트워크 게이트웨이(microsoft.network/virtualnetworkgateways)에 대해 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 가상 네트워크 게이트웨이용 스토리지 계정(microsoft.network/virtualnetworkgateways)으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 가상 네트워크(microsoft.network/virtualnetworks)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 가상 네트워크(microsoft.network/virtualnetworks)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 가상 네트워크(microsoft.network/virtualnetworks)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 가상 네트워크(microsoft.network/virtualnetworks)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 가상 네트워크(microsoft.network/virtualnetworks)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 가상 네트워크(microsoft.network/virtualnetworks)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub에 대한 볼륨(microsoft.netapp/netappaccounts/capacitypools/volumes)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 볼륨(microsoft.netapp/netappaccounts/capacitypools/volumes)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics에 대한 볼륨(microsoft.netapp/netappaccounts/capacitypools/volumes)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 볼륨(microsoft.netapp/netappaccounts/capacitypools/volumes)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Storage에 대한 볼륨(microsoft.netapp/netappaccounts/capacitypools/volumes)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 볼륨(microsoft.netapp/netappaccounts/capacitypools/volumes)에 대한 스토리지 계정으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Event Hub에 대한 Web PubSub 서비스(microsoft.signalrservice/webpubsub)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Web PubSub Service(microsoft.signalrservice/webpubsub)에 대한 이벤트 허브로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Log Analytics에 대한 Web PubSub 서비스(microsoft.signalrservice/webpubsub)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Web PubSub Service(microsoft.signalrservice/webpubsub)에 대한 Log Analytics 작업 영역으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Storage에 대한 Web PubSub 서비스(microsoft.signalrservice/webpubsub)에 대해 범주 그룹별로 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Web PubSub Service(microsoft.signalrservice/webpubsub)에 대한 스토리지 계정으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Workspace(microsoft.desktopvirtualization/workspaces) 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정합니다. | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 Azure Virtual Desktop 작업 영역(microsoft.desktopvirtualization/workspaces)에 대한 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 작업 영역(microsoft.desktopvirtualization/workspaces)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 작업 영역(microsoft.desktopvirtualization/workspaces)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 작업 영역(microsoft.desktopvirtualization/workspaces)에 대해 범주 그룹별로 Log Analytics에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 작업 영역(microsoft.desktopvirtualization/workspaces)에 대해 범주 그룹을 사용하여 Log Analytics 작업 영역으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 작업 영역(microsoft.desktopvirtualization/workspaces)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 작업 영역(microsoft.desktopvirtualization/workspaces)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Linux Arc 지원 머신에는 Azure Monitor 에이전트가 설치되어 있어야 함 | 배포된 Azure Monitor 에이전트를 통해 Linux Arc 지원 머신을 모니터링하고 보호해야 합니다. Azure Monitor 에이전트는 게스트 OS에서 원격 분석 데이터를 수집합니다. 이 정책은 지원되는 지역의 Arc 지원 머신을 감사합니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.2.0 |
| Linux 가상 머신 확장 집합에는 Azure Monitor 에이전트가 설치되어 있어야 함 | 배포된 Azure Monitor 에이전트를 통해 Linux 가상 머신 확장 집합을 모니터링하고 보호해야 합니다. Azure Monitor 에이전트는 게스트 OS에서 원격 분석 데이터를 수집합니다. 이 정책은 지원되는 지역에서 지원되는 OS 이미지가 있는 가상 머신 확장 집합에 대한 감사를 수행합니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 3.2.0 |
| Linux 가상 머신에는 Azure Monitor 에이전트가 설치되어 있어야 함 | 배포된 Azure Monitor 에이전트를 통해 Linux Virtual Machines을 모니터링하고 보호해야 합니다. Azure Monitor 에이전트는 게스트 OS에서 원격 분석 데이터를 수집합니다. 이 정책은 지원되는 지역에서 지원되는 OS 이미지가 있는 가상 머신에 대한 감사를 수행합니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 3.2.0 |
| 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 Log Analytics 확장을 사용하도록 설정해야 함 | 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신 확장 집합을 비규격으로 보고합니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| Log Analytics 작업 영역은 공용 네트워크에서 로그 수집 및 쿼리를 차단해야 함 | 공용 네트워크에서 로그 수집 및 쿼리를 차단하여 작업 영역 보안을 향상합니다. 프라이빗 링크로 연결된 네트워크만 이 작업 영역의 로그를 수집하고 쿼리할 수 있습니다. https://aka.ms/AzMonPrivateLink#configure-log-analytics에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Log Analytics 작업 영역은 Azure Active Directory 기반이 아닌 수집을 차단해야 합니다. | Azure Active Directory 인증이 필요하도록 로그 수집을 적용하면 공격자가 인증하지 않은 로그를 방지하여 잘못된 상태, 잘못된 경고 및 잘못된 로그가 시스템에 저장될 수 있습니다. | 거부, 감사, 사용 안 함 | 1.0.0 |
| 공용 IP 주소는 Azure DDoS Protection에 대해 리소스 로그를 사용하도록 설정되어 있어야 함 | Log Analytics 작업 영역으로 스트리밍하려면 진단 설정에서 공용 IP 주소의 리소스 로그를 사용하도록 설정합니다. 알림, 보고서 및 흐름 로그를 통해 DDoS 공격을 완화하기 위해 수행된 공격 트래픽 및 작업에 대한 자세한 정보를 가져옵니다. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 지원되는 리소스 감사에 리소스 로그를 사용하도록 설정해야 합니다. | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 선택한 리소스 종류에 대한 범주 그룹 감사에 대한 진단 설정이 있으면 이러한 로그가 사용하도록 설정되고 캡처됩니다. 적용 가능한 리소스 종류는 "감사" 범주 그룹을 지원하는 형식입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 로그 암호화를 위해 Azure Monitor에 저장된 쿼리를 고객 스토리지 계정에 저장해야 함 | 저장소 계정을 Log Analytics 작업 영역에 연결하여 저장소 계정 암호화로 저장된 쿼리를 보호합니다. 고객 관리형 키는 일반적으로 규정 준수를 충족하고 Azure Monitor에 저장된 쿼리에 대한 액세스를 보다 강력하게 제어하는 데 필요합니다. 위의 항목에 대한 자세한 내용은 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries를 참조하세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정은 BYOK로 암호화해야 합니다. | 이 정책은 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정이 BYOK로 암호화되었는지 감사합니다. 이 정책은 스토리지 계정이 기본적으로 활동 로그와 같은 구독에 있는 경우에만 작동합니다. Azure Storage 저장 데이터 암호화에 대한 자세한 내용은 https://aka.ms/azurestoragebyok를 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 레거시 Log Analytics 확장을 Azure Arc 지원 Linux 서버에 설치하면 안 됨 | 레거시 에이전트에서 Azure Monitor 에이전트로 마이그레이션하는 마지막 단계로 레거시 Log Analytics 에이전트의 설치를 자동으로 방지합니다. 기존 레거시 확장을 제거한 후 이 정책은 Azure Arc 지원 Linux 서버에서 레거시 에이전트 확장의 모든 향후 설치를 거부합니다. 자세한 정보: https://aka.ms/migratetoAMA | 거부, 감사, 사용 안 함 | 1.0.0 |
| 레거시 Log Analytics 확장을 Azure Arc 지원 Windows 서버에 설치하면 안 됨 | 레거시 에이전트에서 Azure Monitor 에이전트로 마이그레이션하는 마지막 단계로 레거시 Log Analytics 에이전트의 설치를 자동으로 방지합니다. 기존 레거시 확장을 제거한 후 이 정책은 Azure Arc 사용 Windows 서버에서 레거시 에이전트 확장의 모든 향후 설치를 거부합니다. 자세한 정보: https://aka.ms/migratetoAMA | 거부, 감사, 사용 안 함 | 1.0.0 |
| 레거시 Log Analytics 확장을 Linux 가상 머신 확장 집합에 설치하면 안 됨 | 레거시 에이전트에서 Azure Monitor 에이전트로 마이그레이션하는 마지막 단계로 레거시 Log Analytics 에이전트의 설치를 자동으로 방지합니다. 기존 레거시 확장을 제거한 후 이 정책은 Linux 가상 머신 확장 집합에서 레거시 에이전트 확장의 모든 향후 설치를 거부합니다. 자세한 정보: https://aka.ms/migratetoAMA | 거부, 감사, 사용 안 함 | 1.0.0 |
| 레거시 Log Analytics 확장을 Linux 가상 머신에 설치하면 안 됨 | 레거시 에이전트에서 Azure Monitor 에이전트로 마이그레이션하는 마지막 단계로 레거시 Log Analytics 에이전트의 설치를 자동으로 방지합니다. 기존 레거시 확장을 제거한 후 이 정책은 Linux 가상 머신에서 레거시 에이전트 확장의 모든 향후 설치를 거부합니다. 자세한 정보: https://aka.ms/migratetoAMA | 거부, 감사, 사용 안 함 | 1.0.0 |
| 레거시 Log Analytics 확장을 가상 머신 확장 집합에 설치하면 안 됨 | 레거시 에이전트에서 Azure Monitor 에이전트로 마이그레이션하는 마지막 단계로 레거시 Log Analytics 에이전트의 설치를 자동으로 방지합니다. 기존 레거시 확장을 제거한 후 이 정책은 Windows 가상 머신 확장 집합에서 레거시 에이전트 확장의 모든 향후 설치를 거부합니다. 자세한 정보: https://aka.ms/migratetoAMA | 거부, 감사, 사용 안 함 | 1.0.0 |
| 레거시 Log Analytics 확장을 가상 머신에 설치하면 안 됨 | 레거시 에이전트에서 Azure Monitor 에이전트로 마이그레이션하는 마지막 단계로 레거시 Log Analytics 에이전트의 설치를 자동으로 방지합니다. 기존 레거시 확장을 제거한 후 이 정책은 Windows 가상 머신에서 레거시 에이전트 확장의 모든 향후 설치를 거부합니다. 자세한 정보: https://aka.ms/migratetoAMA | 거부, 감사, 사용 안 함 | 1.0.0 |
| Virtual Machine Scale Sets에 Log Analytics 확장을 설치해야 함 | 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 모든 Windows/Linux Virtual Machine Scale Sets에 대해 감사를 수행합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| 가상 머신을 지정된 작업 영역에 연결해야 함 | 정책/이니셔티브 할당에 지정된 Log Analytics 작업 영역에 로그하지 않는 경우 가상 머신을 비규격으로 보고합니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
| 가상 머신에 Log Analytics 확장이 설치되어 있어야 함 | 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 모든 Windows/Linux 가상 머신에 대해 감사를 수행합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| Windows Arc 지원 머신에는 Azure Monitor 에이전트가 설치되어 있어야 함 | 배포된 Azure Monitor 에이전트를 통해 Windows Arc 지원 머신을 모니터링하고 보호해야 합니다. Azure Monitor 에이전트는 게스트 OS에서 원격 분석 데이터를 수집합니다. 지원되는 지역의 Windows Arc 지원 머신은 Azure Monitor 에이전트 배포를 위해 모니터링됩니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.2.0 |
| Windows 가상 머신 확장 집합에는 Azure Monitor 에이전트가 설치되어 있어야 함 | 배포된 Azure Monitor 에이전트를 통해 Windows 가상 머신 확장 집합을 모니터링하고 보호해야 합니다. Azure Monitor 에이전트는 게스트 OS에서 원격 분석 데이터를 수집합니다. 지원되는 OS와 지원되는 지역의 가상 머신 확장 집합은 Azure Monitor 에이전트 배포를 위해 모니터링됩니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 3.2.0 |
| Windows 가상 머신에는 Azure Monitor 에이전트가 설치되어 있어야 함 | 배포된 Azure Monitor 에이전트를 통해 Windows Virtual Machines을 모니터링하고 보호해야 합니다. Azure Monitor 에이전트는 게스트 OS에서 원격 분석 데이터를 수집합니다. 지원되는 OS와 지원되는 지역의 Windows Virtual Machines은 Azure Monitor 에이전트 배포를 위해 모니터링됩니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 3.2.0 |
| 통합 문서는 사용자가 제어하는 스토리지 계정에 저장해야 함 | BYOS(Bring Your Own Storage)를 사용하면 통합 문서는 사용자가 제어하는 스토리지 계정에 업로드됩니다. 즉, 미사용 데이터 암호화 정책, 수명 관리 정책 및 네트워크 액세스를 제어할 수 있습니다. 그러나 해당 스토리지 계정과 관련된 비용은 사용자가 부담합니다. 자세한 내용은 https://aka.ms/workbooksByos 에서 확인할 수 있습니다. | 거부, 거부, 감사, 감사, 사용 안 함, 사용 안 함 | 1.1.0 |
네트워크
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 모든 인터넷 트래픽은 배포된 Azure Firewall을 통해 라우팅되어야 함 | Azure Security Center에서 일부 서브넷이 차세대 방화벽으로 보호되지 않는 것으로 확인되었습니다. Azure Firewall 또는 지원되는 차세대 방화벽으로 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0-preview |
| [미리 보기]: Container Registry는 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 Container Registry를 감사합니다. | 감사, 사용 안 함 | 1.0.0 - 미리 보기 |
| 모든 Azure 가상 네트워크 게이트웨이 연결에 사용자 지정 IPsec/IKE 정책을 적용해야 함 | 이 정책은 모든 Azure 가상 네트워크 게이트웨이 연결이 사용자 지정 Ipsec(인터넷 프로토콜 보안)/IKE(Internet Key Exchange) 정책을 사용함을 보장합니다. 지원되는 알고리즘 및 키 수준 - https://aka.ms/AA62kb0 | 감사, 사용 안 함 | 1.0.0 |
| 모든 흐름 로그 리소스가 사용 상태여야 함 | 흐름 로그 리소스를 감사하여 흐름 로그 상태를 사용할 수 있는지 확인합니다. 흐름 로그를 사용하도록 설정하면 IP 트래픽 흐름에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. | 감사, 사용 안 함 | 1.0.1 |
| App Service 앱은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 가상 네트워크 서비스 엔드포인트를 사용하여 Azure Virtual Network에서 선택한 서브넷의 앱에 대한 액세스를 제한합니다. App Service 서비스 엔드포인트에 대해 자세히 알아보려면 https://aka.ms/appservice-vnet-service-endpoint를 참조하세요. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| 모든 가상 네트워크에 대한 감사 흐름 로그 구성 | 가상 네트워크에 대한 감사를 통해 흐름 로그가 구성되었는지 확인합니다. 흐름 로그를 사용하면 가상 네트워크를 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. | 감사, 사용 안 함 | 1.0.1 |
| Azure Application Gateway는 Azure WAF와 함께 배포되어야 합니다. | Azure WAF와 함께 배포하려면 Azure Application Gateway 리소스가 필요합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Firewall 정책은 애플리케이션 규칙 내에서 TLS 검사를 사용하도록 설정합니다. | HTTPS에서 악의적인 작업을 검색, 경고 및 완화하기 위해 모든 애플리케이션 규칙에 대해 TLS 검사를 사용하도록 설정하는 것이 좋습니다. Azure Firewall을 사용한 TLS 검사에 대해 자세히 알아보려면 https://aka.ms/fw-tlsinspect를 방문합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Firewall 프리미엄은 TLS 검사를 사용하도록 설정하기 위해 유효한 중간 인증서를 구성해야 함 | 유효한 중간 인증서를 구성하고 Azure Firewall 프리미엄 TLS 검사를 사용하도록 설정하여 HTTPS에서 악의적인 활동을 탐지, 경고 및 완화합니다. Azure Firewall을 사용한 TLS 검사에 대해 자세히 알아보려면 https://aka.ms/fw-tlsinspect를 방문합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure VPN Gateway에서는 '기본' SKU를 사용할 수 없음 | 이 정책은 VPN Gateway가 '기본' SKU를 사용하지 않음을 보장합니다. | 감사, 사용 안 함 | 1.0.0 |
| Azure Application Gateway의 Azure Web Application Firewall은 요청 본문 검사를 사용하도록 설정해야 함 | Azure Application Gateway에 연결된 Web Application Firewall에 요청 본문 검사가 사용하도록 설정되어 있는지 확인합니다. 이를 통해 WAF는 HTTP 헤더, 쿠키 또는 URI에서 평가되지 않을 수 있는 HTTP 본문 내의 속성을 검사할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Front Door의 Azure Web Application Firewall은 요청 본문 검사를 사용하도록 설정해야 함 | Azure Front Door에 연결된 Web Application Firewall에 요청 본문 검사가 사용하도록 설정되어 있는지 확인합니다. 이를 통해 WAF는 HTTP 헤더, 쿠키 또는 URI에서 평가되지 않을 수 있는 HTTP 본문 내의 속성을 검사할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Front Door 진입점에 대해 Azure Web Application Firewall을 사용하도록 설정해야 함 | 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
| Azure Application Gateway WAF에 대해 봇 보호를 사용하도록 설정해야 합니다. | 이 정책은 모든 Azure Application Gateway WAF(Web Application Firewall) 정책에서 봇 보호가 사용하도록 설정되도록 보장합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Front Door WAF에 대해 봇 보호를 사용하도록 설정해야 합니다. | 이 정책은 모든 Azure Front Door WAF(Web Application Firewall) 정책에서 봇 보호가 사용하도록 설정되도록 보장합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 방화벽 정책 프리미엄에서 IDPS(침입 탐지 및 방지 시스템)의 바이패스 목록은 비어 있어야 함 | IDPS(침입 탐지 및 방지 시스템) 바이패스 목록을 사용하면 바이패스 목록에 지정된 IP 주소, 범위 및 서브넷에 대한 트래픽을 필터링하지 않을 수 있습니다. 그러나 알려진 위협을 더 잘 식별하기 위해 모든 트래픽 흐름에 대해 IDPS를 사용하도록 설정하는 것이 좋습니다. Azure Firewall 프리미엄을 사용하는 IDPS(침입 탐지 및 방지 시스템) 서명에 대한 자세한 내용은 https://aka.ms/fw-idps-signature를 참조하세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Network Security Groups에 대한 진단 설정을 Log Analytics 작업 영역으로 구성 | Azure 네트워크 보안 그룹에 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 트래픽 분석을 사용하도록 네트워크 보안 그룹 구성 | 정책을 만드는 동안 제공된 설정을 사용하여 특정 지역에서 호스트되는 모든 네트워크 보안 그룹에 대해 트래픽 분석을 사용하도록 설정할 수 있습니다. 이미 트래픽 분석을 사용할 수 있는 네트워크 보안 그룹의 경우 정책에서 해당 설정을 덮어쓰지 않습니다. 흐름 로그가 없는 네트워크 보안 그룹에 대해 흐름 로그도 사용하도록 설정됩니다. 트래픽 분석은 클라우드 네트워크의 사용자 및 애플리케이션 작업에 대한 가시성을 제공하는 클라우드 기반 솔루션입니다. | DeployIfNotExists, 사용 안 함 | 1.2.0 |
| 트래픽 분석에 특정 작업 영역, 스토리지 계정 및 흐름 로그 보존 정책을 사용하도록 네트워크 보안 그룹 구성 | 이미 트래픽 분석을 사용할 수 있는 네트워크 보안 그룹의 경우 정책을 만드는 동안 제공된 설정을 사용하여 정책에서 기존 설정을 덮어씁니다. 트래픽 분석은 클라우드 네트워크의 사용자 및 애플리케이션 작업에 대한 가시성을 제공하는 클라우드 기반 솔루션입니다. | DeployIfNotExists, 사용 안 함 | 1.2.0 |
| 흐름 로그 및 트래픽 분석을 사용하도록 설정하도록 가상 네트워크 구성 | 정책을 만드는 동안 제공된 설정을 사용하여 특정 지역에서 호스트되는 모든 가상 네트워크에 대해 트래픽 분석 및 흐름 로그를 사용하도록 설정할 수 있습니다. 이 정책은 이미 이러한 기능이 사용하도록 설정된 가상 네트워크에 대한 현재 설정을 덮어쓰지 않습니다. 트래픽 분석은 클라우드 네트워크의 사용자 및 애플리케이션 작업에 대한 가시성을 제공하는 클라우드 기반 솔루션입니다. | DeployIfNotExists, 사용 안 함 | 1.1.1 |
| 흐름 로그 및 트래픽 분석에 대한 작업 영역, 스토리지 계정 및 보존 간격을 적용하도록 가상 네트워크 구성 | 가상 네트워크에 트래픽 분석이 이미 사용하도록 설정되어 있는 경우 이 정책은 기존 설정을 정책을 만드는 동안 제공된 설정으로 덮어씁니다. 트래픽 분석은 클라우드 네트워크의 사용자 및 애플리케이션 작업에 대한 가시성을 제공하는 클라우드 기반 솔루션입니다. | DeployIfNotExists, 사용 안 함 | 1.1.2 |
| Cosmos DB는 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 Cosmos DB를 감사합니다. | 감사, 사용 안 함 | 1.0.0 |
| 대상 네트워크 보안 그룹을 사용하여 흐름 로그 리소스 배포 | 특정 네트워크 보안 그룹에 대한 흐름 로그를 구성합니다. 이를 통해 네트워크 보안 그룹을 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 흐름 로그를 사용하면 알 수 없거나 원하지 않는 트래픽을 식별하고, 네트워크 격리 및 엔터프라이즈 액세스 규칙 준수를 확인하고, 손상된 IP 및 네트워크 인터페이스에서 네트워크 흐름을 분석할 수 있습니다. | deployIfNotExists | 1.1.0 |
| 대상 가상 네트워크를 사용하여 흐름 로그 리소스 배포 | 특정 가상 네트워크에 대한 흐름 로그를 구성합니다. 가상 네트워크를 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 흐름 로그를 사용하면 알 수 없거나 원하지 않는 트래픽을 식별하고, 네트워크 격리 및 엔터프라이즈 액세스 규칙 준수를 확인하고, 손상된 IP 및 네트워크 인터페이스에서 네트워크 흐름을 분석할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 1.1.1 |
| 가상 네트워크를 만들 때 네트워크 감시자 배포 | 이 정책은 가상 네트워크를 사용하여 지역에 네트워크 감시자 리소스를 만듭니다. 네트워크 감시자 인스턴스를 배포하는 데 사용되는 networkWatcherRG라는 리소스 그룹이 있는지 확인해야 합니다. | DeployIfNotExists | 1.0.0 |
| 속도 제한 규칙을 사용하여 Azure Front Door WAF의 DDoS 공격으로부터 보호 | Azure Front Door에 대한 Azure WAF(Web Application Firewall) 속도 제한 규칙은 속도 제한 기간 동안 특정 클라이언트 IP 주소에서 애플리케이션으로 허용되는 요청 수를 제어합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 이벤트 허브는 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 이벤트 허브를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 방화벽 정책 프리미엄은 모든 인바운드 및 아웃바운드 트래픽 흐름을 모니터링하기 위해 모든 IDPS 서명 규칙을 사용하도록 설정해야 함 | 트래픽 흐름에서 알려진 위협을 더 잘 식별할 수 있도록 모든 IDPS(침입 탐지 및 방지 시스템) 서명 규칙을 사용하도록 설정하는 것이 좋습니다. Azure Firewall 프리미엄을 사용하는 IDPS(침입 탐지 및 방지 시스템) 서명에 대한 자세한 내용은 https://aka.ms/fw-idps-signature를 참조하세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 방화벽 정책 프리미엄은 IDPS(침입 탐지 및 방지 시스템)를 사용하도록 설정해야 함 | IDPS(침입 탐지 및 방지 시스템)를 사용하도록 설정하면 네트워크에서 악의적인 활동을 모니터링하고, 이 활동에 대한 정보를 로그하고, 보고하고, 필요할 때 차단할 수 있습니다. Azure Firewall 프리미엄을 사용하는 IDPS(침입 탐지 및 방지 시스템)에 대한 자세한 내용은 https://aka.ms/fw-idps를 참조하세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 모든 네트워크 보안 그룹에 대해 흐름 로그를 구성해야 함 | 네트워크 보안 그룹을 감사하여 흐름 로그가 구성되어 있는지 확인합니다. 흐름 로그를 사용하면 네트워크 보안 그룹을 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. | 감사, 사용 안 함 | 1.1.0 |
| 게이트웨이 서브넷은 네트워크 보안 그룹을 사용하여 구성해서는 안 됨 | 이 정책은 게이트웨이 서브넷이 네트워크 보안 그룹으로 구성된 경우 거부합니다. 네트워크 보안 그룹을 게이트웨이 서브넷에 할당하면 게이트웨이가 작동을 중지합니다. | deny | 1.0.0 |
| Key Vault는 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 Key Vault를 감사합니다. | 감사, 사용 안 함 | 1.0.0 |
| Application Gateway의 WAF 구성에서 WAF 정책으로 WAF 마이그레이션 | WAF 정책 대신 WAF 구성이 있는 경우 새 WAF 정책으로 이동하는 것이 좋습니다. 앞으로 방화벽 정책은 WAF 정책 설정, 관리 규칙 집합, 제외 및 사용하지 않는 규칙 그룹을 지원합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 네트워크 인터페이스가 IP 전달을 사용하지 않아야 함 | 이 정책은 IP 전달을 사용하도록 설정된 네트워크 인터페이스를 거부합니다. IP 전달 설정은 Azure에서 네트워크 인터페이스에 대한 원본과 대상을 확인하지 않도록 합니다. 네트워크 보안 팀에서 검토해야 합니다. | deny | 1.0.0 |
| 네트워크 인터페이스에 공용 IP를 사용할 수 없음 | 이 정책은 공용 IP로 구성된 네트워크 인터페이스를 거부합니다. 공용 IP 주소를 사용하면 인터넷 리소스에서 Azure 리소스로 인바운드 방식으로 통신하고, Azure 리소스에서 인터넷으로 아웃바운드 방식으로 통신할 수 있습니다. 네트워크 보안 팀에서 검토해야 합니다. | deny | 1.0.0 |
| Network Watcher 흐름 로그에 트래픽 분석을 사용할 수 있어야 함 | 트래픽 분석은 흐름 로그를 분석하여 Azure 클라우드의 트래픽 흐름에 대한 인사이트를 제공합니다. Azure 구독 전체에서 네트워크 활동을 시각화하고, 핫스폿을 식별하고, 보안 위협을 식별하고, 트래픽 흐름 패턴을 파악하고, 네트워크 오류를 정확하게 파악하는 데 사용할 수 있습니다. | 감사, 사용 안 함 | 1.0.1 |
| Network Watcher를 사용하도록 설정해야 함 | Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| SQL Server는 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 SQL Server를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 스토리지 계정은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 스토리지 계정을 감사합니다. | 감사, 사용 안 함 | 1.0.0 |
| 구독은 추가 보호 계층을 제공하도록 Azure Firewall 프리미엄을 구성해야 함 | Azure Firewall 프리미엄은 매우 민감하고 규제된 환경의 요구 사항을 충족하는 고급 위협 방지를 제공합니다. 구독에 Azure Firewall 프리미엄을 배포하고 모든 서비스 트래픽이 Azure Firewall 프리미엄으로 보호되도록 합니다. Azure Firewall 프리미엄에 대한 자세한 내용은 https://aka.ms/fw-premium을 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 가상 머신은 승인된 가상 네트워크에 연결되어야 함 | 이 정책은 승인되지 않은 가상 네트워크에 연결된 모든 가상 머신을 감사합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 가상 네트워크는 Azure DDoS Protection으로 보호되어야 합니다. | Azure DDoS Protection을 사용하여 볼륨 및 프로토콜 공격으로부터 가상 네트워크를 보호합니다. 자세한 내용은 https://aka.ms/ddosprotectiondocs을 참조하세요. | 수정, 감사, 사용 안 함 | 1.0.1 |
| 가상 네트워크는 지정된 가상 네트워크 게이트웨이를 사용해야 함 | 이 정책은 기본 경로가 지정된 가상 네트워크 게이트웨이를 가리키지 않는 경우 모든 가상 네트워크를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| VPN 게이트웨이는 지점 및 사이트 간 사용자에 대해 Azure AD(Azure Active Directory) 인증만 사용해야 함 | 로컬 인증 방법을 사용하지 않도록 설정하면 VPN Gateway가 인증에 Azure Active Directory ID만 사용하도록 하여 보안이 향상됩니다. https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant에서 Azure AD 인증에 대해 자세히 알아봅니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함 | 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
| WAF(Web Application Firewall)는 Application Gateway에 대한 모든 방화벽 규칙을 사용하도록 설정해야 함 | 모든 WAF(Web Application Firewall) 규칙을 사용하도록 설정하면 애플리케이션 보안이 강화되고 일반적인 취약성으로부터 웹 애플리케이션을 보호할 수 있습니다. Application Gateway가 포함된 WAF(Web Application Firewall)에 대해 자세히 알아보려면 https://aka.ms/waf-ag를 방문합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| WAF(웹 애플리케이션 방화벽)는 Application Gateway에 지정된 모드를 사용해야 함 | Application Gateway에 대한 모든 웹 애플리케이션 방화벽 정책에서 '검색' 또는 '방지' 모드를 사용해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| WAF(웹 애플리케이션 방화벽)는 Azure Front Door Service에 지정된 모드를 사용해야 함 | Azure Front Door Service에 대한 모든 웹 애플리케이션 방화벽 정책에서 '검색' 또는 '방지' 모드를 사용해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
포털
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 공유 대시보드에는 인라인 콘텐츠가 포함된 markdown 타일이 없어야 함 | markdown 타일에 인라인 콘텐츠를 포함하는 공유 대시보드를 만들 수 없도록 하고, 콘텐츠를 온라인으로 호스팅되는 markdown 파일로 저장되어야 합니다. markdown 타일에서 인라인 콘텐츠를 사용하는 경우 콘텐츠의 암호화를 관리할 수 없습니다. 사용자 고유의 스토리지를 구성하여 암호화와 이중 암호화하고 사용자 고유의 키도 가져올 수 있습니다. 이 정책을 사용하도록 설정하면 사용자가 2020-09-01-preview 이상 버전의 공유 대시보드 REST API를 사용하도록 제한됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
복원력
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: API Management 서비스는 영역 중복이어야 합니다. | API Management 서비스는 영역 중복 여부에 관계없이 구성될 수 있습니다. SKU 이름이 '프리미엄'이고 영역 배열에 항목이 두 개 이상 있는 경우 API Management 서비스는 영역 중복입니다. 이 정책은 영역 중단을 견디는 데 필요한 중복성이 부족한 API Management 서비스를 식별합니다. | 감사, 거부, 사용 안 함 | 1.0.1 - 미리 보기 |
| [미리 보기]: App Service 요금제는 영역 중복이어야 합니다. | App Service 요금제는 영역 중복 여부에 관계없이 구성될 수 있습니다. App Service 요금제에 대해 'zoneRedundant' 속성이 'false'로 설정된 경우 영역 중복이 구성되지 않습니다. 이 정책은 App Service 요금제에 대한 영역 중복 구성을 식별하고 적용합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Application Gateway는 영역 복원력이 있어야 합니다. | Application Gateway는 영역 정렬, 영역 중복 또는 둘 다로 구성되지 않을 수 있습니다. 영역 배열에 정확히 하나의 항목이 있는 Application Gateway는 영역 정렬로 간주됩니다. 반면, 영역 배열에 3개 이상의 항목이 있는 Application Gatmways는 영역 중복으로 인식됩니다. 이 정책은 이러한 복원력 구성을 식별하고 적용하는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure AI 검색 서비스는 영역 중복이어야 합니다. | Azure AI 검색 서비스는 영역 중복 여부에 관계없이 구성될 수 있습니다. 가용성 영역은 검색 서비스에 복제본을 두 개 이상 추가할 때 사용됩니다. 각 복제본은 지역 내의 다른 가용성 영역에 배치됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Cache for Redis Enterprise 및 Flash는 영역 중복이어야 합니다. | Azure Cache for Redis Enterprise 및 Flash는 영역 중복 여부에 관계없이 구성될 수 있습니다. 영역 배열에 항목이 3개 미만인 Azure Cache for Redis Enterprise 및 Flash 인스턴스는 영역 중복이 아닙니다. 이 정책은 영역 중단을 견디는 데 필요한 중복성이 부족한 Azure Cache for Redis Enterprise 및 Flash 인스턴스를 식별합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Cache for Redis는 영역 중복이어야 합니다. | Azure Cache for Redis는 영역 중복 여부에 관계없이 구성될 수 있습니다. 영역 배열에 항목이 2개 미만인 Azure Cache for Redis 인스턴스는 영역 중복이 아닙니다. 이 정책은 영역 중단을 견디는 데 필요한 중복성이 부족한 Azure Cache for Redis 인스턴스를 식별합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Data Explorer 클러스터는 영역 중복이어야 합니다. | Azure Data Explorer 클러스터는 영역 중복 여부에 관계없이 구성될 수 있습니다. Azure Data Explorer 클러스터는 해당 영역 배열에 두 개 이상의 항목이 있는 경우 영역 중복으로 간주됩니다. 이 정책은 Azure Data Explorer 클러스터가 영역 중복인지 확인하는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Database for MySQL 유연한 서버는 영역 복원력이 있어야 합니다. | Azure Database for MySQL 유연한 서버는 영역 정렬, 영역 중복 또는 둘 다로 구성할 수 없습니다. 고가용성을 위해 동일한 영역에 대기 서버가 선택된 MySQL Server는 영역 정렬로 간주됩니다. 반면, 고가용성을 위해 대기 서버가 다른 영역에 있도록 선택된 MySQL Server는 영역 중복으로 인식됩니다. 이 정책은 이러한 복원력 구성을 식별하고 적용하는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Database for PostgreSQL 유연한 서버는 영역 복원력을 갖추어야 합니다. | Azure Database for PostgreSQL 유연한 서버는 영역 정렬, 영역 중복 또는 둘 다로 구성되지 않을 수 있습니다. 고가용성을 위해 동일한 영역에 대기 서버가 선택된 PostgreSQL Server는 영역 정렬된 것으로 간주됩니다. 반면, 고가용성을 위해 대기 서버가 다른 영역에 있도록 선택된 PostgreSQL Server는 영역 중복으로 인식됩니다. 이 정책은 이러한 복원력 구성을 식별하고 적용하는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure HDInsight는 영역에 정렬되어야 합니다. | Azure HDInsight는 영역 정렬 여부에 관계없이 구성될 수 있습니다. 영역 배열에 정확히 하나의 항목이 있는 Azure HDInsight는 영역 정렬로 간주됩니다. 이 정책을 사용하면 Azure HDInsight 클러스터가 단일 가용성 영역 내에서 작동하도록 구성됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Kubernetes Service 관리형 클러스터는 영역 중복이어야 합니다. | Azure Kubernetes Service 관리형 클러스터는 영역 중복 여부에 관계없이 구성될 수 있습니다. 정책은 클러스터의 노드 풀을 확인하고 모든 노드 풀에 대해 가용성 영역이 설정되어 있는지 확인합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Managed Grafana는 영역 중복이어야 합니다. | Azure Managed Grafana는 영역 중복 여부에 관계없이 구성될 수 있습니다. Azure Managed Grafana 인스턴스는 'zoneRedundancy' 속성이 'Enabled'로 설정되어 있으므로 영역 중복입니다. 이 정책을 적용하면 Azure Managed Grafana가 영역 복원력에 맞게 적절하게 구성되어 영역 중단 시 가동 중지 시간의 위험을 줄이는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 백업 및 Site Recovery는 영역 중복이어야 합니다. | 백업 및 Site Recovery는 영역 중복 여부에 관계없이 구성될 수 있습니다. 'standardTierStorageRedundancy' 속성이 'ZoneRedundant'로 설정된 경우 백업 및 Site Recovery는 영역 중복입니다. 이 정책을 적용하면 백업 및 Site Recovery가 영역 복원력에 맞게 적절하게 구성되어 영역 중단 시 가동 중지 시간의 위험을 줄이는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 백업 Vault는 영역 중복이어야 합니다. | 백업 자격 증명 모음은 영역 중복 여부에 관계없이 구성될 수 있습니다. 스토리지 설정 형식이 'ZoneRedundant'로 설정되어 있고 복원력이 있다고 간주되는 경우 백업 자격 증명 모음은 영역 중복입니다. 지리적 중복 또는 로컬 중복 백업 자격 증명 모음은 복원력이 있는 것으로 간주되지 않습니다. 이 정책을 적용하면 영역 복원력을 위해 백업 자격 증명 모음이 적절하게 구성되어 영역 중단 시 가동 중지 시간의 위험을 줄이는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 컨테이너 앱은 영역 중복이어야 합니다. | 컨테이너 앱은 영역 중복 여부에 관계없이 구성될 수 있습니다. 관리되는 환경의 'ZoneRedundant' 속성이 true로 설정된 경우 컨테이너 앱은 영역 중복입니다. 이 정책은 영역 중단을 견디는 데 필요한 중복성이 부족한 컨테이너 앱을 식별합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Container Instances는 영역에 정렬되어야 합니다. | Container Instances는 영역 정렬 여부에 따라 구성될 수 있습니다. 영역 배열에 항목이 하나만 있는 경우 영역 정렬로 간주됩니다. 이 정책은 단일 가용성 영역 내에서 작동하도록 구성됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Container Registry는 영역 중복이어야 합니다. | Container Registry는 영역 중복 여부에 관계없이 구성될 수 있습니다. Container Registry의 zoneRedundancy 속성이 'Disabled'로 설정되면 레지스트리가 영역 중복이 아니라는 의미입니다. 이 정책을 적용하면 Container Registry가 영역 복원력에 맞게 적절하게 구성되어 영역 중단 시 가동 중지 시간의 위험을 줄이는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Cosmos 데이터베이스 계정은 영역 중복이어야 합니다. | Cosmos 데이터베이스 계정은 영역 중복 여부에 관계없이 구성될 수 있습니다. 'enableMultipleWriteLocations'가 'true'로 설정된 경우 모든 위치에는 'isZoneRedundant' 속성이 있어야 하며 'true'로 설정되어야 합니다. 'enableMultipleWriteLocations'가 'false'로 설정된 경우 기본 위치('failoverPriority'가 0으로 설정됨)에 'isZoneRedundant' 속성이 있어야 하며 'true'로 설정되어야 합니다. 이 정책을 적용하면 Cosmos 데이터베이스 계정이 영역 중복을 위해 적절하게 구성됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Event Hubs는 영역 중복이어야 합니다. | Event Hubs는 영역 중복 여부에 관계없이 구성될 수 있습니다. Event Hubs는 'zoneRedundant' 속성이 'true'로 설정된 경우 영역 중복입니다. 이 정책을 적용하면 Event Hubs가 영역 복원력에 맞게 적절하게 구성되어 영역 중단 시 가동 중지 시간의 위험을 줄이는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 방화벽은 영역 복원력을 갖추어야 합니다. | 방화벽은 영역 정렬, 영역 중복 또는 둘 다로 구성할 수 없습니다. 영역 배열에 정확히 하나의 항목이 있는 방화벽은 영역 정렬로 간주됩니다. 이와 대조적으로 영역 배열에 3개 이상의 항목이 있는 방화벽은 영역 중복으로 인식됩니다. 이 정책은 이러한 복원력 구성을 식별하고 적용하는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Load Balancer는 영역 복원력을 갖추어야 합니다. | 기본 이외의 SKU를 사용하는 Load Balancer는 프런트 엔드에서 공용 IP 주소의 복원력을 상속합니다. '공용 IP 주소는 영역 복원력이 있어야 함' 정책과 결합하면 이 방식은 영역 중단을 견디는 데 필요한 중복성을 보장합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 관리 디스크는 영역 복원력이 있어야 합니다. | 관리 디스크는 영역 정렬, 영역 중복 또는 둘 다로 구성되지 않을 수 있습니다. 정확히 하나의 영역 할당이 있는 관리 디스크는 영역 정렬입니다. SKU 이름이 ZRS로 끝나는 관리 디스크는 영역 중복입니다. 이 정책은 Managed Disks에 대한 복원력 구성을 식별하고 적용하는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: NAT Gateway는 영역 정렬되어야 합니다. | NAT Gateway는 영역 정렬 여부에 관계없이 구성될 수 있습니다. 영역 배열에 정확히 하나의 항목이 있는 NAT Gateway는 영역 정렬로 간주됩니다. 이 정책을 사용하면 NAT Gateway가 단일 가용성 영역 내에서 작동하도록 구성됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 공용 IP 주소는 영역 복원력이 있어야 합니다. | 공용 IP 주소는 영역 정렬, 영역 중복 또는 둘 다로 구성되지 않을 수 있습니다. 영역 배열에 정확히 하나의 항목이 있는 지역 공용 IP 주소는 영역 정렬로 간주됩니다. 이와 대조적으로 영역 배열에 3개 이상의 항목이 있는 지역 공용 IP 주소는 영역 중복으로 인식됩니다. 이 정책은 이러한 복원력 구성을 식별하고 적용하는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.1.0 - 미리 보기 |
| [미리 보기]: 공용 IP 접두사는 영역 복원력이 있어야 합니다. | 공용 IP 접두사는 영역 정렬, 영역 중복 또는 둘 다로 구성될 수 있습니다. 영역 배열에 정확히 하나의 항목이 있는 공용 IP 접두사는 영역 정렬로 간주됩니다. 반면, 영역 배열에 3개 이상의 항목이 있는 공용 IP 접두사는 영역 중복으로 인식됩니다. 이 정책은 이러한 복원력 구성을 식별하고 적용하는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Service Bus는 영역 중복이어야 합니다. | Service Bus는 영역 중복 여부에 관계없이 구성될 수 있습니다. Service Bus에 대해 'zoneRedundant' 속성이 'false'로 설정된 경우 영역 중복이 구성되지 않았음을 의미합니다. 이 정책은 Service Bus 인스턴스에 대한 영역 중복 구성을 식별하고 적용합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Service Fabric 클러스터는 영역 중복이어야 합니다. | Service Fabric 클러스터는 영역 중복 여부에 관계없이 구성될 수 있습니다. nodeType에 multipleAvailabilityZones가 true로 설정되지 않은 Servicefabric 클러스터는 영역 중복이 아닙니다. 이 정책은 영역 중단을 견디는 데 필요한 중복성이 부족한 Servicefabric 클러스터를 식별합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: SQL Database는 영역 중복이어야 합니다. | SQL Database는 영역 중복 여부에 관계없이 구성될 수 있습니다. 'zoneRedundant' 설정이 'false'로 설정된 데이터베이스는 영역 중복이 구성되지 않습니다. 이 정책은 Azure 내에서 가용성과 복원력을 향상시키기 위해 영역 중복 구성이 필요한 SQL 데이터베이스를 식별하는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: SQL 탄력적 데이터베이스 풀은 영역 중복이어야 합니다. | SQL 탄력적 데이터베이스 풀은 영역 중복 여부에 관계없이 구성될 수 있습니다. SQL 탄력적 데이터베이스 풀은 'zoneRedundant' 속성이 'true'로 설정된 경우 영역 중복입니다. 이 정책을 적용하면 Event Hubs가 영역 복원력에 맞게 적절하게 구성되어 영역 중단 시 가동 중지 시간의 위험을 줄이는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: SQL Managed Instance는 영역 중복이어야 합니다. | SQL Managed Instance는 영역 중복 여부에 관계없이 구성될 수 있습니다. 'zoneRedundant' 설정이 'false'로 설정된 인스턴스는 영역 중복이 구성되지 않습니다. 이 정책은 Azure 내에서 가용성과 복원력을 향상시키기 위해 영역 중복 구성이 필요한 SQL ManagedInstance를 식별하는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 스토리지 계정은 영역 중복이어야 합니다. | 스토리지 계정은 영역 중복 여부에 관계없이 구성될 수 있습니다. 스토리지 계정의 SKU 이름이 'ZRS'로 끝나지 않거나 해당 종류가 'Storage'인 경우 영역 중복이 아닙니다. 이 정책은 스토리지 계정이 영역 중복 구성을 사용하도록 보장합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Virtual Machine Scale Sets는 영역 복원력이 있어야 합니다. | Virtual Machine Scale Sets는 영역 정렬, 영역 중복 또는 둘 다로 구성할 수 없습니다. 영역 배열에 정확히 하나의 항목이 있는 Virtual Machine Scale Sets는 영역 정렬로 간주됩니다. 반면, 영역 배열에 3개 이상의 항목이 있고 용량이 3개 이상인 Virtual Machine Scale Sets는 영역 중복으로 인식됩니다. 이 정책은 이러한 복원력 구성을 식별하고 적용하는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Virtual Machines는 영역에 정렬되어야 합니다. | Virtual Machines는 영역 정렬 여부에 관계없이 구성될 수 있습니다. 영역 배열에 항목이 하나만 있는 경우 영역 정렬로 간주됩니다. 이 정책은 단일 가용성 영역 내에서 작동하도록 구성됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 가상 네트워크 게이트웨이는 영역 중복이어야 합니다. | 가상 네트워크 게이트웨이는 영역 중복 여부에 관계없이 구성될 수 있습니다. SKU 이름이나 계층이 'AZ'로 끝나지 않는 가상 네트워크 게이트웨이는 영역 중복이 아닙니다. 이 정책은 영역 중단을 견디는 데 필요한 중복성이 부족한 가상 네트워크 게이트웨이를 식별합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
검색
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Cognitive Search 서비스는 프라이빗 링크를 지원하는 SKU를 사용해야 함 | Azure Cognitive Search의 지원되는 SKU를 통해 Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Search Service에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Cognitive Search 서비스는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Azure Cognitive Search 서비스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 Search Service의 노출을 제한할 수 있습니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Cognitive Search 서비스에는 로컬 인증 방법을 사용하지 않도록 설정해야 함 | 로컬 인증 방법을 사용하지 않도록 설정하면 Azure Cognitive Search 서비스에서 인증 시 Azure Active Directory ID만 요구하므로 보안이 향상됩니다. https://aka.ms/azure-cognitive-search/rbac에서 자세히 알아보세요. 로컬 인증 매개 변수 사용 안 함은 아직 미리 보기 상태이지만, 포털의 일부 기능이 매개 변수를 지원하지 않는 GA API를 사용하기 때문에 이 정책의 거부 효과로 인해 Azure Cognitive Search 포털 기능이 제한될 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Cognitive Search 서비스는 고객 관리형 키를 사용하여 저장 데이터를 암호화해야 합니다. | Azure Cognitive Search 서비스에서 고객 관리형 키를 사용하여 미사용 데이터 암호화를 사용하도록 설정하면 미사용 데이터를 암호화하는 데 사용되는 키를 추가로 제어할 수 있습니다. 이 기능은 키 자격 증명 모음을 사용하여 데이터 암호화 키를 관리해야 하는 특별한 규정 준수 요구 사항이 있는 고객에게 종종 적용됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Cognitive Search 서비스에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Cognitive Search에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| 로컬 인증을 사용하지 않도록 Azure Cognitive Search 서비스 구성 | Azure Cognitive Search 서비스가 인증 시 Azure Active Directory ID만 요구하도록 로컬 인증 방법을 사용하지 않도록 설정합니다. https://aka.ms/azure-cognitive-search/rbac에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 비활성화하도록 Azure Cognitive Search 서비스 구성 | 공용 인터넷을 통해 액세스할 수 없도록 Azure Cognitive Search 서비스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 Azure Cognitive Search 서비스 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Azure Cognitive Search 서비스를 확인합니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 사용하여 Azure Cognitive Search 서비스 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Cognitive Search 서비스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Search Services에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Security Center
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Azure 보안 에이전트를 Linux Arc 머신에 설치해야 함 | 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Linux Arc 컴퓨터에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure 보안 에이전트를 Linux 가상 머신 확장 집합에 설치해야 함 | 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Linux 가상 머신 확장 집합에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: Azure 보안 에이전트를 Linux 가상 머신에 설치해야 함 | 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Linux 가상 머신에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: Azure 보안 에이전트를 Windows Arc 머신에 설치해야 함 | 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Windows Arc 컴퓨터에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure 보안 에이전트를 Windows 가상 머신 확장 집합에 설치해야 함 | 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Windows 가상 머신 확장 집합에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.1.0-preview |
| [미리 보기]: Azure 보안 에이전트를 Windows 가상 머신에 설치해야 함 | 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Windows 가상 머신에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.1.0-preview |
| [미리 보기]: Linux Arc 머신에 ChangeTracking 확장을 설치해야 함 | Linux Arc 머신에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Linux 가상 머신에 ChangeTracking 확장을 설치해야 합니다. | Linux Virtual Machines에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: Linux 가상 머신 확장 집합에 ChangeTracking 확장을 설치해야 합니다. | Linux 가상 머신 확장 집합에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: Windows Arc 머신에 ChangeTracking 확장을 설치해야 함 | Windows Arc 머신에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Windows 가상 머신에 ChangeTracking 확장을 설치해야 합니다. | Windows Virtual Machines에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: Windows 가상 머신 확장 집합에 ChangeTracking 확장을 설치해야 합니다. | Windows 가상 머신 확장 집합에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: 가상 머신에서 Azure Defender for SQL 에이전트 구성 | Azure Monitor 에이전트가 설치된 위치에 Azure Defender for SQL 에이전트를 자동으로 설치하도록 Windows 머신을 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 머신과 동일한 지역에서 리소스 그룹과 Log Analytics 작업 영역을 만듭니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Linux Arc 머신용 ChangeTracking 확장 구성 | Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하기 위해 ChangeTracking 확장을 자동으로 설치하도록 Linux Arc 머신을 구성합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: Linux 가상 머신 확장 집합용 ChangeTracking 확장 구성 | ChangeTracking 확장을 자동으로 설치하도록 Linux 가상 머신 확장 집합을 구성하여 Azure Security Center에 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: Linux Virtual Machines용 ChangeTracking 확장 구성 | ChangeTracking 확장을 자동으로 설치하도록 Linux Virtual Machines을 구성하여 Azure Security Center에 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: Windows Arc 머신용 ChangeTracking 확장 구성 | Azure Security Center에 FIM(파일 무결성 모니터링)을 사용하기 위해 ChangeTracking 확장을 자동으로 설치하도록 Windows Arc 머신을 구성합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: Windows 가상 머신 확장 집합용 ChangeTracking 확장 구성 | ChangeTracking 확장을 자동으로 설치하도록 Windows 가상 머신 확장 집합을 구성하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: Windows Virtual Machines용 ChangeTracking 확장 구성 | ChangeTracking 확장을 자동으로 설치하도록 Windows Virtual Machines을 구성하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Linux Arc 머신 구성 | Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Linux Arc 컴퓨터를 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 Linux Arc 컴퓨터는 지원되는 위치에 있어야 합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Linux 가상 머신 확장 집합 구성 | Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Linux 가상 머신 확장 집합을 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. | DeployIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: 게스트 증명 확장을 자동으로 설치하도록 지원되는 Linux 가상 머신 확장 집합 구성 | Azure Security Center가 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하도록 지원되는 Linux 가상 머신 확장 집합을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. | DeployIfNotExists, 사용 안 함 | 6.1.0-preview |
| [미리 보기]: 자동으로 보안 부팅을 사용하도록 지원되는 Linux 가상 머신 구성 | 부팅 체인에 대한 악의적인 무단 변경을 완화하기 위해 보안 부팅을 자동으로 사용하도록 지원되는 Linux 가상 머신을 구성합니다. 이 기능을 사용하도록 설정하면 신뢰할 수 있는 부팅 로더, 커널 및 커널 드라이버만 실행할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 5.0.0-preview |
| [미리 보기]: Azure Security 에이전트를 자동으로 설치하도록 지원되는 Linux 가상 머신 구성 | Azure Security 에이전트를 자동으로 설치하도록 지원되는 Linux 가상 머신을 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. | DeployIfNotExists, 사용 안 함 | 7.0.0-preview |
| [미리 보기]: 게스트 증명 확장을 자동으로 설치하도록 지원되는 Linux 가상 머신 구성 | Azure Security Center가 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하도록 지원되는 Linux 가상 머신을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. | DeployIfNotExists, 사용 안 함 | 7.1.0-preview |
| [미리 보기]: 자동으로 vTPM을 사용하도록 지원되는 가상 머신 구성 | 측정 부팅 및 TPM이 필요한 기타 OS 보안 기능을 지원하기 위해 vTPM을 자동으로 사용하도록 지원되는 가상 머신을 구성합니다. 사용하도록 설정되면 vTPM을 사용하여 부팅 무결성을 증명할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Windows Arc 머신 구성 | Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Windows Arc 컴퓨터를 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 Windows Arc 컴퓨터는 지원되는 위치에 있어야 합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Security 에이전트를 자동으로 설치하도록 지원되는 Windows 머신 구성 | Azure Security 에이전트를 자동으로 설치하도록 지원되는 Windows 머신을 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. | DeployIfNotExists, 사용 안 함 | 5.1.0-preview |
| [미리 보기]: Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Windows 가상 머신 확장 집합 구성 | Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Windows 가상 머신 확장 집합을 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 Windows 가상 머신 확장 집합은 지원되는 위치에 있어야 합니다. | DeployIfNotExists, 사용 안 함 | 2.1.0-preview |
| [미리 보기]: 게스트 증명 확장을 자동으로 설치하도록 지원되는 Windows 가상 머신 확장 집합 구성 | Azure Security Center가 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하도록 지원되는 Windows 가상 머신 확장 집합을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. | DeployIfNotExists, 사용 안 함 | 4.1.0-preview |
| [미리 보기]: 자동으로 보안 부팅을 사용하도록 지원되는 Windows 가상 머신 구성 | 부팅 체인에 대한 악의적인 무단 변경을 완화하기 위해 보안 부팅을 자동으로 사용하도록 지원되는 Windows 가상 머신을 구성합니다. 이 기능을 사용하도록 설정하면 신뢰할 수 있는 부팅 로더, 커널 및 커널 드라이버만 실행할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 3.0.0-preview |
| [미리 보기]: 게스트 증명 확장을 자동으로 설치하도록 지원되는 Windows 가상 머신 구성 | Azure Security Center가 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하도록 지원되는 Windows 가상 머신을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. | DeployIfNotExists, 사용 안 함 | 5.1.0-preview |
| [미리 보기]: 게스트 증명 확장을 설치하도록 Shared Image Gallery 이미지로 만든 VM 구성 | Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하기 위해 Shared Image Gallery 이미지로 만든 가상 머신을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. | DeployIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: 게스트 증명 확장을 설치하도록 Shared Image Gallery 이미지로 만든 VMSS 구성 | Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하기 위해 Shared Image Gallery 이미지로 만든 VMSS를 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. | DeployIfNotExists, 사용 안 함 | 2.1.0-preview |
| [미리 보기]: Linux 하이브리드 머신에 엔드포인트용 Microsoft Defender 에이전트 배포 | Linux 하이브리드 머신에 엔드포인트용 Microsoft Defender 에이전트를 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [미리 보기]: Linux 가상 엔드포인트용 Microsoft Defender 머신에 에이전트 배포 | 해당 Linux VM 이미지에 엔드포인트용 Microsoft Defender 에이전트를 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-preview |
| [미리 보기]: Windows Azure Arc 머신에 엔드포인트용 Microsoft Defender 에이전트 배포 | Windows Azure Arc 컴퓨터에 엔드포인트용 Microsoft Defender를 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [미리 보기]: Windows 가상 머신에 엔드포인트용 Microsoft Defender 에이전트 배포 | 해당 Windows VM 이미지에 엔드포인트용 Microsoft Defender를 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [미리 보기]: 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치해야 함 | 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Linux 가상 머신에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 6.0.0-preview |
| [미리 보기]: 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 | 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Linux 가상 머신 확장 집합에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 5.1.0-preview |
| [미리 보기]: 지원되는 Windows 가상 머신에 게스트 증명 확장을 설치해야 함 | 지원되는 가상 머신에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Windows 가상 머신에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 4.0.0-preview |
| [미리 보기]: 지원되는 Windows 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 | 지원되는 가상 머신 확장 집합에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Windows 가상 머신 확장 집합에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 3.1.0-preview |
| [미리 보기]: Linux 가상 머신은 서명되고 신뢰할 수 있는 부팅 구성 요소만 사용해야 합니다. | 신뢰할 수 있는 게시자가 모든 OS 부팅 구성 요소(부트 로더, 커널, 커널 드라이버)에 서명해야 합니다. 클라우드용 Defender는 하나 이상의 Linux 머신에서 신뢰할 수 없는 OS 부팅 구성 요소를 식별했습니다. 잠재적으로 악의적인 구성 요소로부터 컴퓨터를 보호하려면 허용 목록에 컴퓨터를 추가하거나 식별된 구성 요소를 제거합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Linux 가상 머신에서 보안 부팅을 사용해야 함 | 맬웨어 기반 루트킷 및 부트킷이 설치되지 않도록 방지하려면 지원되는 Linux 가상 머신에서 보안 부팅을 사용하도록 설정합니다. 보안 부팅은 서명된 운영 체제와 드라이버만 실행할 수 있도록 합니다. 이 평가는 Azure Monitor 에이전트가 설치된 Linux 가상 머신에만 적용됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 컴퓨터에는 공격 벡터를 노출 시킬 수 있는 포트를 닫아야 합니다. | Azure의 사용 약관에서 Microsoft 서버 또는 네트워크를 손상, 사용하지 않도록 설정, 과부하 또는 손상시킬 수 있는 방식으로 Azure 서비스를 사용하는 것을 금지합니다. 이 권장 사항에 의해 식별된 노출된 포트는 지속적인 보안을 위해 닫아야 합니다. 식별된 각 포트에 대해 권장 사항은 잠재적 위협에 대한 설명도 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정해야 함 | 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정하여 부트 체인에 대한 악의적인 무단 변경을 완화합니다. 이 기능을 사용하도록 설정하면 신뢰할 수 있는 부팅 로더, 커널 및 커널 드라이버만 실행할 수 있습니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Windows 가상 머신에 적용됩니다. | 감사, 사용 안 함 | 4.0.0-preview |
| [미리 보기]: 머신에 시스템 업데이트를 설치해야 함(업데이트 센터에서 제공) | 머신에 누락된 시스템, 보안 및 중요 업데이트가 있습니다. 소프트웨어 업데이트에는 보안 허점을 메우기 위한 중요한 패치가 포함된 경우가 많습니다. 이러한 허점은 맬웨어 공격에 자주 악용되므로 소프트웨어를 업데이트된 상태로 유지하는 것이 중요합니다. 미적용 패치를 모두 설치하고 머신을 보호하려면 수정 단계를 수행합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 가상 머신 게스트 증명 상태가 정상이어야 함 | 게스트 증명은 신뢰할 수 있는 로그(TCGLog)를 증명 서버로 전송하여 수행됩니다. 서버는 이러한 로그를 사용하여 부팅 구성 요소가 신뢰할 수 있는지 여부를 확인합니다. 이 평가는 부트킷 또는 루트킷 감염에 따른 결과일 수 있는 부팅 체인의 손상을 감지하기 위한 것입니다. 이 평가는 게스트 증명 확장이 설치된, 신뢰할 수 있는 시작 사용 가상 머신에만 적용됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 지원되는 가상 머신에서 vTPM을 사용하도록 설정해야 함 | 지원되는 가상 머신에서 가상 TPM 디바이스를 사용하도록 설정하여 TPM이 필요한 계획 부팅 및 기타 OS 보안 기능을 용이하도록 합니다. 사용하도록 설정되면 vTPM을 사용하여 부팅 무결성을 증명할 수 있습니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 가상 머신에만 적용됩니다. | 감사, 사용 안 함 | 2.0.0-preview |
| 구독에 최대 3명의 소유자를 지정해야 합니다. | 보안이 침해된 소유자의 위반 가능성을 줄이려면 최대 3명의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 가상 머신을 감사하여 지원되는 취약성 평가 솔루션을 실행하고 있는지 검색합니다. 모든 사이버 위험 및 보안 프로그램의 핵심 구성 요소는 취약성을 식별하고 분석하는 것입니다. Azure Security Center의 표준 가격 책정 계층에는 추가 비용 없이 가상 머신에 대한 취약성 검사가 포함됩니다. 또한 Security Center가 자동으로 도구를 배포할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 애플리케이션 제어를 활성화하여 머신에서 실행 중인 알려진 안전한 애플리케이션 목록을 정의하고, 다른 애플리케이션이 실행될 때 경고합니다. 이렇게 하면 맬웨어로부터 머신을 강화할 수 있습니다. 규칙을 구성하고 유지 관리하는 프로세스를 간소화하기 위해 Security Center는 기계 학습을 사용하여 각 머신에서 실행 중인 애플리케이션을 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | Azure Security Center는 인터넷 연결 가상 머신의 트래픽 패턴을 분석하고 잠재적 공격 노출 영역을 줄이는 네트워크 보안 그룹 규칙 권장 사항을 제공합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 | Azure Security Center의 적응형 애플리케이션 제어를 통한 감사를 위해 구성된 머신 그룹의 동작 변경 내용을 모니터링합니다. Security Center는 기계 학습을 사용하여 머신에서 실행 중인 프로세스를 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. 이러한 앱은 적응형 애플리케이션 제어 정책에서 허용하도록 권장되는 앱으로 제공됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Azure API Management의 API 엔드포인트를 인증해야 함 | Azure API Management 내에 게시된 API 엔드포인트는 보안 위험을 최소화하기 위해 인증을 적용해야 합니다. 인증 메커니즘이 잘못 구현되거나 누락된 경우가 있습니다. 이를 통해 공격자는 구현 결함을 악용하고 데이터에 액세스할 수 있습니다. 손상된 사용자 인증에 대한 OWASP API 위협에 대한 자세한 내용은 여기(https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication)를 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| 사용하지 않는 API 엔드포인트는 사용하지 않도록 설정되고 Azure API Management 서비스에서 제거되어야 함 | 보안 모범 사례로 30일 동안 트래픽을 수신하지 않은 API 엔드포인트는 사용되지 않는 것으로 간주되며 Azure API Management 서비스에서 제거되어야 합니다. 사용하지 않는 API 엔드포인트를 유지하면 조직에 보안 위험이 발생할 수 있습니다. 이러한 API는 Azure API Management 서비스에서 더 이상 사용되지 않지만 실수로 활성 상태로 남아 있는 API일 수 있습니다. 이러한 API는 일반적으로 최신 보안 적용 범위를 받지 않습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| 권한 있는 IP 범위는 Kubernetes Services에 정의되어야 함 | 특정 범위의 IP 주소에만 API 액세스 권한을 부여하여 Kubernetes Service Management API에 대한 액세스를 제한합니다. 허용된 네트워크의 애플리케이션만 클러스터에 액세스할 수 있도록 인증된 IP 범위에 대한 액세스를 제한하는 것이 좋습니다. | 감사, 사용 안 함 | 2.0.1 |
| 구독에 Log Analytics 에이전트의 자동 프로비저닝을 사용하도록 설정해야 함 | 보안 취약성 및 위협을 모니터링하기 위해 Azure Security Center는 Azure 가상 머신에서 데이터를 수집합니다. 데이터는 이전에 MMA(Microsoft Monitoring Agent)로 알려진 Log Analytics 에이전트에 의해 수집되며, 머신에서 다양한 보안 관련 구성 및 이벤트 로그를 읽고 분석을 위해 Log Analytics 작업 영역에 데이터를 복사합니다. 지원되는 모든 Azure VM과 생성된 모든 새 VM에 에이전트를 자동으로 배포하려면 자동 프로비저닝을 사용하도록 설정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| Azure DDoS Protection을 사용하도록 설정해야 함 | 공용 IP를 사용하는 애플리케이션 게이트웨이의 일부인 서브넷이 포함된 모든 가상 네트워크에 DDoS 보호를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.0.1 |
| Azure Defender for App Service를 사용하도록 설정해야 함 | Azure Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| Azure Defender for Key Vault를 사용하도록 설정해야 함 | Azure Defender for Key Vault는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| 오픈 소스 관계형 데이터베이스용 Azure Defender를 사용하도록 설정해야 함 | 오픈 소스 관계형 데이터베이스용 Azure Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 감지합니다. https://aka.ms/AzDforOpenSourceDBsDocu에서 오픈 소스 관계형 데이터베이스용 Azure Defender의 기능에 대해 자세히 알아보세요. 중요: 이 계획을 사용하도록 설정하면 오픈 소스 관계형 데이터베이스를 보호하는 비용이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 가격에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| 머신에서 SQL 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| 보호되지 않는 PostgreSQL 유연한 서버에 대해 Azure Defender for SQL을 사용하도록 설정해야 합니다. | Advanced Data Security 없이 PostgreSQL 유연한 서버 감사 | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 레지스트리 컨테이너 이미지의 취약성이 해결되어야 합니다(Microsoft Defender 취약성 관리 제공). | 컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 취약성을 해결하면 보안 태세가 크게 향상되어 배포 전에 이미지를 안전하게 사용할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| Kubernetes Services에서 Azure RBAC(역할 기반 액세스 제어)를 사용해야 함 | 사용자가 수행할 수 있는 작업에 대한 세부적인 필터링을 제공하려면 Azure RBAC(역할 기반 액세스 제어)를 사용하여 Kubernetes Service 클러스터에서 권한을 관리하고 관련 권한 부여 정책을 구성합니다. | 감사, 사용 안 함 | 1.0.3 |
| Azure 실행 컨테이너 이미지의 취약성이 해결되어야 합니다(Microsoft Defender Vulnerability Management 기반). | 컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 이 권장 사항은 현재 Kubernetes 클러스터에서 실행 중인 취약한 이미지에 대한 가시성을 제공합니다. 현재 실행 중인 컨테이너 이미지의 취약성을 수정하는 것은 보안 태세를 개선하고 컨테이너화된 워크로드에 대한 공격 표면을 크게 줄이는 데 중요합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 | 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함 | 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Cloud Services(추가 지원) 역할 인스턴스는 안전하게 구성되어야 함 | OS 취약점이 노출되지 않는지 확인하여 공격으로부터 Cloud Service(추가 지원) 역할 인스턴스를 보호합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Cloud Services(추가 지원) 역할 인스턴스에는 엔드포인트 보호 솔루션이 설치되어 있어야 함 | 엔드포인트 보호 솔루션이 설치되어 있는지 확인하여 위협 및 취약성으로부터 Cloud Services(추가 지원) 역할 인스턴스를 보호합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Cloud Services(추가 지원) 역할 인스턴스에 시스템 업데이트가 설치되어 있어야 함 | 최신 보안 및 중요 업데이트가 설치되어 있는지 확인하여 Cloud Service(추가 지원) 역할 인스턴스를 보호합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Database for MySQL 유연한 서버에서 사용하도록 설정되도록 Advanced Threat Protection을 구성합니다. | 데이터베이스에 액세스하거나 데이터베이스를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 탐지하려면 Azure Database for MySQL 유연한 서버에서 Advanced Threat Protection을 사용하도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| PostgreSQL 유연한 서버용 Azure 데이터베이스에서 사용하도록 설정되도록 Advanced Threat Protection을 구성합니다. | 데이터베이스에 액세스하거나 데이터베이스를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 탐지하려면 Azure Database for PostgreSQL 유연한 서버에서 Advanced Threat Protection을 사용하도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| Azure Monitor 에이전트를 자동으로 설치하도록 Arc 지원 SQL Server 구성 | Windows Arc 지원 SQL Server에서 Azure Monitor 에이전트 확장 배포를 자동화합니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.3.0 |
| Microsoft Defender for SQL를 자동으로 설치하도록 Arc 지원 SQL Server 구성 | SQL용 Microsoft Defender 에이전트를 자동으로 설치하도록 Windows Arc 지원 SQL Server를 구성합니다. SQL용 Microsoft Defender는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업을 제공합니다(권장 사항). | DeployIfNotExists, 사용 안 함 | 1.2.0 |
| Log Analytics 작업 영역을 사용하여 Microsoft Defender for SQL 및 DCR을 자동으로 설치하도록 Arc 지원 SQL Server 구성 | Microsoft Defender for SQL은 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 리소스 그룹, 데이터 수집 규칙, Log Analytics 작업 영역을 컴퓨터와 동일한 지역에 만듭니다. | DeployIfNotExists, 사용 안 함 | 1.4.0 |
| 사용자 지정 LA 작업 영역을 사용하여 Microsoft Defender for SQL 및 DCR을 자동으로 설치하도록 Arc 지원 SQL Server 구성 | Microsoft Defender for SQL은 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 사용자 지정 Log Analytics 작업 영역과 동일한 지역에 리소스 그룹 및 데이터 수집 규칙을 만듭니다. | DeployIfNotExists, 사용 안 함 | 1.5.0 |
| Microsoft Defender for SQL DCR에 대한 데이터 수집 규칙 연결을 사용하여 Arc 지원 SQL Server 구성 | Arc 지원 SQL Server와 SQL DCR용 Microsoft Defender 간의 연결을 구성합니다. 이 연결을 삭제하면 이 Arc 지원 SQL Server에 대한 보안 취약성 검색이 중단됩니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| Microsoft Defender for SQL 사용자 지정 DCR에 대한 데이터 수집 규칙 연결을 사용하여 Arc 지원 SQL Server 구성 | Arc 지원 SQL Server와 SQL용 Microsoft Defender 사용자 지정 DCR 간의 연결을 구성합니다. 이 연결을 삭제하면 이 Arc 지원 SQL Server에 대한 보안 취약성 검색이 중단됩니다. | DeployIfNotExists, 사용 안 함 | 1.2.0 |
| App Service용 Azure Defender를 사용하도록 구성 | Azure Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| Azure SQL용 Azure Defender 데이터베이스를 사용하도록 구성 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 오픈 소스 관계형 데이터베이스를 사용하도록 Azure Defender 구성 | 오픈 소스 관계형 데이터베이스용 Azure Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 감지합니다. https://aka.ms/AzDforOpenSourceDBsDocu에서 오픈 소스 관계형 데이터베이스용 Azure Defender의 기능에 대해 자세히 알아보세요. 중요: 이 계획을 사용하도록 설정하면 오픈 소스 관계형 데이터베이스를 보호하는 비용이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 가격에 대해 알아봅니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Defender for Resource Manager를 사용하도록 구성 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 지역별 가격 정보에 대해 알아봅니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 서버용 Azure Defender를 사용하도록 구성 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 머신에서 Azure Defender for SQL 서버를 사용하도록 구성 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 기본 스토리지용 Microsoft Defender를 사용하도록 구성(작업 모니터링만 해당) | 스토리지용 Microsoft Defender는 스토리지 정에 대한 잠재적 위협을 탐지하는 Azure 네이티브 보안 인텔리전스 계층입니다. 이 정책은 기본 스토리지용 Defender 기능(작업 모니터링)을 사용하도록 설정합니다. 전체 보호(업로드 시 맬웨어 검사 및 중요한 데이터 위협 탐지 포함)를 사용하도록 설정하려면 전체 사용 설정 정책인 aka.ms/DefenderForStoragePolicy를 사용합니다. 스토리지용 Defender 기능 및 이점에 대해 자세히 알아보려면 aka.ms/DefenderForStorage를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 취약성 평가 공급자를 받도록 컴퓨터 구성 | Azure Defender는 추가 비용 없이 머신의 취약성을 검사합니다. Qualys 라이선스 또는 Qualys 계정이 필요하지 않습니다. 모든 항목이 Security Center 내에서 원활하게 처리됩니다. 이 정책을 사용하도록 설정하면 Azure Defender에서 아직 설치되지 않은 모든 지원되는 컴퓨터에 Qualys 취약성 평가 공급자를 자동으로 배포합니다. | DeployIfNotExists, 사용 안 함 | 4.0.0 |
| Microsoft Defender CSPM 계획 구성 | Defender CSPM(클라우드 보안 태세 관리)은 향상된 태세 기능과 새로운 지능형 클라우드 보안 그래프를 제공하여 위험을 식별하고 우선 순위를 지정하고 줄이는 데 도움이 됩니다. Defender CSPM은 클라우드용 Defender에서 기본적으로 켜져 있는 무료 기본 보안 태세 기능 외에도 사용할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Microsoft Defender CSPM이 활성화되도록 구성 | Defender CSPM(클라우드 보안 태세 관리)은 향상된 태세 기능과 새로운 지능형 클라우드 보안 그래프를 제공하여 위험을 식별하고 우선 순위를 지정하고 줄이는 데 도움이 됩니다. Defender CSPM은 클라우드용 Defender에서 기본적으로 켜져 있는 무료 기본 보안 태세 기능 외에도 사용할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 1.0.2 |
| Azure Cosmos DB용 Microsoft Defender를 사용하도록 구성 | Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 계정의 데이터베이스를 악용하려는 모든 시도를 검색하는 Azure 네이티브 보안 계층입니다. Azure Cosmos DB용 Defender는 잠재적인 SQL 주입, Microsoft 위협 인텔리전스를 기반으로 하는 알려진 공격자, 의심스러운 액세스 패턴, 손상된 ID 또는 악의적인 내부자를 통한 데이터베이스의 잠재적인 악용을 검색합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 컨테이너용 Microsoft Defender 계획 구성 | 컨테이너용 Defender 계획에는 새로운 기능이 지속적으로 추가되고 있으며, 이를 위해서는 사용자의 명시적인 사용하도록 설정이 필요할 수 있습니다. 모든 새로운 기능이 사용하도록 설정되도록 하려면 이 정책을 사용합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 사용할 컨테이너용 Microsoft Defender 구성 | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 클라우드용 Microsoft Defender(WDATP_EXCLUDE_LINUX...)를 사용하여 엔드포인트용 Microsoft Defender 통합 설정 구성 | Linux 서버용 MDE 자동 프로비전을 사용하도록 설정하기 위해 클라우드용 Microsoft Defender(WDATP_EXCLUDE_LINUX_...라고도 함) 내에서 엔드포인트용 Microsoft Defender 통합 설정을 구성합니다. 이 설정을 적용하려면 WDATP 설정이 켜져 있어야 합니다. 자세한 내용은 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint를 참조하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 클라우드용 Microsoft Defender(WDATP_UNIFIED_SOLUTION)를 사용하여 엔드포인트용 Microsoft Defender 통합 설정 구성 | Windows Server 2012R2 및 2016용 MDE 통합 에이전트의 자동 프로비전을 사용하도록 설정하기 위해 클라우드용 Microsoft Defender(WDATP_UNIFIED_SOLUTION이라고도 함) 내에서 엔드포인트용 Microsoft Defender 통합 설정을 구성합니다. 이 설정을 적용하려면 WDATP 설정이 켜져 있어야 합니다. 자세한 내용은 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint를 참조하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 클라우드용 Microsoft Defender를 사용하여 엔드포인트용 Microsoft Defender 통합 설정 구성(WDATP) | MMA를 통해 MDE에 온보딩된 Windows 하위 수준 컴퓨터에 대해 클라우드용 Microsoft Defender(WDATP라고도 함) 내에서 엔드포인트용 Microsoft Defender 통합 설정을 구성하고 Windows Server 2019, Windows Virtual Desktop 이상에서 MDE 자동 프로비전을 구성합니다. 다른 설정(WDATP_UNIFIED 등)이 작동하려면 켜져 있어야 합니다. 자세한 내용은 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint를 참조하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Key Vault용 Microsoft Defender 플랜 구성 | Key Vault용 Microsoft Defender는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 서버용 Microsoft Defender 계획 구성 | 서버용 Defender에는 새로운 기능이 지속적으로 추가되고 있으며, 이를 위해서는 사용자의 명시적인 사용하도록 설정이 필요할 수 있습니다. 모든 새로운 기능이 사용하도록 설정되도록 하려면 이 정책을 사용합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| SQL용 Microsoft Defender를 Synapse 작업 영역에서 사용하도록 구성 | Azure Synapse 작업 영역에서 SQL용 Microsoft Defender를 활성화하여 SQL 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 검색합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 스토리지용 Microsoft Defender(클래식)를 사용하도록 구성 | 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. | DeployIfNotExists, 사용 안 함 | 1.0.2 |
| 스토리지용 Microsoft Defender를 사용하도록 구성 | 스토리지용 Microsoft Defender는 스토리지 정에 대한 잠재적 위협을 탐지하는 Azure 네이티브 보안 인텔리전스 계층입니다. 이 정책은 모든 스토리지용 Defender 기능(작업 모니터링, 맬웨어 검사, 중요한 데이터 위협 탐지)을 사용하도록 설정합니다. 스토리지용 Defender 기능 및 이점에 대해 자세히 알아보려면 aka.ms/DefenderForStorage를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.2.0 |
| Azure Monitor 에이전트를 자동으로 설치하도록 SQL Virtual Machines 구성 | Windows SQL Virtual Machines에서 Azure Monitor 에이전트 확장 배포를 자동화합니다. https://aka.ms/AMAOverview에서 자세한 내용을 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.3.0 |
| Microsoft Defender for SQL를 자동으로 설치하도록 SQL Virtual Machines 구성 | SQL용 Microsoft Defender 확장을 자동으로 설치하도록 Windows SQL Virtual Machines를 구성합니다. Microsoft Defender for SQL은 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. | DeployIfNotExists, 사용 안 함 | 1.3.0 |
| Log Analytics 작업 영역을 사용하여 Microsoft Defender for SQL 및 DCR을 자동으로 설치하도록 SQL Virtual Machines 구성 | Microsoft Defender for SQL은 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 리소스 그룹, 데이터 수집 규칙, Log Analytics 작업 영역을 컴퓨터와 동일한 지역에 만듭니다. | DeployIfNotExists, 사용 안 함 | 1.5.0 |
| 사용자 지정 LA 작업 영역을 사용하여 Microsoft Defender for SQL 및 DCR을 자동으로 설치하도록 SQL Virtual Machines 구성 | Microsoft Defender for SQL은 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 사용자 지정 Log Analytics 작업 영역과 동일한 지역에 리소스 그룹 및 데이터 수집 규칙을 만듭니다. | DeployIfNotExists, 사용 안 함 | 1.5.0 |
| Microsoft Defender for SQL Log Analytics 작업 영역 구성 | Microsoft Defender for SQL은 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 컴퓨터와 동일한 지역에서 리소스 그룹과 Log Analytics 작업 영역을 만듭니다. | DeployIfNotExists, 사용 안 함 | 1.3.0 |
| 기본 제공된 사용자 할당 관리 ID 만들기 및 할당 | 기본 제공 사용자 할당 관리 ID를 만들고 SQL 가상 머신에 대규모로 할당합니다. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 1.5.0 |
| 배포 - Azure Security Center 경고에 대한 비표시 규칙 구성 | 관리 그룹 또는 구독에 대한 비표시 규칙을 배포하여 경고 피로를 줄이려면 Azure Security Center 경고를 표시하지 않습니다. | deployIfNotExists | 1.0.0 |
| 이벤트 허브로 내보내기를 클라우드용 Microsoft Defender 데이터를 위한 신뢰할 수 있는 서비스로 배포 | Event Hub로 내보내기를 클라우드용 Microsoft Defender 데이터를 위한 신뢰할 수 있는 서비스로 사용하도록 설정합니다. 이 정책은 할당된 범위의 조건 및 대상 Event Hub를 사용하여 신뢰할 수 있는 서비스 구성으로 Event Hub에 내보내기를 배포합니다. 새로 만든 구독에 이 정책을 배포하려면 규정 준수 탭을 열고, 관련 비규격 할당을 선택하고, 수정 작업을 만듭니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 클라우드용 Microsoft Defender 데이터의 Event Hub로 내보내기 배포 | 클라우드용 Microsoft Defender 데이터의 Event Hub로 내보내기를 활성화합니다. 이 정책은 할당된 범위에서 조건 및 대상 Event Hub를 사용하여 Event Hub 구성으로 내보내기를 배포합니다. 새로 만든 구독에 이 정책을 배포하려면 규정 준수 탭을 열고, 관련 비규격 할당을 선택하고, 수정 작업을 만듭니다. | deployIfNotExists | 4.2.0 |
| 클라우드용 Microsoft Defender 데이터의 Log Analytics 작업 영역으로 내보내기 배포 | 클라우드용 Microsoft Defender 데이터의 Log Analytics 작업 영역으로 내보내기를 활성화합니다. 이 정책은 할당된 범위에서 조건 및 대상 작업 영역을 사용하여 Log Analytics 작업 영역 구성으로 내보내기를 배포합니다. 새로 만든 구독에 이 정책을 배포하려면 규정 준수 탭을 열고, 관련 비규격 할당을 선택하고, 수정 작업을 만듭니다. | deployIfNotExists | 4.1.0 |
| Microsoft Defender for Cloud 경고에 대한 워크플로 자동화 배포 | 클라우드용 Microsoft Defender 경고의 자동화를 활성화합니다. 이 정책은 할당된 범위에서 조건 및 트리거와 함께 워크플로 자동화를 배포합니다. 새로 만든 구독에 이 정책을 배포하려면 규정 준수 탭을 열고, 관련 비규격 할당을 선택하고, 수정 작업을 만듭니다. | deployIfNotExists | 5.0.1 |
| Microsoft Defender for Cloud 권장 사항에 대한 워크플로 자동화 배포 | 클라우드용 Microsoft Defender 권장 사항의 자동화를 활성화합니다. 이 정책은 할당된 범위에서 조건 및 트리거와 함께 워크플로 자동화를 배포합니다. 새로 만든 구독에 이 정책을 배포하려면 규정 준수 탭을 열고, 관련 비규격 할당을 선택하고, 수정 작업을 만듭니다. | deployIfNotExists | 5.0.1 |
| 클라우드용 Microsoft Defender 규정 준수에 대한 워크플로 자동화 배포 | 클라우드용 Microsoft Defender 규정 준수의 자동화를 활성화합니다. 이 정책은 할당된 범위에서 조건 및 트리거와 함께 워크플로 자동화를 배포합니다. 새로 만든 구독에 이 정책을 배포하려면 규정 준수 탭을 열고, 관련 비규격 할당을 선택하고, 수정 작업을 만듭니다. | deployIfNotExists | 5.0.1 |
| 심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
| 심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. | 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 구독에서 클라우드용 Microsoft Defender 사용 | 클라우드용 Microsoft Defender에서 모니터링하지 않는 기존 구독을 식별하고, 클라우드용 Defender의 무료 기능을 사용하여 보호합니다. 이미 모니터링한 구독은 규정을 준수하는 것으로 간주됩니다. 새로 만든 구독을 등록하려면 규정 준수 탭을 열고, 관련 비준수 할당을 선택하고, 수정 작업을 만듭니다. | deployIfNotExists | 1.0.1 |
| Security Center가 사용자 지정 작업 영역을 사용하여 구독에서 Log Analytics 에이전트를 자동 프로비저닝하도록 합니다. | Security Center에서 사용자 지정 작업 영역을 사용하여 보안 데이터를 모니터링하고 수집하기 위해 구독에 Log Analytics 에이전트를 자동 프로비저닝할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Security Center가 기본 작업 영역을 사용하여 구독에서 Log Analytics 에이전트를 자동 프로비저닝하도록 합니다. | Security Center에서 ASC 기본 작업 영역을 사용하여 보안 데이터를 모니터링하고 수집하기 위해 구독에 Log Analytics 에이전트를 자동 프로비저닝할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 머신에서 엔드포인트 보호 상태 문제를 해결해야 함 | 가상 머신의 엔드포인트 보호 상태 문제를 해결하여 최신 위협 및 취약성으로부터 보호합니다. Azure Security Center 지원 엔드포인트 보호 솔루션은 여기(https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions)에 설명되어 있습니다. 엔드포인트 보호 평가는 여기(https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection)에 설명되어 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 머신에 Endpoint Protection을 설치해야 함 | 위협 및 취약성으로부터 머신을 보호하려면 지원되는 엔드포인트 보호 솔루션을 설치합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 가상 머신 확장 집합에서 엔드포인트 보호 솔루션의 존재 및 상태를 감사하여 위협 및 취약성으로부터 보호합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 머신에 게스트 구성 확장을 설치해야 함 | 머신의 게스트 내 설정을 안전하게 구성하려면 게스트 구성 확장을 설치합니다. 확장에서 모니터링하는 게스트 내 설정에는 운영 체제 구성, 애플리케이션 구성 또는 현재 상태 및 환경 설정이 포함됩니다. 설치되면 'Windows Exploit Guard를 사용하도록 설정해야 합니다'와 같은 게스트 내 정책을 사용할 수 있습니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 가상 머신의 NIC에서 IP 전달을 사용하도록 설정하면 머신이 다른 대상으로 주소가 지정된 트래픽을 수신할 수 있습니다. IP 전달은 거의 필요하지 않으므로(예: VM을 네트워크 가상 어플라이언스로 사용하는 경우), 네트워크 보안 팀에서 검토해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Kubernetes Services를 취약하지 않은 Kubernetes 버전으로 업그레이드해야 함 | 현재 Kubernetes 버전의 알려진 취약성으로부터 보호하려면 Kubernetes 서비스 클러스터를 최신 Kubernetes 버전으로 업그레이드하세요. 취약성 CVE-2019-9946이 Kubernetes 버전 1.11.9+, 1.12.7+, 1.13.5+ 및 1.14.0+에서 패치되었습니다. | 감사, 사용 안 함 | 1.0.2 |
| Cloud Services(추가 지원) 역할 인스턴스에 Log Analytics 에이전트를 설치해야 함 | Security Center는 Cloud Services(추가 지원) 역할 인스턴스에서 데이터를 수집하여 보안 취약성 및 위협을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| Azure Security Center를 모니터링하려면 가상 머신에 Log Analytics 에이전트를 설치해야 함 | 이 정책은 Security Center가 보안 취약성 및 위협을 모니터링하는 데 사용할 Log Analytics 에이전트가 설치되어 있지 않은 경우 Windows/Linux VMs(Virtual Machines)를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Security Center를 모니터링하려면 가상 머신 확장 집합에 Log Analytics 에이전트를 설치해야 함 | Security Center는 Azure VMs(Virtual Machines)에서 데이터를 수집하여 보안 취약성 및 위협을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 머신에서 발견한 비밀을 해결해야 합니다. | 가상 머신을 감사하여 가상 머신의 비밀 검사 솔루션에서 발견된 비밀이 포함되어 있는지 여부를 검색합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 가상 머신에서 관리 포트를 닫아야 합니다. | 열려 있는 원격 관리 포트는 위험도가 높은 인터넷 기반 공격에 VM을 노출시킵니다. 이러한 공격은 자격 증명을 무차별적으로 대입하여 머신에 대한 관리자 액세스 권한을 획득하려고 시도합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Microsoft Defender CSPM을 사용하도록 설정해야 함 | Defender CSPM(클라우드 보안 태세 관리)은 향상된 태세 기능과 새로운 지능형 클라우드 보안 그래프를 제공하여 위험을 식별하고 우선 순위를 지정하고 줄이는 데 도움이 됩니다. Defender CSPM은 클라우드용 Defender에서 기본적으로 켜져 있는 무료 기본 보안 태세 기능 외에도 사용할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| API용 Microsoft Defender를 사용하도록 설정해야 함 | API용 Microsoft Defender는 일반적인 API 기반 공격 및 보안 구성 오류를 모니터링하기 위해 새로운 검색, 보호, 탐지 및 응답 범위를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| Azure Cosmos DB용 Microsoft Defender를 사용하도록 설정해야 함 | Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 계정의 데이터베이스를 악용하려는 모든 시도를 검색하는 Azure 네이티브 보안 계층입니다. Azure Cosmos DB용 Defender는 잠재적인 SQL 주입, Microsoft 위협 인텔리전스를 기반으로 하는 알려진 공격자, 의심스러운 액세스 패턴, 손상된 ID 또는 악의적인 내부자를 통한 데이터베이스의 잠재적인 악용을 검색합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 보호되지 않는 Synapse 작업 영역에 대해 SQL용 Microsoft Defender를 사용하도록 설정해야 함 | Synapse 작업 영역을 보호하려면 SQL용 Defender를 사용하도록 설정해야 합니다. SQL용 Defender는 Synapse SQL을 모니터링하여 비정상이고 잠재적으로 위험한 데이터베이스 액세스 또는 악용 시도를 암시하는 비정상적인 활동을 탐지합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Microsoft Defender for SQL 상태는 Arc 지원 SQL Server에 대해 보호되어야 함 | Microsoft Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. 사용하도록 설정되면 보호 상태는 리소스가 적극적으로 모니터링됨을 나타냅니다. Defender가 사용하도록 설정된 경우에도 에이전트, 머신, 작업 영역 및 SQL Server에서 여러 구성 설정의 유효성을 검사하여 활성 보호를 보장해야 합니다. | 감사, 사용 안 함 | 1.0.1 |
| 스토리지용 Microsoft Defender를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender는 스토리지 계정에 대한 잠재적 위협을 탐지합니다. 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상 등 데이터 및 워크로드에 미치는 세 가지 주요 영향을 방지하는 데 도움이 됩니다. 새 스토리지용 Defender 플랜에는 맬웨어 검사 및 중요한 데이터 위협 탐지가 포함됩니다. 이 플랜은 또한 적용 범위 및 비용을 더 잘 제어할 수 있도록 예측 가능한 가격 책정 구조(스토리지 계정당)를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Security Center에서 누락된 Endpoint Protection 모니터링 | Endpoint Protection 에이전트가 설치되어 있지 않은 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Security Center 표준 가격 책정 계층을 선택해야 합니다. | 표준 가격 책정 계층은 Azure Security Center에서 네트워크 및 가상 머신에 대한 위협을 탐지하고 위협 인텔리전스, 변칙 검색 및 동작 분석을 제공합니다. | 감사, 사용 안 함 | 1.1.0 |
| 대체 취약성 평가 솔루션으로 전환하기 위한 구독 설정 | 클라우드용 Microsoft Defender는 추가 비용 없이 컴퓨터에 대한 취약성 검색을 제공합니다. 이 정책을 사용하도록 설정하면 클라우드용 Defender가 기본 제공 Microsoft Defender 취약성 관리 솔루션의 결과를 지원되는 모든 컴퓨터에 자동으로 전파합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| SQL 데이터베이스가 발견한 취약성을 해결해야 함 | 취약성 평가 검사 결과 및 데이터베이스 취약성을 수정하는 방법에 관한 권장 사항을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 4.1.0 |
| SQL 서버 대상 자동 프로비전은 컴퓨터 계획의 SQL 서버에 대해 사용하도록 설정되어야 합니다. | SQL VM 및 Arc 지원 SQL 서버를 보호하려면 SQL 대상 Azure Monitor 에이전트가 자동으로 배포되도록 구성되어 있는지 확인합니다. 이는 Microsoft Monitoring Agent의 자동 프로비전을 이전에 구성한 경우에도 필요합니다. 해당 구성 요소는 더 이상 사용되지 않기 때문입니다. 자세한 정보: https://aka.ms/SQLAMAMigration | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 컴퓨터의 SQL Server는 발견한 취약성을 해결해야 함 | SQL 취약성 평가는 데이터베이스를 검사하여 보안 취약성을 찾아내고, 구성 오류, 과도한 권한, 보호되지 않는 중요한 데이터 등과 같이 모범 사례를 따르지 않는 부분을 공개합니다. 발견된 취약성을 해결하면 데이터베이스 보안 상태가 크게 향상될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 서브넷을 네트워크 보안 그룹과 연결해야 합니다. | NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| 가상 머신 확장 집합에 대한 시스템 업데이트를 설치해야 합니다. | Windows 및 Linux 가상 머신 확장 집합의 보안을 유지하기 위해 설치해야 하는 누락된 시스템 보안 업데이트 및 중요 업데이트가 있는지 감사합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 시스템 업데이트를 머신에 설치해야 합니다. | 서버의 누락된 보안 시스템 업데이트는 Azure Security Center에서 권장 사항으로 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
| 구독에 둘 이상의 소유자를 할당해야 합니다. | 관리자 액세스 중복성을 유지하려면 둘 이상의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼 관리형 키를 사용하여 미사용 시 암호화됩니다. 임시 디스크, 데이터 캐시 및 컴퓨팅과 스토리지 간의 데이터 흐름은 암호화되지 않습니다. 다음과 같은 경우 이 권장 사항을 무시합니다. 1. 호스트에서 암호화를 사용하는 경우 또는 2. Managed Disks의 서버 쪽 암호화는 보안 요구 사항을 충족합니다. Azure Disk Storage: https://aka.ms/disksse, 다양한 디스크 암호화 제품: https://aka.ms/diskencryptioncomparison의 서버 쪽 암호화에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 2.0.3 |
| 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 게스트 구성 확장에는 시스템이 할당한 관리 ID가 필요합니다. 게스트 구성 확장이 설치되어 있지만 시스템이 할당한 관리 ID가 없는 경우 이 정책 범위에 속한 Azure 가상 머신은 비준수입니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| 컨테이너 보안 구성의 취약성을 수정해야 합니다. | Docker가 설치된 머신에서 보안 구성의 취약성을 감사하고 Azure Security Center에서 권장 사항으로 표시합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 머신 보안 구성의 취약성을 수정해야 합니다. | 구성된 기준을 충족하지 않는 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 가상 머신 확장 집합의 OS 취약성을 감사하여 공격으로부터 보호합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Security Center - 세분화된 가격 책정
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 모든 리소스에 대해 서버용 Azure Defender가 사용하지 않도록 설정되도록 구성(리소스 수준) | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. 이 정책은 선택한 범위(구독 또는 리소스 그룹)의 모든 리소스(VM, VMSS 및 ARC 컴퓨터)에 대해 서버용 Defender 계획을 사용하지 않도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 선택한 태그가 있는 리소스(리소스 수준)에 대해 서버용 Azure Defender가 사용하지 않도록 설정되도록 구성 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. 이 정책은 선택한 태그 이름과 태그 값이 있는 모든 리소스(VM, VMSS 및 ARC 컴퓨터)에 대해 서버용 Defender 계획을 사용하지 않도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 선택한 태그가 있는 모든 리소스(리소스 수준)에 대해 서버용 Azure Defender가 사용되도록('P1' 하위 계획) 구성 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. 이 정책은 선택한 태그 이름과 태그 값이 있는 모든 리소스(VM 및 ARC 컴퓨터)에 대해 서버용 Defender 계획('P1' 하위 계획 포함)을 사용하도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 모든 리소스(리소스 수준)에 대해('P1' 하위 계획 사용) 사용하도록 서버용 Azure Defender 구성 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. 이 정책은 선택한 범위(구독 또는 리소스 그룹)의 모든 리소스(VM 및 ARC 컴퓨터)에 대해 서버용 Defender 계획('P1' 하위 계획 포함)을 사용하도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
Service Bus
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Service Bus 네임스페이스에서 RootManageSharedAccessKey를 제외한 모든 인증 규칙을 제거해야 함 | Service Bus 클라이언트는 네임스페이스의 모든 큐 및 토픽에 대한 액세스를 제공하는 네임스페이스 수준 액세스 정책을 사용하지 않아야 합니다. 최소 권한 보안 모델에 맞추려면 큐 및 토픽에 대한 엔터티 수준의 액세스 정책을 만들어 특정 엔터티에만 액세스를 제공해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Service Bus 네임스페이스에 로컬 인증 방법을 사용하지 않도록 설정해야 함 | 로컬 인증 방법을 사용하지 않도록 설정하면 Azure Service Bus 네임스페이스에서 인증을 위해 Microsoft Entra ID ID만 필요하도록 하여 보안이 개선됩니다. https://aka.ms/disablelocalauth-sb에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Service Bus 네임스페이스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Service Bus 네임스페이스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/service-bus-messaging/private-link-service에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 로컬 인증을 사용하지 않도록 Azure Service Bus 네임스페이스 구성 | Azure ServiceBus 네임스페이스에서 인증을 위해 Microsoft Entra ID ID만 필요하도록 로컬 인증 방법을 사용하지 않도록 설정합니다. https://aka.ms/disablelocalauth-sb에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.1 |
| 프라이빗 DNS 영역을 사용하도록 Service Bus 네임스페이스 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Service Bus 네임스페이스로 확인됩니다. https://docs.microsoft.com/azure/service-bus-messaging/private-link-service에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트로 Service Bus 네임스페이스 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Service Bus 네임스페이스에 매핑하면 데이터 누출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/service-bus-messaging/private-link-service에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Service Bus에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
| Service Bus 네임스페이스는 공용 네트워크 액세스를 비활성화해야 합니다. | Azure Service Bus는 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제한할 수 있습니다. https://docs.microsoft.com/azure/service-bus-messaging/private-link-service에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Service Bus 네임스페이스는 이중 암호화를 사용하도록 설정해야 합니다. | 이중 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. 이중 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 개의 다른 암호화 알고리즘과 두 개의 다른 키를 사용하여 두 번 암호화됩니다(서비스 수준에서 한 번, 인프라 수준에서 한 번). | 감사, 거부, 사용 안 함 | 1.0.0 |
| Service Bus 프리미엄 네임스페이스는 암호화에 고객 관리형 키를 사용해야 함 | Azure Service Bus는 Microsoft 관리형 키(기본값) 또는 고객 관리형 키를 사용하여 미사용 데이터를 암호화하는 옵션을 지원합니다. 고객 관리형 키를 사용하여 데이터를 암호화하도록 선택하면 Service Bus가 네임스페이스의 데이터를 암호화하는 데 사용할 키에 대한 액세스 권한을 할당, 회전, 비활성화 및 취소할 수 있습니다. Service Bus는 프리미엄 네임스페이스에 대해 고객 관리형 키를 사용한 암호화만 지원합니다. | 감사, 사용 안 함 | 1.0.0 |
Service Fabric
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Service Fabric 클러스터는 ClusterProtectionLevel 속성을 EncryptAndSign으로 설정해야 함 | Service Fabric은 기본 클러스터 인증서를 사용하여 노드 간 통신을 위한 3단계 보호(None, Sign 및 EncryptAndSign)를 제공합니다. 모든 노드 간 메시지가 암호화되고 디지털로 서명될 수 있게 보호 수준을 설정합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Service Fabric 클러스터는 클라이언트 인증에 대해서만 Azure Active Directory를 사용해야 함 | Service Fabric에서 Azure Active Directory를 통한 클라이언트 인증의 사용만 감사 | 감사, 거부, 사용 안 함 | 1.1.0 |
SignalR
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure SignalR Service는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | Azure SignalR Service 리소스의 보안을 향상하려면 공용 인터넷에 노출되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. https://aka.ms/asrs/networkacls에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Azure SignalR Service에서 진단 로그를 사용하도록 설정해야 함 | 진단 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure SignalR Service는 로컬 인증 방법을 사용하지 않도록 설정해야 함 | 로컬 인증 방법을 사용하지 않도록 설정하면 Azure SignalR Service에서 인증 시 Azure Active Directory ID만 필요하므로 보안이 향상됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure SignalR Service는 Private Link 지원 SKU를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있어 공용 데이터 유출 위험으로부터 리소스를 보호할 수 있습니다. 정책은 Azure SignalR Service에 대한 Private Link 지원 SKU로 제한됩니다. https://aka.ms/asrs/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure SignalR Service는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 전체 서비스가 아닌 Azure SignalR Service 리소스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/asrs/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| 로컬 인증을 사용하지 않도록 Azure SignalR Service 구성 | Azure SignalR Service에 인증을 위해 Azure Active Directory ID가 독점적으로 필요하도록 로컬 인증 방법을 사용하지 않도록 설정합니다. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 Azure SignalR Service로 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure SignalR Service 리소스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/asrs/privatelink에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 배포 - 프라이빗 엔드포인트의 프라이빗 DNS 영역을 구성하여 Azure SignalR Service에 연결 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결하여 Azure SignalR Service 리소스로 확인합니다. https://aka.ms/asrs/privatelink에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Azure SignalR Service 리소스를 수정하여 공용 네트워크 액세스를 사용하지 않도록 설정 | Azure SignalR Service 리소스의 보안을 향상하려면 공용 인터넷에 노출되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. https://aka.ms/asrs/networkacls에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. | 수정, 사용 안 함 | 1.1.0 |
Site Recovery
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 프라이빗 DNS 영역 사용을 위해 Azure Recovery Services 자격 증명 모음 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Recovery Services 자격 증명 모음으로 확인됩니다. https://aka.ms/privatednszone에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Recovery Services 자격 증명 모음에서 프라이빗 엔드포인트 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Recovery Services 자격 증명 모음의 사이트 복구 리소스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. 프라이빗 링크를 사용하려면 Recovery Services 자격 증명 모음에 관리 서비스 ID를 할당해야 합니다. https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Recovery Services 자격 증명 모음은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Recovery Services 자격 증명 모음에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/HybridScenarios-PrivateLink 및 https://aka.ms/AzureToAzure-PrivateLink에서 Azure Site Recovery의 프라이빗 링크에 대해 자세히 알아봅니다. | 감사, 사용 안 함 | 1.0.0 - 미리 보기 |
SQL
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| MySQL 서버에 대해 Microsoft Entra 관리자를 프로비전해야 합니다. | Microsoft Entra 인증을 사용하도록 설정하기 위해 MySQL 서버에 대한 Microsoft Entra 관리자 프로비전을 감사합니다. Microsoft Entra 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.1.1 |
| PostgreSQL 서버에 대해 Microsoft Entra 관리자를 프로비전해야 합니다. | Microsoft Entra 인증을 사용하도록 설정하기 위해 PostgreSQL 서버에 대한 Microsoft Entra 관리자 프로비전을 감사합니다. Microsoft Entra 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| SQL 서버에 대해 Azure Active Directory 관리자를 프로비저닝해야 합니다. | SQL 서버에 대한 Azure Active Directory 관리자 프로비전을 감사하여 Azure AD 인증을 활성화합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. | 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| 보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| Azure MySQL 유연한 서버에는 Microsoft Entra Only Authentication이 사용하도록 설정되어 있어야 합니다. | 로컬 인증 방법을 사용하지 않도록 설정하고 Microsoft Entra 인증만 허용하면 Microsoft Entra ID를 통해서만 Azure MySQL 유연한 서버에 액세스할 수 있으므로 보안이 개선됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| Azure SQL Database는 TLS 버전 1.2 이상을 실행해야 합니다. | TLS 버전을 1.2 이상으로 설정하면 TLS 1.2 이상을 사용하는 클라이언트에서만 Azure SQL Database에 액세스할 수 있으므로 보안이 향상됩니다. 1.2 미만의 TLS 버전은 보안 취약성이 잘 문서화되었기 때문에 사용하지 않는 것이 좋습니다. | 감사, 사용 안 함, 거부 | 2.0.0 |
| Azure SQL Database에는 Microsoft Entra 전용 인증이 사용하도록 설정되어 있어야 합니다. | Microsoft Entra 전용 인증을 사용하려면 Azure SQL 논리 서버가 필요합니다. 이 정책은 로컬 인증이 사용하도록 설정된 상태에서 서버가 만들어지는 것을 차단하지 않습니다. 만든 후 리소스에 대한 로컬 인증이 사용하도록 설정되지 않도록 차단합니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. https://aka.ms/adonlycreate에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure SQL Database는 만드는 동안 Microsoft Entra 전용 인증을 사용하도록 설정해야 합니다. | Microsoft Entra 전용 인증을 사용하여 Azure SQL 논리 서버를 만들어야 합니다. 이 정책은 만든 후 리소스에 대한 로컬 인증이 다시 사용하도록 설정되는 것을 차단하지 않습니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. https://aka.ms/adonlycreate에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.2.0 |
| Azure SQL Managed Instance에는 Microsoft Entra 전용 인증이 사용하도록 설정되어 있어야 합니다. | Microsoft Entra 전용 인증을 사용하려면 Azure SQL Managed Instance가 필요합니다. 이 정책은 로컬 인증이 사용하도록 설정된 상태에서 Azure SQL Managed Instance가 만들어지는 것을 차단하지 않습니다. 만든 후 리소스에 대한 로컬 인증이 사용하도록 설정되지 않도록 차단합니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. https://aka.ms/adonlycreate에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure SQL Managed Instance에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | Azure SQL Managed Instance에서 공용 네트워크 액세스(퍼블릭 엔드포인트)를 사용하지 않도록 설정하면 가상 네트워크 또는 프라이빗 엔드포인트 내에서만 액세스할 수 있도록 보장함으로써 보안이 향상됩니다. 공용 네트워크 액세스에 대해 자세히 알아보려면 https://aka.ms/mi-public-endpoint를 참조하세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure SQL Managed Instance는 만드는 동안 Microsoft Entra 전용 인증을 사용하도록 설정해야 합니다. | Microsoft Entra 전용 인증을 사용하여 Azure SQL Managed Instance를 만들어야 합니다. 이 정책은 만든 후 리소스에 대한 로컬 인증이 다시 사용하도록 설정되는 것을 차단하지 않습니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. https://aka.ms/adonlycreate에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.2.0 |
| Azure Database for MariaDB 서버에서 사용할 수 있도록 Advanced Threat Protection 구성 | 데이터베이스에 액세스하거나 데이터베이스를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 탐지하려면 기본 계층이 아닌 Azure Database for MariaDB 서버에서 Advanced Threat Protection을 사용하도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.2.0 |
| Azure Database for MySQL 서버에서 사용할 수 있도록 Advanced Threat Protection 구성 | 데이터베이스에 액세스하거나 데이터베이스를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 탐지하려면 기본 계층이 아닌 Azure Database for MySQL 서버에서 Advanced Threat Protection을 사용하도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.2.0 |
| Azure Database for PostgreSQL 서버에서 사용할 수 있도록 Advanced Threat Protection 구성 | 데이터베이스에 액세스하거나 데이터베이스를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 탐지하려면 기본 계층이 아닌 Azure Database for PostgreSQL 서버에서 Advanced Threat Protection을 사용하도록 설정합니다. | DeployIfNotExists, 사용 안 함 | 1.2.0 |
| SQL Managed Instances에서 Azure Defender를 사용하도록 구성 | Azure SQL Managed Instances에서 Azure Defender를 사용하도록 설정하여 비정상이고 잠재적으로 위험한 데이터베이스 액세스 또는 악용 시도를 나타내는 비정상적인 활동을 검색합니다. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| SQL 서버에서 Azure Defender를 사용하도록 구성 | Azure SQL Servers에서 Azure Defender를 사용하도록 설정하여 비정상이고 잠재적으로 위험한 데이터베이스 액세스 또는 악용 시도를 나타내는 비정상적인 활동을 검색합니다. | DeployIfNotExists | 2.1.0 |
| Azure SQL 데이터베이스 서버에 대한 진단 설정을 Log Analytics 작업 영역으로 구성 | 이 감사가 누락된 SQL Server가 만들어지거나 업데이트되면 Azure SQL Database 서버의 감사 로그를 활성화하고 로그를 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 1.0.2 |
| 공용 네트워크 액세스를 사용하지 않도록 Azure SQL Server 구성 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure SQL Server에 액세스할 수 있도록 공용 연결이 종료됩니다. 이 구성은 Azure SQL Server의 모든 데이터베이스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트 연결을 사용하도록 Azure SQL Server 구성 | 프라이빗 엔드포인트 연결을 사용하면 가상 네트워크 내의 개인 IP 주소를 통해 Azure SQL Database에 프라이빗 연결을 설정할 수 있습니다. 이 구성은 보안 상태를 개선하고 Azure 네트워킹 도구 및 시나리오를 지원합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 감사를 사용하도록 SQL 서버 구성 | SQL 서버에 대해 수행되는 작업을 캡처하려면 SQL 서버에서 감사를 사용하도록 설정해야 합니다. 이는 규정 표준을 준수해야 하는 경우도 있습니다. | DeployIfNotExists, 사용 안 함 | 3.0.0 |
| Log Analytics 작업 영역에 대한 감사를 사용하도록 SQL 서버 구성 | SQL 서버에 대해 수행되는 작업을 캡처하려면 SQL 서버에서 감사를 사용하도록 설정해야 합니다. 감사를 사용하도록 설정하지 않으면 이 정책은 지정된 Log Analytics 작업 영역으로 전달되도록 감사 이벤트를 구성합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| PostgreSQL 데이터베이스 서버에 대해 연결 제한을 사용하도록 설정해야 합니다. | 이 정책은 연결 제한을 사용하도록 설정하지 않고 사용자 환경에서 PostgreSQL 데이터베이스를 감사하는 데 도움이 됩니다. 이 설정은 잘못된 암호 로그인 실패가 너무 많을 경우 IP당 임시 연결 제한을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 배포 - Log Analytics 작업 영역에 SQL Databases에 대한 진단 설정 구성 | 이 진단 설정이 누락된 SQL Database를 만들거나 업데이트할 때 SQL Database에 대한 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 4.0.0 |
| SQL 서버에 Advanced Data Security 배포 | 이 정책은 SQL 서버에 Advanced Data Security를 사용하도록 설정합니다. 여기에는 위협 탐지 및 취약성 평가를 설정하는 작업이 포함됩니다. SQL 서버와 동일한 지역 및 리소스 그룹에 스토리지 계정을 자동으로 만들어 검색 결과를 'sqlva' 접두사와 함께 저장합니다. | DeployIfNotExists | 1.3.0 |
| Azure SQL Database의 진단 설정을 이벤트 허브에 적용 | Azure SQL Database의 진단 설정을 시작하여 이 진단 설정이 없는 Azure SQL Database가 만들어지거나 업데이트될 때 지역별 이벤트 허브로 스트리밍합니다. | DeployIfNotExists | 1.2.0 |
| SQL DB 투명한 데이터 암호화 배포 | SQL Database에서 투명한 데이터 암호화를 사용하도록 설정 | DeployIfNotExists, 사용 안 함 | 2.2.0 |
| PostgreSQL 데이터베이스 서버에 대한 연결 끊김을 기록해야 합니다. | 이 정책은 log_disconnections를 사용하도록 설정하지 않고 사용자 환경에서 PostgreSQL 데이터베이스를 감사하는 데 도움이 됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | MySQL용 Azure Database는 SSL(Secure Sockets Layer)을 사용한 MySQL용 Azure Database 서버와 클라이언트 애플리케이션 간 연결을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사, 사용 안 함 | 1.0.1 |
| PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL은 SSL(Secure Sockets Layer)을 사용하여 Azure Database for PostgreSQL 서버를 클라이언트 애플리케이션에 연결하는 것을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사, 사용 안 함 | 1.0.1 |
| Azure Database for MariaDB에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for MariaDB를 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
| Azure Database for MySQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for MySQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
| Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
| 인프라 암호화를 Azure Database for MySQL에 사용하도록 설정해야 합니다. | 인프라 암호화를 Azure Database for MySQL에 사용하도록 설정하여 데이터 보안을 더 높은 수준으로 보장합니다. 인프라 암호화를 사용하도록 설정하면 저장 데이터가 FIPS 140-2 준수 Microsoft 관리형 키를 사용하여 두 번 암호화됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 인프라 암호화를 Azure Database for PostgreSQL에 사용하도록 설정해야 합니다. | 인프라 암호화를 Azure Database for PostgreSQL에 사용하도록 설정하여 데이터 보안을 더 높은 수준으로 보장합니다. 인프라 암호화를 사용하도록 설정하면 저장 데이터가 FIPS 140-2 준수 Microsoft 관리형 키를 사용하여 두 번 암호화됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| PostgreSQL 데이터베이스 서버에 대해 로그 검사점을 사용하도록 설정해야 합니다. | 이 정책은 log_checkpoints 설정을 사용하도록 설정하지 않고 사용자 환경에서 PostgreSQL 데이터베이스를 감사하는 데 도움이 됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| PostgreSQL 데이터베이스 서버에 대해 로그 연결을 사용하도록 설정해야 합니다. | 이 정책은 log_connections 설정을 사용하도록 설정하지 않고 사용자 환경에서 PostgreSQL 데이터베이스를 감사하는 데 도움이 됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| PostgreSQL 데이터베이스 서버에 대해 로그 기간을 사용하도록 설정해야 합니다. | 이 정책은 log_duration 설정을 사용하도록 설정하지 않고 사용자 환경에서 PostgreSQL 데이터베이스를 감사하는 데 도움이 됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure SQL Database에 대해 장기 지역 중복 백업을 사용하도록 설정해야 합니다. | 이 정책은 장기 지역 중복 백업이 사용하도록 설정되지 않은 모든 Azure SQL Database를 감사합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| MariaDB 서버는 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 가상 네트워크 기반 방화벽 규칙은 Azure 경계 내에서 트래픽을 유지하면서 특정 서브넷에서 Azure Database for MariaDB로의 트래픽을 사용하도록 설정하는 데 사용됩니다. 이 정책은 Azure Database for MariaDB에서 사용 중인 가상 네트워크 서비스 엔드포인트가 있는지 감사하는 방법을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| MySQL 서버는 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 가상 네트워크 기반 방화벽 규칙은 Azure 경계 내에서 트래픽을 유지하면서 특정 서브넷에서 Azure Database for MySQL로의 트래픽을 사용하도록 설정하는 데 사용됩니다. 이 정책은 Azure Database for MySQL에서 사용 중인 가상 네트워크 서비스 엔드포인트가 있는지 감사하는 방법을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| MySQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 MySQL 서버의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
| PostgreSQL 서버는 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 가상 네트워크 기반 방화벽 규칙은 Azure 경계 내에서 트래픽을 유지하면서 특정 서브넷에서 Azure Database for PostgreSQL로의 트래픽을 사용하도록 설정하는 데 사용됩니다. 이 정책은 Azure Database for PostgreSQL에서 사용 중인 가상 네트워크 서비스 엔드포인트가 있는지 감사하는 방법을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| PostgreSQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 PostgreSQL 서버의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
| Azure SQL Database에서 프라이빗 엔드포인트 연결을 사용하도록 설정해야 함 | 프라이빗 엔드포인트 연결은 Azure SQL Database에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. | 감사, 사용 안 함 | 1.1.0 |
| 프라이빗 엔드포인트를 MariaDB 서버에서 사용할 수 있어야 합니다. | 프라이빗 엔드포인트 연결은 Azure Database for MariaDB에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. 알려진 네트워크에서 들어오는 트래픽에만 액세스할 수 있고 Azure 내부를 비롯한 다른 IP 주소의 액세스를 차단하도록 프라이빗 엔드포인트 연결을 구성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| 프라이빗 엔드포인트를 MySQL 서버에서 사용할 수 있어야 합니다. | 프라이빗 엔드포인트 연결은 Azure Database for MySQL에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. 알려진 네트워크에서 들어오는 트래픽에만 액세스할 수 있고 Azure 내부를 비롯한 다른 IP 주소의 액세스를 차단하도록 프라이빗 엔드포인트 연결을 구성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| 프라이빗 엔드포인트를 PostgreSQL 서버에서 사용할 수 있어야 합니다. | 프라이빗 엔드포인트 연결은 Azure Database for PostgreSQL에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. 알려진 네트워크에서 들어오는 트래픽에만 액세스할 수 있고 Azure 내부를 비롯한 다른 IP 주소의 액세스를 차단하도록 프라이빗 엔드포인트 연결을 구성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| Azure SQL Database에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure SQL Database에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| MariaDB 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하여 보안을 강화하고 프라이빗 엔드포인트에서만 Azure Database for MariaDB에 액세스할 수 있도록 합니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간의 액세스를 엄격하게 차단하고, IP 또는 가상 네트워크 기반 방화벽 규칙에 부합하는 모든 로그인을 거부합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
| 공용 네트워크 액세스를 MySQL 유연한 서버에 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure Database for MySQL 유연한 서버를 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 엄격하게 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| MySQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하여 보안을 강화하고 프라이빗 엔드포인트에서만 Azure Database for MySQL에 액세스할 수 있도록 합니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간의 액세스를 엄격하게 차단하고, IP 또는 가상 네트워크 기반 방화벽 규칙에 부합하는 모든 로그인을 거부합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
| 공용 네트워크 액세스를 PostgreSQL 유연한 서버에 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure Database for PostgreSQL 유연한 서버를 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 엄격하게 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. | 감사, 거부, 사용 안 함 | 3.0.1 |
| PostgreSQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하여 보안을 강화하고 프라이빗 엔드포인트에서만 Azure Database for PostgreSQL에 액세스할 수 있도록 합니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. | 감사, 거부, 사용 안 함 | 2.0.1 |
| SQL 감사 설정에는 중요한 작업을 캡처하도록 구성된 작업 그룹이 있어야 합니다. | 철저한 감사 로깅을 위해 AuditActionsAndGroups 속성에 최소한 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP이 포함되어야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| SQL Database는 GRS 백업 중복을 사용하지 않아야 함 | 데이터 상주 규칙이 특정 지역 내에서 데이터를 유지하도록 요구하는 경우 데이터베이스는 백업에 기본 지역 중복 스토리지를 사용하지 않아야 합니다. 참고: T-SQL을 사용하여 데이터베이스를 만들 때 Azure Policy가 적용되지 않습니다. 명시적으로 지정하지 않으면 지역 중복 백업 스토리지가 있는 데이터베이스가 T-SQL을 통해 생성됩니다. | 거부, 사용 안 함 | 2.0.0 |
| SQL Managed Instance는 최소 TLS 버전 1.2를 사용해야 함 | 최소 TLS 버전을 1.2로 설정하면 TLS 1.2를 사용하는 클라이언트에서만 SQL Managed Instance에 액세스할 수 있으므로 보안이 향상됩니다. 1.2 미만의 TLS 버전은 보안 취약성이 잘 문서화되었기 때문에 사용하지 않는 것이 좋습니다. | 감사, 사용 안 함 | 1.0.1 |
| SQL Managed Instance는 GRS 백업 중복을 사용하지 않아야 함 | 데이터 상주 규칙이 특정 지역 내에서 데이터를 유지하도록 요구하는 경우 Managed Instances는 백업에 기본 지역 중복 스토리지를 사용하지 않아야 합니다. 참고: T-SQL을 사용하여 데이터베이스를 만들 때 Azure Policy가 적용되지 않습니다. 명시적으로 지정하지 않으면 지역 중복 백업 스토리지가 있는 데이터베이스가 T-SQL을 통해 생성됩니다. | 거부, 사용 안 함 | 2.0.0 |
| SQL Managed Instance는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통한 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
| SQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통해 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. | 감사, 거부, 사용 안 함 | 2.0.1 |
| 스토리지 계정 대상에 대한 감사 기능이 있는 SQL Server는 보존 기간을 90일 이상으로 구성해야 함 | 인시던트 조사를 위해 SQL Server 감사를 위한 데이터 보존 기간을 스토리지 계정 대상으로 90일 이상으로 설정하는 것이 좋습니다. 운영 중인 지역에 필요한 보존 규칙을 충족하는지 확인합니다. 이는 규정 표준을 준수해야 하는 경우도 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| SQL 데이터베이스에 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | 저장 데이터를 보호하고 규정 준수 요구 사항을 충족하려면 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 지정한 서브넷의 트래픽을 허용하려면 Azure SQL Database에서 가상 네트워크 방화벽 규칙을 사용하도록 설정해야 함 | 가상 네트워크 기반 방화벽 규칙은 Azure 경계 내에서 트래픽을 유지하면서 특정 서브넷에서 Azure SQL Database로의 트래픽을 사용하도록 설정하는 데 사용됩니다. | AuditIfNotExists | 1.0.0 |
| SQL Managed Instance에서 취약성 평가를 사용하도록 설정해야 함 | 반복 취약성 평가 검사를 사용하도록 설정하지 않은 각 SQL Managed Instance를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다. | 취약성 평가가 제대로 구성되지 않은 Azure SQL Server를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
SQL Managed Instance
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 고객 관리형 키 암호화는 Arc SQL 관리되는 인스턴스에 대한 CMK 암호화의 일부로 사용해야 합니다. | CMK 암호화의 일부로 고객 관리형 키 암호화를 사용해야 합니다. https://aka.ms/EnableTDEArcSQLMI에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| Arc SQL 관리되는 인스턴스에 TLS 프로토콜 1.2를 사용해야 합니다. | 네트워크 설정의 일부로 Microsoft에서는 SQL Server의 TLS 프로토콜에 TLS 1.2만 허용할 것을 권장합니다. https://aka.ms/TlsSettingsSQLServer에서 SQL Server에 대한 네트워크 설정에 대해 자세히 알아봅니다. | 감사, 사용 안 함 | 1.0.0 |
| Arc SQL 관리되는 인스턴스에 대해 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | Azure Arc 지원 SQL 관리되는 인스턴스 미사용 TDE(투명한 데이터 암호화)를 사용하도록 설정합니다. https://aka.ms/EnableTDEArcSQLMI에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
SQL Server
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: SQL VM에 시스템 할당 ID 사용 | SQL 가상 머신에 대규모로 시스템 할당 ID를 사용하도록 설정합니다. 구독 수준에서 이 정책을 할당해야 합니다. 리소스 그룹 수준에서 할당이 예상대로 작동하지 않습니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| SQL 모범 사례 평가를 사용하거나 사용하지 않도록 설정하려면 SQL Server 확장이 설치된 Arc 지원 서버를 구성합니다. | 모범 사례를 평가하려면 Arc 지원 서버의 SQL 서버 인스턴스에서 SQL 모범 사례 평가를 사용하거나 사용하지 않도록 설정합니다. https://aka.ms/azureArcBestPracticesAssessment에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 적합한 Arc 지원 SQL Server 인스턴스에 확장 보안 업데이트 구독 | 라이선스 유형이 유료 또는 확장 보안 업데이트에 대한 PAYG로 설정된 적합 Arc 지원 SQL Server 인스턴스를 구독합니다. 확장된 보안 업데이트에 대해 자세히 알아봅니다. https://go.microsoft.com/fwlink/?linkid=2239401 | DeployIfNotExists, 사용 안 함 | 1.0.0 |
Stack HCI
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Azure Stack HCI 서버는 지속적으로 애플리케이션 제어 정책을 적용해야 합니다. | 최소한 모든 Azure Stack HCI 서버에 적용 모드로 Microsoft WDAC 기본 정책을 적용합니다. 적용된 WDAC(Windows Defender 애플리케이션 제어) 정책은 동일한 클러스터의 서버 전체에서 일관되어야 합니다. | Audit, Disabled, AuditIfNotExists | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Stack HCI 서버는 보안 코어 요구 사항을 충족해야 합니다. | 모든 Azure Stack HCI 서버가 보안 코어 요구 사항을 충족하는지 확인합니다. 보안 코어 서버 요구 사항을 사용하도록 설정하려면: 1. Azure Stack HCI 클러스터 페이지에서 Windows Admin Center로 이동하여 연결을 선택합니다. 2. 보안 확장으로 이동하여 보안 코어를 선택합니다. 3. 사용하도록 설정되지 않은 설정을 선택하고 사용을 클릭합니다. | Audit, Disabled, AuditIfNotExists | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Stack HCI 시스템에는 암호화된 볼륨이 있어야 합니다. | BitLocker를 사용하여 Azure Stack HCI 시스템에서 OS 및 데이터 볼륨을 암호화합니다. | Audit, Disabled, AuditIfNotExists | 1.0.0 - 미리 보기 |
| [미리 보기]: 호스트 및 VM 네트워킹은 Azure Stack HCI 시스템에서 보호되어야 합니다. | Azure Stack HCI 호스트 네트워크 및 가상 머신 네트워크 연결의 데이터를 보호합니다. | Audit, Disabled, AuditIfNotExists | 1.0.0 - 미리 보기 |
스토리지
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 스토리지 계정 공용 액세스가 허용되지 않아야 함 | Azure Storage의 컨테이너 및 BLOB에 대한 익명 공용 읽기 액세스는 데이터를 공유하는 편리한 방법이지만 보안 위험이 있을 수도 있습니다. 원치 않는 익명 액세스로 인해 발생하는 데이터 위반을 방지하기 위해 Microsoft는 시나리오에 필요한 경우가 아니면 스토리지 계정에 대한 공개 액세스를 방지하는 것이 좋습니다 | 감사, 거부, 사용 안 함 | 3.1.0-preview |
| Azure 파일 동기화는 프라이빗 링크를 사용해야 함 | 표시된 Storage Sync Service 리소스의 프라이빗 엔드포인트를 만들면 인터넷에서 액세스할 수 있는 퍼블릭 엔드포인트를 사용하지 않고 조직 네트워크의 개인 IP 주소 공간 내에서 Storage Sync Service 리소스를 처리할 수 있습니다. 프라이빗 엔드포인트를 자체적으로 만든다고 해서 퍼블릭 엔드포인트가 비활성화되지 않습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure NetApp Files SMB 볼륨은 SMB3 암호화를 사용해야 함 | 데이터 무결성과 데이터 프라이버시를 보장하기 위해 SMB3 암호화 없이는 SMB 볼륨을 만들 수 없도록 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| NFSv4.1 형식의 Azure NetApp Files 볼륨은 Kerberos 데이터 암호화를 사용해야 함 | 데이터가 암호화되도록 Kerberos 프라이버시(5p) 보안 모드만 사용하도록 허용합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| NFSv4.1 형식의 Azure NetApp Files 볼륨은 Kerberos 데이터 무결성 또는 데이터 프라이버시를 사용해야 함 | 데이터 무결성과 데이터 프라이버시를 보장하기 위해 최소한 Kerberos 무결성(krb5i) 또는 Kerberos 프라이버시(krb5p)를 선택했는지 확인합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure NetApp Files 볼륨은 NFSv3 프로토콜 형식을 사용하지 않아야 함 | 볼륨에 대한 안전하지 않은 액세스를 방지하기 위해 NFSv3 프로토콜 형식 사용을 허용하지 않습니다. 데이터 무결성 및 암호화를 보장하려면 NFS 볼륨에 액세스하는 데 Kerberos 프로토콜과 함께 NFSv4.1을 사용해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| blob groupID에 대한 프라이빗 DNS 영역 ID 구성 | blob groupID 프라이빗 엔드포인트에 대한 DNS 확인을 재정의하도록 프라이빗 DNS 영역 그룹을 구성합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| blob_secondary groupID에 대한 프라이빗 DNS 영역 ID 구성 | blob_secondary groupID 프라이빗 엔드포인트에 대한 DNS 확인을 재정의하도록 프라이빗 DNS 영역 그룹을 구성합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| dfs groupID에 대한 프라이빗 DNS 영역 ID 구성 | dfs groupID 프라이빗 엔드포인트에 대한 DNS 확인을 재정의하도록 프라이빗 DNS 영역 그룹을 구성합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| dfs_secondary groupID에 대한 프라이빗 DNS 영역 ID 구성 | dfs_secondary groupID 프라이빗 엔드포인트에 대한 DNS 확인을 재정의하도록 프라이빗 DNS 영역 그룹을 구성합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| file groupID에 대한 프라이빗 DNS 영역 ID 구성 | file groupID 프라이빗 엔드포인트에 대한 DNS 확인을 재정의하도록 프라이빗 DNS 영역 그룹을 구성합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| queue groupID에 대한 프라이빗 DNS 영역 ID 구성 | queue groupID 프라이빗 엔드포인트에 대한 DNS 확인을 재정의하도록 프라이빗 DNS 영역 그룹을 구성합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| queue_secondary groupID에 대한 프라이빗 DNS 영역 ID 구성 | queue_secondary groupID 프라이빗 엔드포인트에 대한 DNS 확인을 재정의하도록 프라이빗 DNS 영역 그룹을 구성합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| table groupID에 대한 프라이빗 DNS 영역 ID 구성 | table groupID 프라이빗 엔드포인트에 대한 DNS 확인을 재정의하도록 프라이빗 DNS 영역 그룹을 구성합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| table_secondary groupID에 대한 프라이빗 DNS 영역 ID 구성 | table_secondary groupID 프라이빗 엔드포인트에 대한 DNS 확인을 재정의하도록 프라이빗 DNS 영역 그룹을 구성합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| web groupID에 대한 프라이빗 DNS 영역 ID 구성 | web groupID 프라이빗 엔드포인트에 대한 DNS 확인을 재정의하도록 프라이빗 DNS 영역 그룹을 구성합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| web_secondary groupID에 대한 프라이빗 DNS 영역 ID 구성 | web_secondary groupID 프라이빗 엔드포인트에 대한 DNS 확인을 재정의하도록 프라이빗 DNS 영역 그룹을 구성합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 Azure 파일 동기화 구성 | 등록된 서버에서 Storage Sync Service 리소스 인터페이스의 프라이빗 엔드포인트에 액세스하려면 프라이빗 엔드포인트의 개인 IP 주소에 대한 올바른 이름을 확인하도록 DNS를 구성해야 합니다. 이 정책은 Storage Sync Service 프라이빗 엔드포인트의 인터페이스에 대한 필수 Azure 프라이빗 DNS 영역 및 A 레코드를 만듭니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 프라이빗 엔드포인트를 사용하여 Azure 파일 동기화 구성 | 표시된 Storage Sync Service 리소스에 대해 프라이빗 엔드포인트가 배포됩니다. 이렇게 하면 인터넷에 액세스할 수 있는 퍼블릭 엔드포인트를 통하지 않고 조직 네트워크의 개인 IP 주소 공간 내에서 Storage Sync Service 리소스 주소를 지정할 수 있습니다. 하나 이상의 프라이빗 엔드포인트가 자체적으로 있다고 하더라도 퍼블릭 엔드포인트가 비활성화되지는 않습니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Blob service의 진단 설정을 Log Analytics 작업 영역으로 구성 | 이 진단 설정이 누락된 Blob service가 만들어지거나 업데이트되면 Blob service의 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| 파일 서비스의 진단 설정을 Log Analytics 작업 영역으로 구성 | 이 진단 설정이 누락된 파일 서비스가 만들어지거나 업데이트되면 파일 서비스의 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| 큐 서비스의 진단 설정을 Log Analytics 작업 영역으로 구성 | 이 진단 설정이 누락된 큐 서비스가 만들어지거나 업데이트되면 큐 서비스의 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. 참고: 이 정책은 스토리지 계정을 만들 때 트리거되지 않으며 계정을 업데이트하려면 수정 작업을 만들어야 합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| 스토리지 계정의 진단 설정을 Log Analytics 작업 영역으로 구성 | 이 진단 설정이 누락된 스토리지 계정이 만들어지거나 업데이트되면 스토리지 계정의 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| 테이블 서비스의 진단 설정을 Log Analytics 작업 영역으로 구성 | 이 진단 설정이 누락된 테이블 서비스가 만들어지거나 업데이트되면 테이블 서비스의 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. 참고: 이 정책은 스토리지 계정을 만들 때 트리거되지 않으며 계정을 업데이트하려면 수정 작업을 만들어야 합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| 스토리지 계정에서 데이터 보안 전송 구성 | 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 링크 연결을 사용하도록 스토리지 계정 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 스토리지 계정에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/azureprivatelinkoverview에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 스토리지 계정 구성 | 스토리지 계정의 보안을 향상시키려면 공용 인터넷에 공개되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. https://aka.ms/storageaccountpublicnetworkaccess에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. | 수정, 사용 안 함 | 1.0.1 |
| 스토리지 계정 공용 액세스를 허용하지 않도록 구성 | Azure Storage의 컨테이너 및 BLOB에 대한 익명 공용 읽기 액세스는 데이터를 공유하는 편리한 방법이지만 보안 위험이 있을 수도 있습니다. 원치 않는 익명 액세스로 인해 발생하는 데이터 위반을 방지하기 위해 Microsoft는 시나리오에 필요한 경우가 아니면 스토리지 계정에 대한 공개 액세스를 방지하는 것이 좋습니다 | 수정, 사용 안 함 | 1.0.0 |
| Blob 버전 관리를 사용하도록 Storage 계정 구성 | Blob 스토리지 버전 관리를 사용하도록 설정하여 이전 버전의 개체를 자동으로 유지 관리할 수 있습니다. Blob 버전 관리를 사용하도록 설정하면 데이터가 수정되거나 삭제된 경우 이전 버전의 Blob에 액세스하여 복구할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정에 스토리지용 Defender(클래식) 배포 | 이 정책을 사용하면 스토리지 계정에서 스토리지용 Defender(클래식)를 사용할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 스토리지 계정에 대해 지역 중복 스토리지를 사용하도록 설정해야 함 | 지역 중복을 사용하여 고가용성 애플리케이션 만들기 | 감사, 사용 안 함 | 1.0.0 |
| HPC Cache 계정은 암호화에 고객 관리형 키를 사용해야 함 | 고객 관리형 키를 사용하여 Azure HPC Cache의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. | 감사, 사용 안 함, 거부 | 2.0.0 |
| 수정 - 공용 네트워크 액세스를 사용하지 않도록 Azure 파일 동기화 구성 | 조직 정책에 따라 Azure 파일 동기화의 인터넷 액세스 가능 퍼블릭 엔드포인트가 비활성화되었습니다. 프라이빗 엔드포인트를 통해 Storage Sync Service에 계속 액세스할 수 있습니다. | 수정, 사용 안 함 | 1.0.0 |
| 수정 - Blob 버전 관리를 사용하도록 Storage 계정 구성 | Blob 스토리지 버전 관리를 사용하도록 설정하여 이전 버전의 개체를 자동으로 유지 관리할 수 있습니다. Blob 버전 관리를 사용하도록 설정하면 데이터가 수정되거나 삭제된 경우 이전 버전의 Blob에 액세스하여 복구할 수 있습니다. 기존 스토리지 계정은 Blob Storage 버전 관리를 사용하도록 수정되지 않습니다. 새로 만든 스토리지 계정만 Blob Storage 버전 관리를 사용하도록 설정됩니다 | 수정, 사용 안 함 | 1.0.0 |
| Azure 파일 동기화의 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 퍼블릭 엔드포인트를 사용하지 않도록 설정하면 Storage Sync Service에 대한 액세스를 조직의 네트워크에서 승인된 프라이빗 엔드포인트로 향하는 요청으로 제한할 수 있습니다. 퍼블릭 엔드포인트에 대한 요청을 허용할 때 기본적으로 안전하지 않은 것은 없지만 규정, 법률 또는 조직 정책 요구 사항을 충족하기 위해 사용하지 않도록 설정할 수 있습니다. 리소스의 incomingTrafficPolicy를 AllowVirtualNetworksOnly로 설정하여 Storage Sync Service에 대한 퍼블릭 엔드포인트를 사용하지 않도록 설정할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Queue Storage는 암호화를 위해 고객 관리 키를 사용해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 큐 스토리지를 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
| 스토리지 계정 암호화 범위에서 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 스토리지 계정 암호화 범위의 미사용 데이터 암호화를 관리합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure 키 자격 증명 모음 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/encryption-scopes-overview에서 스토리지 계정 암호화 범위에 대해 자세히 알아봅니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정 암호화 범위는 미사용 데이터에 이중 암호화를 사용해야 합니다. | 보안 강화를 위해 나머지 스토리지 계정 암호화 범위에서 암호화를 위해 인프라 암호화를 사용하도록 설정합니다. 인프라 암호화는 데이터가 두 번 암호화되도록 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정 키가 만료되지 않아야 함 | 키 만료 시 조치를 취해 계정 키의 보안을 강화하기 위해 키 만료 정책을 설정할 때 사용자 스토리지 계정 키가 만료되지 않았는지 확인합니다. | 감사, 거부, 사용 안 함 | 3.0.0 |
| 스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 | 스토리지 계정과 상호 작용하는 일부 Microsoft 서비스는 네트워크 규칙을 통해 액세스 권한을 부여할 수 없는 네트워크에서 작동합니다. 이러한 유형의 서비스가 의도한 대로 작동하도록 하려면 신뢰할 수 있는 Microsoft 서비스 세트에서 네트워크 규칙을 무시하도록 허용합니다. 그러면 이러한 서비스에서 강력한 인증을 사용하여 스토리지 계정에 액세스합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정은 허용된 SKU별로 제한해야 함 | 조직이 배포할 수 있는 스토리지 계정 SKU 세트를 제한합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 스토리지 계정에 새로운 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 관리, 관리 ID 액세스, 비밀을 위해 Key Vault에 액세스, Azure AD 기반 인증, 보다 쉬운 보안 관리를 위한 태그 및 리소스 그룹 지원과 같은 보안 기능 향상을 제공합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 스토리지 계정의 보안을 향상시키려면 공용 인터넷에 공개되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. https://aka.ms/storageaccountpublicnetworkaccess에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 스토리지 계정에는 인프라 암호화가 있어야 함 | 데이터의 보안 수준을 높이기 위한 인프라 암호화를 사용하도록 설정합니다. 인프라 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 번 암호화됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정에 SAS(공유 액세스 서명) 정책이 구성되어 있어야 합니다. | 스토리지 계정에 SAS(공유 액세스 서명) 만료 정책을 사용하도록 설정되어 있는지 확인합니다. 사용자는 SAS를 사용하여 Azure Storage 계정의 리소스에 대한 액세스 권한을 위임합니다. 그리고 SAS 만료 정책은 사용자가 SAS 토큰을 만들 때 만료 상한 사용을 권장합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정에는 지정된 최소 TLS 버전이 있어야 함 | 클라이언트 애플리케이션과 스토리지 계정 간의 보안 통신을 위해 최소 TLS 버전을 구성합니다. 보안 위험을 최소화하기 위해 권장되는 최소 TLS 버전은 현재 TLS 1.2인 최신 릴리스 버전입니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정은 테넌트 간 개체 복제를 방지해야 합니다. | 스토리지 계정에 대한 개체 복제 제한을 감사합니다. 기본적으로 사용자는 하나의 Azure AD 테넌트의 원본 스토리지 계정과 다른 테넌트의 대상 계정을 사용하여 개체 복제를 구성할 수 있습니다. 이것은 고객의 데이터가 고객이 소유한 스토리지 계정에 복제될 수 있기 때문에 보안 문제입니다. allowCrossTenantReplication을 false로 설정하면 원본 계정과 대상 계정이 모두 동일한 Azure AD 테넌트에 있는 경우에만 개체 복제를 구성할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정은 공유 키 액세스를 차단해야 함 | 스토리지 계정에 대한 요청을 권한 부여하는 Azure AD(Azure Active Directory)의 감사 요구 사항입니다. 기본적으로 요청은 Azure Active Directory 자격 증명을 사용하거나 공유 키 권한 부여를 위한 계정 액세스 키를 사용하여 권한을 부여할 수 있습니다. 이러한 두 가지 유형의 권한 부여 중 Azure AD는 공유 키보다 뛰어난 보안과 사용 편의성을 제공하며 Microsoft에서 권장합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
| 스토리지 계정은 네트워크 액세스를 제한해야 함 | 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.1 |
| 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | IP 기반 필터링 대신 기본 방법으로 가상 네트워크 규칙을 사용하여 잠재적인 위협으로부터 스토리지 계정을 보호합니다. IP 기반 필터링을 사용하지 않도록 설정하면 공용 IP에서 스토리지 계정에 액세스할 수 없습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 Blob 및 파일 스토리지 계정을 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사, 사용 안 함 | 1.0.3 |
| 스토리지 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 스토리지 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/azureprivatelinkoverview에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| Table Storage는 암호화를 위해 고객 관리 키를 사용해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 테이블 스토리지를 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Stream Analytics
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Stream Analytics 작업은 고객 관리형 키를 사용하여 데이터를 암호화해야 함 | 스토리지 계정에 Stream Analytics 작업의 메타데이터 및 프라이빗 데이터 자산을 모두 안전하게 저장하려면 고객 관리형 키를 사용합니다. 이를 통해 Stream Analytics 데이터가 암호화되는 방식을 완전히 제어할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Azure Stream Analytics에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
| Stream Analytics 작업은 신뢰할 수 있는 입력 및 출력에 연결해야 함 | Stream Analytics 작업에 허용 목록에서 정의되지 않은 임의의 입력 또는 출력 연결이 없는지 확인합니다. 이를 통해 Stream Analytics 작업이 조직 외부의 임의 싱크에 연결하여 데이터를 유출하지 않는지 확인합니다. | 거부, 사용 안 함, 감사 | 1.1.0 |
| Stream Analytics 작업은 관리 ID를 사용하여 엔드포인트를 인증해야 함 | Stream Analytics 작업은 관리 ID 인증을 사용하여 엔드포인트에만 연결해야 합니다. | 거부, 사용 안 함, 감사 | 1.0.0 |
Synapse
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Synapse 작업 영역에서 감사를 사용하도록 설정해야 함 | 전용 SQL 풀의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 Synapse 작업 영역에서 감사를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Synapse Analytics 전용 SQL 풀은 암호화를 사용하도록 설정해야 함 | Azure Synapse Analytics 전용 SQL 풀에 대해 투명한 데이터 암호화를 사용하도록 설정하여 미사용 데이터를 보호하고 규정 준수 요구 사항을 충족합니다. 풀에 투명한 데이터 암호화를 사용하도록 설정하면 쿼리 성능에 영향을 미칠 수 있습니다. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2147714를 참조할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Synapse 작업 영역 SQL Server는 TLS 버전 1.2 이상을 실행해야 함 | TLS 버전을 1.2 이상으로 설정하면 TLS 1.2 이상을 사용하는 클라이언트에서만 Azure Synapse 작업 영역 SQL 서버에 액세스할 수 있으므로 보안이 향상됩니다. 1.2 미만의 TLS 버전은 보안 취약성이 잘 문서화되었기 때문에 사용하지 않는 것이 좋습니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Azure Synapse 작업 영역은 승인된 대상에만 아웃바운드 데이터 트래픽을 허용해야 함 | 승인된 대상에만 아웃바운드 데이터 트래픽을 허용하여 Synapse 작업 영역의 보안을 강화합니다. 이렇게 하면 데이터를 보내기 전에 대상의 유효성을 검사하여 데이터 유출을 방지할 수 있습니다. | 감사, 사용 안 함, 거부 | 1.0.0 |
| Azure Synapse 작업 영역은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Synapse 작업 영역이 퍼블릭 인터넷에 노출되지 않으므로 보안이 강화됩니다. 프라이빗 엔드포인트를 만들면 Synapse 작업 영역의 노출을 제한할 수 있습니다. https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Synapse 작업 영역은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Synapse 작업 영역에 저장된 데이터의 저장 데이터 암호화를 제어합니다. 고객 관리형 키는 서비스 관리형 키를 사용하여 수행되는 기본 암호화 위에 두 번째 암호화 계층을 추가하여 이중 암호화를 제공합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Synapse 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Synapse 작업 영역에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 |
| Azure Synapse 작업 영역 전용 SQL 최소 TLS 버전 구성 | 고객은 새 Synapse 작업 영역 또는 기존 작업 영역 모두에 대해 API를 사용하여 최소 TLS 버전을 높이거나 낮출 수 있습니다. 따라서 작업 영역에서 더 낮은 클라이언트 버전을 사용해야 하는 사용자는 연결할 수 있고 보안 요구 사항이 있는 사용자는 최소 TLS 버전을 늘릴 수 있습니다. https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Azure Synapse 작업 영역 구성 | 퍼블릭 인터넷을 통해 액세스할 수 없도록 Synapse 작업 영역에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 Azure Synapse 작업 영역 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Azure Synapse 작업 영역으로 확인됩니다. https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| 프라이빗 엔드포인트를 사용하여 Azure Synapse 작업 영역 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Synapse 작업 영역에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 감사를 사용하도록 Synapse 작업 영역 구성 | SQL 자산에 대해 수행되는 작업을 캡처하려면 Synapse 작업 영역에서 감사를 사용하도록 설정해야 합니다. 이는 규정 표준을 준수해야 하는 경우도 있습니다. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| Log Analytics 작업 영역에 대한 감사를 사용하도록 Synapse 작업 영역 구성 | SQL 자산에 대해 수행되는 작업을 캡처하려면 Synapse 작업 영역에서 감사를 사용하도록 설정해야 합니다. 감사를 사용하도록 설정하지 않으면 이 정책은 지정된 Log Analytics 작업 영역으로 전달되도록 감사 이벤트를 구성합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 인증에 Microsoft Entra ID만 사용하도록 Synapse 작업 영역 구성 | Microsoft Entra 전용 인증을 사용하려면 Synapse 작업 영역을 요구하고 다시 구성합니다. 이 정책은 로컬 인증이 사용하도록 설정된 작업 영역이 만들어지는 것을 차단하지 않습니다. 로컬 인증이 사용하도록 설정되는 것을 차단하고 만든 후 리소스에 대한 Microsoft Entra 전용 인증을 다시 사용하도록 설정합니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. https://aka.ms/Synapse에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 작업 영역을 만드는 동안 인증에 Microsoft Entra ID만 사용하도록 Synapse 작업 영역 구성 | Microsoft Entra 전용 인증을 사용하여 만들어지도록 Synapse 작업 영역을 요구하고 다시 구성합니다. 이 정책은 만든 후 리소스에 대한 로컬 인증이 다시 사용하도록 설정되는 것을 차단하지 않습니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. https://aka.ms/Synapse에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.2.0 |
| Azure Synapse 작업 영역에서 IP 방화벽 규칙을 제거해야 함 | 모든 IP 방화벽 규칙을 제거하면 프라이빗 엔드포인트에서만 Azure Synapse 작업 영역에 액세스할 수 있도록 하여 보안을 향상시킵니다. 이 구성에서는 작업 영역에서 공용 네트워크 액세스를 허용하는 방화벽 규칙 생성을 감사합니다. | 감사, 사용 안 함 | 1.0.0 |
| Azure Synapse 작업 영역에서 관리형 작업 영역 가상 네트워크를 사용하도록 설정해야 함 | 관리형 작업 영역 가상 네트워크를 사용하도록 설정하면 작업 영역이 다른 작업 영역과 격리된 네트워크가 됩니다. 이 가상 네트워크에 배포된 데이터 통합 및 Spark 리소스는 Spark 작업에 대한 사용자 수준 격리도 제공합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Synapse 관리형 프라이빗 엔드포인트는 승인된 Azure Active Directory 테넌트의 리소스에만 연결해야 함 | 승인된 Azure AD(Azure Active Directory) 테넌트의 리소스에 대한 연결만 허용하여 Synapse 작업 영역을 보호합니다. 승인된 Azure AD 테넌트는 정책 할당 중에 정의할 수 있습니다. | 감사, 사용 안 함, 거부 | 1.0.0 |
| Synapse 작업 영역 감사 설정에 중요한 활동을 캡처하기 위해 구성된 작업 그룹이 있어야 함 | 감사 로그를 최대한 철저히 관리하려면 AuditActionsAndGroups 속성에 모든 관련 그룹이 포함되어야 합니다. SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP 및 BATCH_COMPLETED_GROUP를 하나 이상 추가하는 것이 좋습니다. 이는 규정 표준을 준수해야 하는 경우도 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Synapse 작업 영역에는 Microsoft Entra 전용 인증이 사용하도록 설정되어 있어야 합니다. | Microsoft Entra 전용 인증을 사용하려면 Synapse 작업 영역이 필요합니다. 이 정책은 로컬 인증이 사용하도록 설정된 작업 영역이 만들어지는 것을 차단하지 않습니다. 만든 후 리소스에 대한 로컬 인증이 사용하도록 설정되지 않도록 차단합니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. https://aka.ms/Synapse에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Synapse 작업 영역은 작업 영역을 만드는 동안 인증을 위해 Microsoft Entra ID만 사용해야 합니다. | Microsoft Entra 전용 인증을 사용하여 Synapse 작업 영역을 만들어야 합니다. 이 정책은 만든 후 리소스에 대한 로컬 인증이 다시 사용하도록 설정되는 것을 차단하지 않습니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. https://aka.ms/Synapse에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.2.0 |
| 스토리지 계정 대상에 대한 SQL 감사 기능이 있는 Synapse 작업 영역은 보존 기간을 90일 이상으로 구성해야 함 | 인시던트 조사를 위해 Synapse 작업 영역의 SQL 감사를 위한 데이터 보존 기간을 스토리지 계정 대상으로 90일 이상으로 설정하는 것이 좋습니다. 운영 중인 지역에 필요한 보존 규칙을 충족하는지 확인합니다. 이는 규정 표준을 준수해야 하는 경우도 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| Synapse 작업 영역에서 취약성 평가를 사용하도록 설정해야 함 | Synapse 작업 영역에서 반복되는 SQL 취약성 평가 검사를 구성하여 잠재적인 취약성을 검색하고 추적 및 수정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
태그
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 리소스 그룹에 태그 추가 | 이 태그를 누락하는 리소스 그룹을 만들거나 업데이트할 때 지정된 태그 및 값을 추가합니다. 기존 리소스 그룹은 수정 작업을 트리거하여 수정할 수 있습니다. 태그가 다른 값으로 존재하는 경우 변경되지 않습니다. | 수정 | 1.0.0 |
| 리소스에 태그 추가 | 이 태그를 누락하는 리소스를 만들거나 업데이트할 때 지정된 태그 및 값을 추가합니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. 태그가 다른 값으로 존재하는 경우 변경되지 않습니다. 리소스 그룹에 대한 태그는 수정하지 않습니다. | 수정 | 1.0.0 |
| 구독에 태그 추가 | 수정 작업을 통해 지정된 태그 및 값을 구독에 추가합니다. 태그가 다른 값으로 존재하는 경우 변경되지 않습니다. 정책 수정에 대한 자세한 내용은 https://aka.ms/azurepolicyremediation을 참조하세요. | 수정 | 1.0.0 |
| 리소스 그룹에 태그 추가 또는 바꾸기 | 리소스 그룹을 만들거나 업데이트할 때 지정된 태그 및 값을 추가하거나 바꿉니다. 기존 리소스 그룹은 수정 작업을 트리거하여 수정할 수 있습니다. | 수정 | 1.0.0 |
| 리소스에 태그 추가 또는 바꾸기 | 리소스를 만들거나 업데이트할 때 지정된 태그 및 값을 추가하거나 바꿉니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. 리소스 그룹에 대한 태그는 수정하지 않습니다. | 수정 | 1.0.0 |
| 구독에 태그 추가 또는 바꾸기 | 수정 작업을 통해 지정된 태그 및 값을 구독에 추가하거나 바꿉니다. 기존 리소스 그룹은 수정 작업을 트리거하여 수정할 수 있습니다. 정책 수정에 대한 자세한 내용은 https://aka.ms/azurepolicyremediation을 참조하세요. | 수정 | 1.0.0 |
| 리소스 그룹에서 태그 및 해당 값 추가 | 이 태그를 누락하는 리소스를 만들거나 업데이트할 때 리소스 그룹의 해당 값으로 지정된 태그를 추가합니다. 해당 리소스가 변경될 때까지 이 정책을 적용하기 전에 만들어진 리소스의 태그를 수정하지 않습니다. 기존 리소스에 대한 태그 수정을 지원하는 새로운 '수정' 효과 정책을 사용할 수 있습니다(https://aka.ms/modifydoc 참조). | 추가 | 1.0.0 |
| 리소스 그룹에서 태그 및 해당 값 추가 | 이 태그를 누락하는 리소스 그룹을 만들거나 업데이트할 때 지정된 태그 및 값을 추가합니다. 해당 리소스 그룹이 변경될 때까지 이 정책을 적용하기 전에 만들어진 리소스 그룹의 태그를 수정하지 않습니다. 기존 리소스에 대한 태그 수정을 지원하는 새로운 '수정' 효과 정책을 사용할 수 있습니다(https://aka.ms/modifydoc 참조). | 추가 | 1.0.0 |
| 리소스에 태그 및 해당 값 추가 | 이 태그를 누락하는 리소스를 만들거나 업데이트할 때 지정된 태그 및 값을 추가합니다. 해당 리소스가 변경될 때까지 이 정책을 적용하기 전에 만들어진 리소스의 태그를 수정하지 않습니다. 리소스 그룹에는 적용되지 않습니다. 기존 리소스에 대한 태그 수정을 지원하는 새로운 '수정' 효과 정책을 사용할 수 있습니다(https://aka.ms/modifydoc 참조). | 추가 | 1.0.1 |
| 리소스 그룹에서 태그 상속 | 리소스를 만들거나 업데이트할 때 부모 리소스 그룹의 지정된 태그 및 값을 추가하거나 바꿉니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. | 수정 | 1.0.0 |
| 없는 경우 리소스 그룹에서 태그 상속 | 이 태그를 누락하는 리소스를 만들거나 업데이트할 때 부모 리소스 그룹의 해당 값으로 지정된 태그를 추가합니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. 태그가 다른 값으로 존재하는 경우 변경되지 않습니다. | 수정 | 1.0.0 |
| 구독에서 태그 상속 | 리소스를 만들거나 업데이트할 때 포함된 구독에서 지정된 태그 및 값을 추가하거나 바꿉니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. | 수정 | 1.0.0 |
| 누락된 경우 구독에서 태그 상속 | 이 태그를 누락한 리소스를 만들거나 업데이트할 때 포함된 구독의 값으로 지정된 태그를 추가합니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. 태그가 다른 값으로 존재하는 경우 변경되지 않습니다. | 수정 | 1.0.0 |
| 리소스 그룹에 태그 및 해당 값 필요 | 리소스 그룹에 필요한 태그와 해당 값을 적용합니다. | deny | 1.0.0 |
| 리소스에 태그 및 해당 값 필요 | 필수 태그와 해당 값을 적용합니다. 리소스 그룹에는 적용되지 않습니다. | deny | 1.0.1 |
| 리소스 그룹에 태그 필요 | 리소스 그룹에 태그 사용을 적용합니다. | deny | 1.0.0 |
| 리소스에 태그 필요 | 태그의 존재를 적용합니다. 리소스 그룹에는 적용되지 않습니다. | deny | 1.0.1 |
신뢰할 수 있는 시작
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 디스크 및 OS 이미지는 TrustedLaunch를 지원해야 함 | TrustedLaunch는 이를 지원하기 위해 OS 디스크 및 OS 이미지가 필요한 가상 머신의 보안을 개선합니다(Gen 2). TrustedLaunch에 대해 자세히 알아보려면 https://aka.ms/trustedlaunch를 참조하세요. | 감사, 사용 안 함 | 1.0.0 |
| 가상 머신에는 TrustedLaunch가 사용하도록 설정되어 있어야 함 | 보안 강화를 위해 가상 머신에서 TrustedLaunch를 사용하도록 설정하고 TrustedLaunch를 지원하는 VM SKU(Gen 2)를 사용합니다. TrustedLaunch에 대해 자세히 알아보려면 https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch를 참조하세요. | 감사, 사용 안 함 | 1.0.0 |
VirtualEnclaves
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 네트워크 ACL 무시 구성을 통해서만 네트워크 액세스를 제한하도록 스토리지 계정을 구성합니다. | 스토리지 계정의 보안을 강화하려면 네트워크 ACL 무시를 통해서만 액세스를 사용하도록 설정합니다. 이 정책은 스토리지 계정 액세스를 위해 프라이빗 엔드포인트와 함께 사용해야 합니다. | 수정, 사용 안 함 | 1.0.0 |
| 허용 목록 외부의 리소스 종류 만들기를 허용하지 않습니다. | 이 정책은 가상 enclave에서 보안을 유지하기 위해 명시적으로 허용된 형식 이외의 리소스 종류 배포를 방지합니다. https://aka.ms/VirtualEnclaves | 감사, 거부, 사용 안 함 | 1.0.0 |
| 지정된 리소스 종류 또는 특정 공급자 형식 만들기를 허용하지 않습니다. | 매개 변수 목록을 통해 지정된 리소스 공급자 및 형식은 보안팀의 명시적인 승인 없이 만들어질 수 없습니다. 정책 할당에 예외가 부여되면 리소스는 enclave 내에서 활용될 수 있습니다. https://aka.ms/VirtualEnclaves | 감사, 거부, 사용 안 함 | 1.0.0 |
| 네트워크 인터페이스는 승인된 가상 네트워크의 승인된 서브넷에 연결되어야 합니다. | 이 정책은 네트워크 인터페이스가 승인되지 않은 가상 네트워크 또는 서브넷에 연결되는 것을 차단합니다. https://aka.ms/VirtualEnclaves | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정은 네트워크 ACL 무시 구성을 통해서만 네트워크 액세스를 제한해야 합니다. | 스토리지 계정의 보안을 강화하려면 네트워크 ACL 무시를 통해서만 액세스를 사용하도록 설정합니다. 이 정책은 스토리지 계정 액세스를 위해 프라이빗 엔드포인트와 함께 사용해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
VM 이미지 작성기
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| VM Image Builder 템플릿은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 VM Image Builder에 매핑하여 리소스를 구성하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함, 거부 | 1.1.0 |
Web PubSub
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Web PubSub 서비스는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Azure Web PubSub 서비스가 퍼블릭 인터넷에 노출되지 않으므로 보안이 강화됩니다. 프라이빗 엔드포인트를 만들면 Azure Web PubSub 서비스의 노출을 제한할 수 있습니다. https://aka.ms/awps/networkacls에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Web PubSub Service에서 진단 로그를 사용하도록 설정해야 함 | 진단 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Web PubSub 서비스에서 로컬 인증 방법을 사용하지 않도록 설정해야 함 | 로컬 인증 방법을 사용하지 않도록 설정하면 Azure Web PubSub 서비스에서 인증을 위해 Azure Active Directory ID만 요구하도록 함으로써 보안이 향상됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Web PubSub 서비스는 프라이빗 링크를 지원하는 SKU를 사용해야 함 | 지원되는 SKU로 Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Web PubSub 서비스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/awps/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Web PubSub 서비스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Web PubSub 서비스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/awps/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| 로컬 인증을 사용하지 않도록 Azure Web PubSub 서비스 구성 | 로컬 인증 방법을 사용하지 않도록 설정하여 Azure Web PubSub 서비스에서 인증에 Azure Active Directory ID만 요구하도록 하세요. | 수정, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 Azure Web PubSub 서비스 구성 | 퍼블릭 인터넷을 통해 액세스할 수 없도록 Azure Web PubSub 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/awps/networkacls에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 DNS 영역을 사용하도록 Azure Web PubSub 서비스 구성 | 프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Azure Web PubSub 서비스로 확인됩니다. https://aka.ms/awps/privatelink에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트로 Azure Web PubSub 서비스 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Web PubSub 서비스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/awps/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
다음 단계
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.