Details van het ingebouwde initiatief voor naleving van regelgeving in Azure Security Benchmark v1Details of the Azure Security Benchmark v1 Regulatory Compliance built-in initiative

In het volgende artikel wordt beschreven hoe Azure Policy definitie van het ingebouwde initiatief voor naleving van regelgeving wordt gebruikt voor nalevingsdomeinen en besturingselementen in Azure Security Benchmark v1.The following article details how the Azure Policy Regulatory Compliance built-in initiative definition maps to compliance domains and controls in Azure Security Benchmark v1. Zie Azure Security Benchmark v1 voor meer informatie over deze nalevingsstandaard.For more information about this compliance standard, see Azure Security Benchmark v1. Zie Azure Policy-beleidsdefinitie en Gedeelde verantwoordelijkheid in de Cloud om Eigendom te begrijpen.To understand Ownership, see Azure Policy policy definition and Shared responsibility in the cloud.

De volgende toewijzingen zijn voor de azure Security Benchmark v1-besturingselementen.The following mappings are to the Azure Security Benchmark v1 controls. Gebruik de navigatie aan de rechterkant om rechtstreeks naar een toewijzing van een specifiek nalevingsdomein te gaan.Use the navigation on the right to jump directly to a specific compliance domain. Veel van de beheeropties worden geïmplementeerd met een Azure Policy-initiatiefdefinitie.Many of the controls are implemented with an Azure Policy initiative definition. Als u de complete initiatiefdefinitie wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities.To review the complete initiative definition, open Policy in the Azure portal and select the Definitions page. Ga vervolgens naar de ingebouwde initiatiefdefinitie voor naleving van regelgeving in Azure Security Benchmark v1, en selecteer deze.Then, find and select the Azure Security Benchmark v1 Regulatory Compliance built-in initiative definition.

Dit ingebouwde initiatief wordt geïmplementeerd als onderdeel van het blauwdrukvoorbeeld Azure Security Benchmark v1.This built-in initiative is deployed as part of the Azure Security Benchmark v1 blueprint sample.

Belangrijk

Elke beheeroptie hieronder is gekoppeld aan een of meer Azure Policy-definities.Each control below is associated with one or more Azure Policy definitions. Met deze beleidsregels kunt u de compliance beoordelen met de beheeroptie. Er is echter vaak geen één-op-één- of volledige overeenkomst tussen een beheeroptie en een of meer beleidsregels.These policies may help you assess compliance with the control; however, there often is not a one-to-one or complete match between a control and one or more policies. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsdefinities zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie.As such, Compliant in Azure Policy refers only to the policy definitions themselves; this doesn't ensure you're fully compliant with all requirements of a control. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities.In addition, the compliance standard includes controls that aren't addressed by any Azure Policy definitions at this time. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus.Therefore, compliance in Azure Policy is only a partial view of your overall compliance status. De koppelingen tussen de beheeropties voor nalevingsdomeinen en Azure Policy definities voor deze nalevingsstandaard kunnen na verloop van tijd veranderen.The associations between compliance domains, controls, and Azure Policy definitions for this compliance standard may change over time. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit-geschiedenis.To view the change history, see the GitHub Commit History.

NetwerkbeveiligingNetwork Security

Resources beschermen met behulp van netwerkbeveiligingsgroepen of Azure Firewall op uw virtueel netwerkProtect resources using Network Security Groups or Azure Firewall on your Virtual Network

Id: Azure Benchmark 1.1 Eigendom: KlantID: Azure Security Benchmark 1.1 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gerichtAdaptive network hardening recommendations should be applied on internet facing virtual machines Azure Security Center analyseert de verkeerspatronen van virtuele machines die vanaf het internet toegankelijk zijn, en formuleert aanbevelingen voor regels voor de netwerkbeveiligingsgroep die de kans op aanvallen beperkenAzure Security Center analyzes the traffic patterns of Internet facing virtual machines and provides Network Security Group rule recommendations that reduce the potential attack surface AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Alle internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure FirewallAll Internet traffic should be routed via your deployed Azure Firewall Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie.Azure Security Center has identified that some of your subnets aren't protected with a next generation firewall. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatieProtect your subnets from potential threats by restricting access to them with Azure Firewall or a supported next generation firewall AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.0-preview3.0.0-preview
App Service moet gebruikmaken van een service-eindpunt voor een virtueel netwerkApp Service should use a virtual network service endpoint Met dit beleid worden alle exemplaren van App Service gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk.This policy audits any App Service not configured to use a virtual network service endpoint. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes ServicesAuthorized IP ranges should be defined on Kubernetes Services Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken.Restrict access to the Kubernetes Service Management API by granting API access only to IP addresses in specific ranges. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster.It is recommended to limit access to authorized IP ranges to ensure that only applications from allowed networks can access the cluster. Controle, uitgeschakeldAudit, Disabled 2.0.12.0.1
Container Registry moet gebruikmaken van een virtuele-netwerkservice-eindpuntContainer Registry should use a virtual network service endpoint Met dit beleid worden alle exemplaren van Container Registry gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk.This policy audits any Container Registry not configured to use a virtual network service endpoint. Controle, uitgeschakeldAudit, Disabled 1.0.0-preview1.0.0-preview
Cosmos DB moet gebruikmaken van een service-eindpunt voor een virtueel netwerkCosmos DB should use a virtual network service endpoint Met dit beleid worden alle exemplaren van Cosmos DB gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk.This policy audits any Cosmos DB not configured to use a virtual network service endpoint. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Event Hub moet gebruikmaken van een service-eindpunt voor een virtueel netwerkEvent Hub should use a virtual network service endpoint Met dit beleid worden alle instanties van Event Hub gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk.This policy audits any Event Hub not configured to use a virtual network service endpoint. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepenInternet-facing virtual machines should be protected with network security groups Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG).Protect your virtual machines from potential threats by restricting access to them with network security groups (NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-docLearn more about controlling traffic with NSGs at https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeldIP Forwarding on your virtual machine should be disabled Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen.Enabling IP forwarding on a virtual machine's NIC allows the machine to receive traffic addressed to other destinations. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam.IP forwarding is rarely required (e.g., when using the VM as a network virtual appliance), and therefore, this should be reviewed by the network security team. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Key Vault moet gebruikmaken van een virtuele-netwerkservice-eindpuntKey Vault should use a virtual network service endpoint Met dit beleid worden alle exemplaren van Key Vault gecontroleerd die niet zijn geconfigureerd voor het gebruik van een virtuele-netwerkservice-eindpunt.This policy audits any Key Vault not configured to use a virtual network service endpoint. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheerManagement ports of virtual machines should be protected with just-in-time network access control Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security CenterPossible network Just In Time (JIT) access will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Beheerpoorten moeten gesloten zijn op uw virtuele machinesManagement ports should be closed on your virtual machines Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet.Open remote management ports are exposing your VM to a high level of risk from Internet-based attacks. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen.These attacks attempt to brute force credentials to gain admin access to the machine. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Het privé-eindpunt moet worden ingeschakeld voor MariaDB-serversPrivate endpoint should be enabled for MariaDB servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MariaDB.Private endpoint connections enforce secure communication by enabling private connectivity to Azure Database for MariaDB. Configureer een privé-eindpuntverbinding om alleen toegang mogelijk te maken tot verkeer dat afkomstig is van bekende netwerken en om toegang te voorkomen vanaf alle andere IP-adressen, ook binnen Azure.Configure a private endpoint connection to enable access to traffic coming only from known networks and prevent access from all other IP addresses, including within Azure. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.21.0.2
Het privé-eindpunt moet worden ingeschakeld voor MySQL-serversPrivate endpoint should be enabled for MySQL servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MySQL.Private endpoint connections enforce secure communication by enabling private connectivity to Azure Database for MySQL. Configureer een privé-eindpuntverbinding om alleen toegang mogelijk te maken tot verkeer dat afkomstig is van bekende netwerken en om toegang te voorkomen vanaf alle andere IP-adressen, ook binnen Azure.Configure a private endpoint connection to enable access to traffic coming only from known networks and prevent access from all other IP addresses, including within Azure. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.21.0.2
Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-serversPrivate endpoint should be enabled for PostgreSQL servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for PostgreSQL.Private endpoint connections enforce secure communication by enabling private connectivity to Azure Database for PostgreSQL. Configureer een privé-eindpuntverbinding om alleen toegang mogelijk te maken tot verkeer dat afkomstig is van bekende netwerken en om toegang te voorkomen vanaf alle andere IP-adressen, ook binnen Azure.Configure a private endpoint connection to enable access to traffic coming only from known networks and prevent access from all other IP addresses, including within Azure. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.21.0.2
Service Bus moet gebruikmaken van een service-eindpunt voor een virtueel netwerkService Bus should use a virtual network service endpoint Met dit beleid worden alle exemplaren van Service Bus gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk.This policy audits any Service Bus not configured to use a virtual network service endpoint. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
SQL Server moet gebruikmaken van een service-eindpunt voor een virtueel netwerkSQL Server should use a virtual network service endpoint Met dit beleid worden alle exemplaren van SQL Server gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk.This policy audits any SQL Server not configured to use a virtual network service endpoint. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Netwerktoegang tot opslagaccounts moet zijn beperktStorage accounts should restrict network access Netwerktoegang tot opslagaccounts moet worden beperkt.Network access to storage accounts should be restricted. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount.Configure network rules so only applications from allowed networks can access the storage account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan IP-adresbereiken van openbaar internetTo allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1
Opslagaccounts moeten gebruikmaken van een service-eindpunt voor een virtueel netwerkStorage Accounts should use a virtual network service endpoint Met dit beleid worden alle opslagaccounts gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk.This policy audits any Storage Account not configured to use a virtual network service endpoint. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Subnets moeten worden gekoppeld aan een netwerkbeveiligingsgroepSubnets should be associated with a Network Security Group Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG).Protect your subnet from potential threats by restricting access to it with a Network Security Group (NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd.NSGs contain a list of Access Control List (ACL) rules that allow or deny network traffic to your subnet. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Virtuele machines moeten zijn verbonden met een goedgekeurd virtueel netwerkVirtual machines should be connected to an approved virtual network Met dit beleid worden virtuele machines gecontroleerd die zijn verbonden met een niet-goedgekeurd virtueel netwerk.This policy audits any virtual machine connected to a virtual network that is not approved. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Virtuele netwerken moeten gebruikmaken van de opgegeven virtuele-netwerkgatewayVirtual networks should use specified virtual network gateway Met dit beleid worden alle virtuele netwerken gecontroleerd als de standaardroute niet verwijst naar de opgegeven virtuele-netwerkgateway.This policy audits any virtual network if the default route does not point to the specified virtual network gateway. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0

De configuratie en het verkeer van VNet's, Subnets en NIC's controleren en vastleggenMonitor and log the configuration and traffic of Vnets, Subnets, and NICs

Id: Azure Security Benchmark 1.2 Eigendom: KlantID: Azure Security Benchmark 1.2 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Network Watcher moet zijn ingeschakeldNetwork Watcher should be enabled Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken.Network Watcher is a regional service that enables you to monitor and diagnose conditions at a network scenario level in, to, and from Azure. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk.Scenario level monitoring enables you to diagnose problems at an end to end network level view. U kunt de beschikbare diagnostische en visualisatiehulpprogramma's voor netwerken in Network Watcher gebruiken om uw netwerk in Azure te begrijpen, te analyseren en inzichten voor uw netwerk te verkrijgen.Network diagnostic and visualization tools available with Network Watcher help you understand, diagnose, and gain insights to your network in Azure. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Kritieke webtoepassingen beschermenProtect critical web applications

Id: Azure Security Benchmark 1.3 Eigendom: KlantID: Azure Security Benchmark 1.3 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Gebruik van CORS mag er niet toe leiden dat elke resource toegang tot uw API-app heeftCORS should not allow every resource to access your API App Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw API-app.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your API app. Sta alleen de vereiste domeinen toe om met uw API-app te communiceren.Allow only required domains to interact with your API app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Gebruik van CORS mag er niet toe leiden dat elke resource toegang heeft tot uw Function-appsCORS should not allow every resource to access your Function Apps Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your Function app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren.Allow only required domains to interact with your Function app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Gebruik van CORS mag er niet toe leiden dat elke resource toegang heeft tot uw webtoepassingenCORS should not allow every resource to access your Web Applications Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw webtoepassing.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your web application. Sta alleen de vereiste domeinen toe om met uw web-app te communiceren.Allow only required domains to interact with your web app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Controleren of de web-app 'Clientcertificaten (inkomende clientcertificaten)' heeft ingesteld op 'Aan'Ensure WEB app has 'Client Certificates (Incoming client certificates)' set to 'On' Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen.Client certificates allow for the app to request a certificate for incoming requests. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken.Only clients that have a valid certificate will be able to reach the app. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Externe foutopsporing moet worden uitgeschakeld voor API-appsRemote debugging should be turned off for API Apps Voor externe foutopsporing moeten binnenkomende poorten worden geopend op API-apps.Remote debugging requires inbound ports to be opened on API apps. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Externe foutopsporing moet worden uitgeschakeld voor Function-appsRemote debugging should be turned off for Function Apps Voor externe foutopsporing moeten binnenkomende poorten worden geopend op Function-apps.Remote debugging requires inbound ports to be opened on function apps. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Externe foutopsporing moet worden uitgeschakeld voor webtoepassingenRemote debugging should be turned off for Web Applications Voor externe foutopsporing moeten binnenkomende poorten worden geopend op een webtoepassing.Remote debugging requires inbound ports to be opened on a web application. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0

Communicatie met gekende schadelijke IP-adressen weigerenDeny communications with known malicious IP addresses

Id: Azure Security Benchmark 1.4 Eigendom: KlantID: Azure Security Benchmark 1.4 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gerichtAdaptive network hardening recommendations should be applied on internet facing virtual machines Azure Security Center analyseert de verkeerspatronen van virtuele machines die vanaf het internet toegankelijk zijn, en formuleert aanbevelingen voor regels voor de netwerkbeveiligingsgroep die de kans op aanvallen beperkenAzure Security Center analyzes the traffic patterns of Internet facing virtual machines and provides Network Security Group rule recommendations that reduce the potential attack surface AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Alle internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure FirewallAll Internet traffic should be routed via your deployed Azure Firewall Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie.Azure Security Center has identified that some of your subnets aren't protected with a next generation firewall. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatieProtect your subnets from potential threats by restricting access to them with Azure Firewall or a supported next generation firewall AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.0-preview3.0.0-preview
Azure DDoS-beveiligingsstandaard moet zijn ingeschakeldAzure DDoS Protection Standard should be enabled De standaard-DDoS-beveiliging moet zijn ingeschakeld voor alle virtuele netwerken met een subnet dat deel uitmaakt van een toepassingsgateway met een openbaar IP-adres.DDoS protection standard should be enabled for all virtual networks with a subnet that is part of an application gateway with a public IP. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheerManagement ports of virtual machines should be protected with just-in-time network access control Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security CenterPossible network Just In Time (JIT) access will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Netwerkpakketten en stroomlogboeken vastleggenRecord network packets and flow logs

Id: Azure Security Benchmark 1.5 Eigendom: KlantID: Azure Security Benchmark 1.5 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Network Watcher moet zijn ingeschakeldNetwork Watcher should be enabled Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken.Network Watcher is a regional service that enables you to monitor and diagnose conditions at a network scenario level in, to, and from Azure. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk.Scenario level monitoring enables you to diagnose problems at an end to end network level view. U kunt de beschikbare diagnostische en visualisatiehulpprogramma's voor netwerken in Network Watcher gebruiken om uw netwerk in Azure te begrijpen, te analyseren en inzichten voor uw netwerk te verkrijgen.Network diagnostic and visualization tools available with Network Watcher help you understand, diagnose, and gain insights to your network in Azure. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Geautomatiseerde hulpprogramma's gebruiken om de configuraties van netwerkresources te controleren en wijzigingen te detecterenUse automated tools to monitor network resource configurations and detect changes

Id: Azure Security Benchmark 1.11 Eigendom: KlantID: Azure Security Benchmark 1.11 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM'sDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie.This policy deploys the Windows Guest Configuration extension to Windows virtual machines hosted in Azure that are supported by Guest Configuration. De Windows-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Windows-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Windows-gastconfiguratie.The Windows Guest Configuration extension is a prerequisite for all Windows Guest Configuration assignments and must deployed to machines before using any Windows Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beheersjablonen - Netwerk'Windows machines should meet requirements for 'Administrative Templates - Network' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - Netwerk voor aanmeldingen van gasten, gelijktijdige verbindingen, netwerkbrug, ICS en multicast-naamomzetting.Windows machines should have the specified Group Policy settings in the category 'Administrative Templates - Network' for guest logons, simultaneous connections, network bridge, ICS, and multicast name resolution. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Microsoft-netwerkserver'Windows machines should meet requirements for 'Security Options - Microsoft Network Server' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Microsoft-netwerkserver voor het uitschakelen van de SMB v1-server.Windows machines should have the specified Group Policy settings in the category 'Security Options - Microsoft Network Server' for disabling SMB v1 server. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerktoegang'Windows machines should meet requirements for 'Security Options - Network Access' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerktoegang voor onder meer toegang voor anonieme gebruikers, lokale accounts en externe toegang tot het register.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Access' for including access for anonymous users, local accounts, and remote access to the registry. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging'Windows machines should meet requirements for 'Security Options - Network Security' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Security' for including Local System behavior, PKU2U, LAN Manager, LDAP client, and NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Logboekregistratie en bewakingLogging and Monitoring

Centraal beheer van beveiligingslogboeken configurerenConfigure central security log management

Id: Azure Security Benchmark 2.2 Eigendom: KlantID: Azure Security Benchmark 2.2 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Windows-machines controleren waarop de Log Analytics-agent niet is verbonden zoals verwachtAudit Windows machines on which the Log Analytics agent is not connected as expected Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als de agent niet is geïnstalleerd, of als deze wel is geïnstalleerd, maar door het COM-object AgentConfigManager.MgmtSvcCfg wordt geretourneerd dat de agent is geregistreerd bij een andere werkruimte dan de ID die is opgegeven in de beleidsparameter.Machines are non-compliant if the agent is not installed, or if it is installed but the COM object AgentConfigManager.MgmtSvcCfg returns that it is registered to a workspace other than the ID specified in the policy parameter. auditIfNotExistsauditIfNotExists 1.0.01.0.0
Automatisch inrichten van de Log Analytics-agent moet zijn ingeschakeld voor uw abonnementAuto provisioning of the Log Analytics agent should be enabled on your subscription Om te controleren op beveiligingsproblemen en bedreigingen verzamelt Azure Security Center gegevens van uw Azure-VM's.To monitor for security vulnerabilities and threats, Azure Security Center collects data from your Azure virtual machines. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens kopieert naar uw Log Analytics-werkruimte voor analyse.Data is collected by the Log Analytics agent, formerly known as the Microsoft Monitoring Agent (MMA), which reads various security-related configurations and event logs from the machine and copies the data to your Log Analytics workspace for analysis. U wordt aangeraden automatische inrichting in te schakelen om de agent automatisch te implementeren op alle ondersteunde Azure-VM‘s en eventuele nieuwe virtuele machines die worden gemaakt.We recommend enabling auto provisioning to automatically deploy the agent to all supported Azure VMs and any new ones that are created. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Met het Azure Monitor-logboekprofiel moeten logboeken worden verzameld voor de categorieën 'schrijven', 'verwijderen' en 'actie'Azure Monitor log profile should collect logs for categories 'write,' 'delete,' and 'action' Met dit beleid wordt ervoor gezorgd dat in een logboekprofiel logboeken worden verzameld voor de categorieën 'schrijven', 'verwijderen' en 'actie'This policy ensures that a log profile collects logs for categories 'write,' 'delete,' and 'action' AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Azure Monitor moet activiteitenlogboeken uit alle regio's verzamelenAzure Monitor should collect activity logs from all regions Met dit beleid wordt het Azure Monitor-logboekprofiel gecontroleerd waarbij geen activiteiten worden geëxporteerd uit alle door Azure ondersteunde regio's, inclusief wereldwijd.This policy audits the Azure Monitor log profile which does not export activities from all Azure supported regions including global. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Log Analytics-agent moet worden geïnstalleerd op virtuele-machineschaalsetsThe Log Analytics agent should be installed on Virtual Machine Scale Sets Met dit beleid worden alle virtuele-machineschaalsets van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd.This policy audits any Windows/Linux Virtual Machine Scale Sets if the Log Analytics agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Log Analytics-agent moet worden geïnstalleerd op virtuele machinesThe Log Analytics agent should be installed on virtual machines Met dit beleid worden alle virtuele machines van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd.This policy audits any Windows/Linux virtual machines if the Log Analytics agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0

Auditlogboekregistratie voor Azure-resources inschakelenEnable audit logging for Azure resources

Id: Azure Security Benchmark 2.3 Eigendom: KlantID: Azure Security Benchmark 2.3 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Audit diagnostic setting (Diagnostische instelling voor controleren)Audit diagnostic setting Diagnostische controle-instelling voor geselecteerde resourcetypenAudit diagnostic setting for selected resource types AuditIfNotExistsAuditIfNotExists 1.0.01.0.0
Controle op SQL Server moet zijn ingeschakeldAuditing on SQL server should be enabled Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Diagnostische logboeken in App Services moeten zijn ingeschakeldDiagnostic logs in App Services should be enabled De inschakeling van diagnostische logboeken in de app controleren.Audit enabling of diagnostic logs on the app. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebrokenThis enables you to recreate activity trails for investigation purposes if a security incident occurs or your network is compromised AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Resourcelogboeken in Azure Data Lake Store moeten zijn ingeschakeldResource logs in Azure Data Lake Store should be enabled Het inschakelen van resourcelogboeken controleren.Audit enabling of resource logs. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetastThis enables you to recreate activity trails to use for investigation purposes; when a security incident occurs or when your network is compromised AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.14.0.1
Resourcelogboeken in Azure Stream Analytics moeten zijn ingeschakeldResource logs in Azure Stream Analytics should be enabled Het inschakelen van resourcelogboeken controleren.Audit enabling of resource logs. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetastThis enables you to recreate activity trails to use for investigation purposes; when a security incident occurs or when your network is compromised AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.14.0.1
Resourcelogboeken in Batch-accounts moeten zijn ingeschakeldResource logs in Batch accounts should be enabled Het inschakelen van resourcelogboeken controleren.Audit enabling of resource logs. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetastThis enables you to recreate activity trails to use for investigation purposes; when a security incident occurs or when your network is compromised AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.14.0.1
Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeldResource logs in Data Lake Analytics should be enabled Het inschakelen van resourcelogboeken controleren.Audit enabling of resource logs. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetastThis enables you to recreate activity trails to use for investigation purposes; when a security incident occurs or when your network is compromised AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.14.0.1
Resourcelogboeken in Event Hub moeten zijn ingeschakeldResource logs in Event Hub should be enabled Het inschakelen van resourcelogboeken controleren.Audit enabling of resource logs. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetastThis enables you to recreate activity trails to use for investigation purposes; when a security incident occurs or when your network is compromised AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.14.0.1
Resourcelogboeken in IoT Hub moeten zijn ingeschakeldResource logs in IoT Hub should be enabled Het inschakelen van resourcelogboeken controleren.Audit enabling of resource logs. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetastThis enables you to recreate activity trails to use for investigation purposes; when a security incident occurs or when your network is compromised AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.13.0.1
Resourcelogboeken in Key Vault moeten zijn ingeschakeldResource logs in Key Vault should be enabled Inschakelen van resourcelogboeken controleren.Audit enabling of resource logs. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetastThis enables you to recreate activity trails to use for investigation purposes when a security incident occurs or when your network is compromised AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.14.0.1
Resourcelogboeken in Logic Apps moeten zijn ingeschakeldResource logs in Logic Apps should be enabled Inschakelen van resourcelogboeken controleren.Audit enabling of resource logs. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetastThis enables you to recreate activity trails to use for investigation purposes; when a security incident occurs or when your network is compromised AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.14.0.1
Resourcelogboeken in Zoekservices moeten zijn ingeschakeldResource logs in Search services should be enabled Inschakelen van resourcelogboeken controleren.Audit enabling of resource logs. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetastThis enables you to recreate activity trails to use for investigation purposes; when a security incident occurs or when your network is compromised AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.14.0.1
Resourcelogboeken in Service Bus moeten zijn ingeschakeldResource logs in Service Bus should be enabled Inschakelen van resourcelogboeken controleren.Audit enabling of resource logs. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetastThis enables you to recreate activity trails to use for investigation purposes; when a security incident occurs or when your network is compromised AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.14.0.1
Resourcelogboeken in Virtual Machine Scale Sets moeten zijn ingeschakeldResource logs in Virtual Machine Scale Sets should be enabled Het verdient aanbeveling om Logboeken in te schakelen zodat het activiteitenspoor kan worden nagemaakt als er onderzoek is vereist na een incident of inbreuk.It is recommended to enable Logs so that activity trail can be recreated when investigations are required in the event of an incident or a compromise. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.12.0.1
In de instellingen van SQL-controle moeten actiegroepen zijn geconfigureerd om kritieke activiteiten te kunnen vastleggenSQL Auditing settings should have Action-Groups configured to capture critical activities De eigenschap AuditActionsAndGroups moet ten minste SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP bevatten om een grondige logboekregistratie van de controle te garanderenThe AuditActionsAndGroups property should contain at least SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP to ensure a thorough audit logging AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0

Beveiligingslogboeken van besturingssystemen verzamelenCollect security logs from operating systems

Id: Azure Security Benchmark 2.4 Eigendom: KlantID: Azure Security Benchmark 2.4 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Windows-machines controleren waarop de Log Analytics-agent niet is verbonden zoals verwachtAudit Windows machines on which the Log Analytics agent is not connected as expected Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als de agent niet is geïnstalleerd, of als deze wel is geïnstalleerd, maar door het COM-object AgentConfigManager.MgmtSvcCfg wordt geretourneerd dat de agent is geregistreerd bij een andere werkruimte dan de ID die is opgegeven in de beleidsparameter.Machines are non-compliant if the agent is not installed, or if it is installed but the COM object AgentConfigManager.MgmtSvcCfg returns that it is registered to a workspace other than the ID specified in the policy parameter. auditIfNotExistsauditIfNotExists 1.0.01.0.0
Automatisch inrichten van de Log Analytics-agent moet zijn ingeschakeld voor uw abonnementAuto provisioning of the Log Analytics agent should be enabled on your subscription Om te controleren op beveiligingsproblemen en bedreigingen verzamelt Azure Security Center gegevens van uw Azure-VM's.To monitor for security vulnerabilities and threats, Azure Security Center collects data from your Azure virtual machines. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens kopieert naar uw Log Analytics-werkruimte voor analyse.Data is collected by the Log Analytics agent, formerly known as the Microsoft Monitoring Agent (MMA), which reads various security-related configurations and event logs from the machine and copies the data to your Log Analytics workspace for analysis. U wordt aangeraden automatische inrichting in te schakelen om de agent automatisch te implementeren op alle ondersteunde Azure-VM‘s en eventuele nieuwe virtuele machines die worden gemaakt.We recommend enabling auto provisioning to automatically deploy the agent to all supported Azure VMs and any new ones that are created. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
De Log Analytics-agent moet worden geïnstalleerd op virtuele-machineschaalsetsThe Log Analytics agent should be installed on Virtual Machine Scale Sets Met dit beleid worden alle virtuele-machineschaalsets van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd.This policy audits any Windows/Linux Virtual Machine Scale Sets if the Log Analytics agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Log Analytics-agent moet worden geïnstalleerd op virtuele machinesThe Log Analytics agent should be installed on virtual machines Met dit beleid worden alle virtuele machines van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd.This policy audits any Windows/Linux virtual machines if the Log Analytics agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0

De retentie voor de opslag van beveiligingslogboeken configurerenConfigure security log storage retention

Id: Azure Security Benchmark 2.5 Eigendom: KlantID: Azure Security Benchmark 2.5 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
SQL-servers met controle naar opslagaccountbestemming moeten worden geconfigureerd met een bewaarperiode van 90 dagen of hogerSQL servers with auditing to storage account destination should be configured with 90 days retention or higher Voor onderzoek naar incidenten wordt u aangeraden de gegevensretentie voor de controle van uw SQL Server in te stellen op de opslagaccountbestemming op ten minste 90 dagen.For incident investigation purposes, we recommend setting the data retention for your SQL Server' auditing to storage account destination to at least 90 days. Controleer of u aan de benodigde bewaarregels voor de regio's waar u werkt, na komt.Confirm that you are meeting the necessary retention rules for the regions in which you are operating. Dit is soms vereist voor naleving van regelgevingsstandaarden.This is sometimes required for compliance with regulatory standards. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Waarschuwingen voor afwijkende activiteiten inschakelenEnable alerts for anomalous activity

Id: Azure Security Benchmark 2.7 Eigendom: KlantID: Azure Security Benchmark 2.7 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Advanced Data Security moet zijn ingeschakeld voor SQL Managed InstanceAdvanced data security should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance zonder Advanced Data Security.Audit each SQL Managed Instance without advanced data security. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Advanced Data Security moet zijn ingeschakeld op uw SQL-serversAdvanced data security should be enabled on your SQL servers SQL-servers zonder Advanced Data Security controlerenAudit SQL servers without Advanced Data Security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Antimalware-logboekregistratie centraliserenCentralize anti-malware logging

Id: Azure Security Benchmark 2.8 Eigendom: KlantID: Azure Security Benchmark 2.8 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Oplossing voor eindpuntbeveiliging moet worden geïnstalleerd op virtuele-machineschaalsetsEndpoint protection solution should be installed on virtual machine scale sets Controleer op de aanwezigheid en status van een oplossing voor eindpuntbeveiliging op virtuele-machineschaalsets, waarmee de schaalsets worden beschermd tegen bedreigingen en beveiligingsproblemen.Audit the existence and health of an endpoint protection solution on your virtual machines scale sets, to protect them from threats and vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Microsoft Antimalware voor Azure moet zijn geconfigureerd om automatisch beveiligingsdefinities bij te werkenMicrosoft Antimalware for Azure should be configured to automatically update protection signatures Met dit beleid wordt elke Windows-VM gecontroleerd waarvoor het automatisch bijwerken van Microsoft Antimalware-beveiligingsdefinities niet is geconfigureerd.This policy audits any Windows virtual machine not configured with automatic update of Microsoft Antimalware protection signatures. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Ontbrekende eindpuntbeveiliging bewaken in Azure Security CenterMonitor missing Endpoint Protection in Azure Security Center Servers zonder geïnstalleerde agent voor eindpuntbeveiliging worden als aanbevelingen bewaakt door Azure Security CenterServers without an installed Endpoint Protection agent will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Identiteits- en toegangsbeheerIdentity and Access Control

Een inventaris van beheerdersaccounts onderhoudenMaintain an inventory of administrative accounts

Id: Azure Security Benchmark 3.1 Eigendom: KlantID: Azure Security Benchmark 3.1 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Er moeten maximaal drie eigenaren worden aangewezen voor uw abonnementA maximum of 3 owners should be designated for your subscription Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken.It is recommended to designate up to 3 subscription owners in order to reduce the potential for breach by a compromised owner. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnementDeprecated accounts with owner permissions should be removed from your subscription Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement.Deprecated accounts with owner permissions should be removed from your subscription. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.Deprecated accounts are accounts that have been blocked from signing in. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnementExternal accounts with owner permissions should be removed from your subscription Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.External accounts with owner permissions should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnementThere should be more than one owner assigned to your subscription Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders.It is recommended to designate more than one subscription owner in order to have administrator access redundancy. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Specifieke beheerdersaccounts gebruikenUse dedicated administrative accounts

Id: Azure Security Benchmark 3.3 Eigendom: KlantID: Azure Security Benchmark 3.3 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Er moeten maximaal drie eigenaren worden aangewezen voor uw abonnementA maximum of 3 owners should be designated for your subscription Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken.It is recommended to designate up to 3 subscription owners in order to reduce the potential for breach by a compromised owner. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Windows-machines controleren waarop opgegeven leden van de groep Beheerders ontbrekenAudit Windows machines missing any of specified members in the Administrators group Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als de lokale groep Beheerders niet één of meer leden bevat die worden vermeld in de beleidsparameter.Machines are non-compliant if the local Administrators group does not contain one or more members that are listed in the policy parameter. auditIfNotExistsauditIfNotExists 1.0.01.0.0
Windows-machines controleren met extra accounts in de groep AdministratorsAudit Windows machines that have extra accounts in the Administrators group Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als de lokale groep Beheerders leden bevat die niet worden vermeld in de beleidsparameter.Machines are non-compliant if the local Administrators group contains members that are not listed in the policy parameter. auditIfNotExistsauditIfNotExists 1.0.01.0.0
Windows-machines controleren die opgegeven leden van de groep Beheerders bevattenAudit Windows machines that have the specified members in the Administrators group Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als de lokale groep Beheerders één of meer leden bevat die worden vermeld in de beleidsparameter.Machines are non-compliant if the local Administrators group contains one or more of the members listed in the policy parameter. auditIfNotExistsauditIfNotExists 1.0.01.0.0
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnementThere should be more than one owner assigned to your subscription Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders.It is recommended to designate more than one subscription owner in order to have administrator access redundancy. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Meervoudige verificatie gebruiken voor alle op Azure Active Directory gebaseerde toegangUse multi-factor authentication for all Azure Active Directory based access

Id: Azure Security Benchmark 3.5 Eigendom: KlantID: Azure Security Benchmark 3.5 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor uw abonnementMFA should be enabled accounts with write permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with write privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnementMFA should be enabled on accounts with owner permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with owner permissions to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor uw abonnementMFA should be enabled on accounts with read permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with read privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Azure Active Directory gebruikenUse Azure Active Directory

Id: Azure Security Benchmark 3.9 Eigendom: KlantID: Azure Security Benchmark 3.9 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-serversAn Azure Active Directory administrator should be provisioned for SQL servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen.Audit provisioning of an Azure Active Directory administrator for your SQL server to enable Azure AD authentication. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijkAzure AD authentication enables simplified permission management and centralized identity management of database users and other Microsoft services AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatieService Fabric clusters should only use Azure Active Directory for client authentication Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controlerenAudit usage of client authentication only via Azure Active Directory in Service Fabric Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0

Regelmatig gebruikerstoegang beoordelen en afstemmenRegularly review and reconcile user access

Id: Azure Security Benchmark 3.10 Eigendom: KlantID: Azure Security Benchmark 3.10 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Afgeschafte accounts moeten worden verwijderd uit uw abonnementDeprecated accounts should be removed from your subscription Afgeschafte accounts moeten worden verwijderd uit uw abonnement.Deprecated accounts should be removed from your subscriptions. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.Deprecated accounts are accounts that have been blocked from signing in. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnementDeprecated accounts with owner permissions should be removed from your subscription Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement.Deprecated accounts with owner permissions should be removed from your subscription. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.Deprecated accounts are accounts that have been blocked from signing in. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnementExternal accounts with owner permissions should be removed from your subscription Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.External accounts with owner permissions should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnementExternal accounts with read permissions should be removed from your subscription Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.External accounts with read privileges should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnementExternal accounts with write permissions should be removed from your subscription Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.External accounts with write privileges should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

GegevensbeveiligingData Protection

Een inventaris van gevoelige gegevens onderhoudenMaintain an inventory of sensitive Information

Id: Azure Security Benchmark 4.1 Eigendom: KlantID: Azure Security Benchmark 4.1 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Gevoelige gegevens in uw SQL-databases moeten worden geclassificeerdSensitive data in your SQL databases should be classified Met Azure Security Center worden de scanresultaten voor gegevensdetectie en -classificatie van uw SQL-databases bewaakt en worden aanbevelingen geleverd om de gevoelige gegevens in uw databases te classificeren voor betere bewaking en beveiligingAzure Security Center monitors the data discovery and classification scan results for your SQL databases and provides recommendations to classify the sensitive data in your databases for better monitoring and security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.0-preview3.0.0-preview

Alle gevoelige gegevens versleutelen tijdens overdrachtEncrypt all sensitive information in transit

Id: Azure Security Benchmark 4.4 Eigendom: GedeeldID: Azure Security Benchmark 4.4 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
API-app mag alleen toegankelijk zijn via HTTPSAPI App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseserversEnforce SSL connection should be enabled for MySQL database servers Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen.Azure Database for MySQL supports connecting your Azure Database for MySQL server to client applications using Secure Sockets Layer (SSL). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld.Enforcing SSL connections between your database server and your client applications helps protect against 'man in the middle' attacks by encrypting the data stream between the server and your application. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.This configuration enforces that SSL is always enabled for accessing your database server. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseserversEnforce SSL connection should be enabled for PostgreSQL database servers Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen.Azure Database for PostgreSQL supports connecting your Azure Database for PostgreSQL server to client applications using Secure Sockets Layer (SSL). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld.Enforcing SSL connections between your database server and your client applications helps protect against 'man in the middle' attacks by encrypting the data stream between the server and your application. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.This configuration enforces that SSL is always enabled for accessing your database server. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
FTPS moet alleen worden vereist in uw API-appFTPS only should be required in your API App FTPS afdwinging inschakelen voor verbeterde beveiligingEnable FTPS enforcement for enhanced security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
FTPS moet alleen worden vereist in uw Function-appFTPS only should be required in your Function App FTPS afdwinging inschakelen voor verbeterde beveiligingEnable FTPS enforcement for enhanced security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
FTPS moet worden vereist in uw web-appFTPS should be required in your Web App FTPS afdwinging inschakelen voor verbeterde beveiligingEnable FTPS enforcement for enhanced security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Function-app mag alleen toegankelijk zijn via HTTPSFunction App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw API-appLatest TLS version should be used in your API App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw Function-appLatest TLS version should be used in your Function App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw web-appLatest TLS version should be used in your Web App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeldOnly secure connections to your Azure Cache for Redis should be enabled Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren.Audit enabling of only connections via SSL to Azure Cache for Redis. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijackingUse of secure connections ensures authentication between the server and the service and protects data in transit from network layer attacks such as man-in-the-middle, eavesdropping, and session-hijacking Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeldSecure transfer to storage accounts should be enabled Controleer de vereiste van beveiligde overdracht in uw opslagaccount.Audit requirement of Secure transfer in your storage account. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert.Secure transfer is an option that forces your storage account to accept requests only from secure connections (HTTPS). Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijackingUse of HTTPS ensures authentication between the server and the service and protects data in transit from network layer attacks such as man-in-the-middle, eavesdropping, and session-hijacking Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 2.0.02.0.0
Webtoepassing mag alleen toegankelijk zijn via HTTPSWeb Application should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0

Een hulpprogramma voor actieve detectie gebruiken om gevoelige gegevens te identificerenUse an active discovery tool to identify sensitive data

Id: Azure Security Benchmark 4.5 Eigendom: KlantID: Azure Security Benchmark 4.5 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Advanced Data Security moet zijn ingeschakeld voor SQL Managed InstanceAdvanced data security should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance zonder Advanced Data Security.Audit each SQL Managed Instance without advanced data security. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Advanced Data Security moet zijn ingeschakeld op uw SQL-serversAdvanced data security should be enabled on your SQL servers SQL-servers zonder Advanced Data Security controlerenAudit SQL servers without Advanced Data Security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Gevoelige gegevens in uw SQL-databases moeten worden geclassificeerdSensitive data in your SQL databases should be classified Met Azure Security Center worden de scanresultaten voor gegevensdetectie en -classificatie van uw SQL-databases bewaakt en worden aanbevelingen geleverd om de gevoelige gegevens in uw databases te classificeren voor betere bewaking en beveiligingAzure Security Center monitors the data discovery and classification scan results for your SQL databases and provides recommendations to classify the sensitive data in your databases for better monitoring and security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.0-preview3.0.0-preview

Azure RBAC gebruiken om toegang tot resources te beherenUse Azure RBAC to control access to resources

Id: Azure Security Benchmark 4.6 Eigendom: KlantID: Azure Security Benchmark 4.6 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Het gebruik van aangepaste RBAC-regels controlerenAudit usage of custom RBAC rules Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten.Audit built-in roles such as 'Owner, Contributer, Reader' instead of custom RBAC roles, which are error prone. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodelleringUsing custom roles is treated as an exception and requires a rigorous review and threat modeling Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes ServicesRole-Based Access Control (RBAC) should be used on Kubernetes Services Gebruik op rollen gebaseerd toegangsbeheer (RBAC) om de machtigingen in Kubernetes Service-clusters te beheren en het relevante autorisatiebeleid te configureren om gedetailleerde filters te bieden voor de acties die gebruikers kunnen uitvoeren.To provide granular filtering on the actions that users can perform, use Role-Based Access Control (RBAC) to manage permissions in Kubernetes Service Clusters and configure relevant authorization policies. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2

Gevoelige gegevens 'at rest' versleutelenEncrypt sensitive information at rest

Id: Azure Security Benchmark 4.8 Eigendom: KlantID: Azure Security Benchmark 4.8 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Automation-accountvariabelen moeten worden versleuteldAutomation account variables should be encrypted Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevensIt is important to enable encryption of Automation account variable assets when storing sensitive data Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
Schijfversleuteling moet worden toegepast op virtuele machinesDisk encryption should be applied on virtual machines Virtuele machines zonder ingeschakelde schijfversleuteling worden bewaakt via Azure Security Center als aanbevelingen.Virtual machines without an enabled disk encryption will be monitored by Azure Security Center as recommendations. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSignService Fabric clusters should have the ClusterProtectionLevel property set to EncryptAndSign Service Fabric kent drie niveaus van beveiliging (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten en gebruikt hierbij een primair clustercertificaat.Service Fabric provides three levels of protection (None, Sign and EncryptAndSign) for node-to-node communication using a primary cluster certificate. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekendSet the protection level to ensure that all node-to-node messages are encrypted and digitally signed Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-restSQL managed instances should use customer-managed keys to encrypt data at rest TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken.Implementing Transparent Data Encryption (TDE) with your own key provides you with increased transparency and control over the TDE Protector, increased security with an HSM-backed external service, and promotion of separation of duties. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste.This recommendation applies to organizations with a related compliance requirement. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.21.0.2
Voor SQL-servers moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-restSQL servers should use customer-managed keys to encrypt data at rest TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken.Implementing Transparent Data Encryption (TDE) with your own key provides increased transparency and control over the TDE Protector, increased security with an HSM-backed external service, and promotion of separation of duties. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste.This recommendation applies to organizations with a related compliance requirement. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.12.0.1
Transparent Data Encryption in SQL-databases moet zijn ingeschakeldTransparent Data Encryption on SQL databases should be enabled Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereistenTransparent data encryption should be enabled to protect data-at-rest and meet compliance requirements AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Niet-gekoppelde schijven moeten worden versleuteldUnattached disks should be encrypted Met dit beleid wordt elke niet-gekoppelde schijf gecontroleerd waarvoor geen versleuteling is ingeschakeld.This policy audits any unattached disk without encryption enabled. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0

Wijzigingen aan kritieke Azure-resources vastleggen en meldenLog and alert on changes to critical Azure resources

Id: Azure Security Benchmark 4.9 Eigendom: KlantID: Azure Security Benchmark 4.9 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Azure Monitor moet activiteitenlogboeken uit alle regio's verzamelenAzure Monitor should collect activity logs from all regions Met dit beleid wordt het Azure Monitor-logboekprofiel gecontroleerd waarbij geen activiteiten worden geëxporteerd uit alle door Azure ondersteunde regio's, inclusief wereldwijd.This policy audits the Azure Monitor log profile which does not export activities from all Azure supported regions including global. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0

Beheer van beveiligingsproblemenVulnerability Management

Geautomatiseerde hulpprogramma's voor het scannen op beveiligingsproblemen uitvoerenRun automated vulnerability scanning tools

Id: Azure Security Benchmark 5.1 Eigendom: KlantID: Azure Security Benchmark 5.1 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld)A vulnerability assessment solution should be enabled on your virtual machines Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd.Audits virtual machines to detect whether they are running a supported vulnerability assessment solution. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen.A core component of every cyber risk and security program is the identification and analysis of vulnerabilities. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten.Azure Security Center's standard pricing tier includes vulnerability scanning for your virtual machines at no extra cost. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd.Additionally, Security Center can automatically deploy this tool for you. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed InstanceVulnerability assessment should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld.Audit each SQL Managed Instance which doesn't have recurring vulnerability assessment scans enabled. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.Vulnerability assessment can discover, track, and help you remediate potential database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-serversVulnerability assessment should be enabled on your SQL servers Controleer Azure SQL-servers waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld.Audit Azure SQL servers which do not have recurring vulnerability assessment scans enabled. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.Vulnerability assessment can discover, track, and help you remediate potential database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Geautomatiseerde oplossingen implementeren voor patchbeheer van besturingssystemenDeploy automated operating system patch management solution

Id: Azure Security Benchmark 5.2 Eigendom: KlantID: Azure Security Benchmark 5.2 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Systeemupdates op virtuele-machineschaalsets moeten worden geïnstalleerdSystem updates on virtual machine scale sets should be installed Controleren of er systeembeveiligingsupdates of essentiële updates ontbreken die moeten worden geïnstalleerd om ervoor te zorgen dat uw virtuele-machineschaalsets voor Windows en Linux veilig zijn.Audit whether there are any missing system security updates and critical updates that should be installed to ensure that your Windows and Linux virtual machine scale sets are secure. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Systeemupdates moeten op uw computers worden geïnstalleerdSystem updates should be installed on your machines Ontbrekende beveiligingssysteemupdates op uw servers worden als aanbevelingen bewaakt door Azure Security CenterMissing security system updates on your servers will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.04.0.0

Geautomatiseerde oplossing implementeren voor patchbeheer van software van derdenDeploy automated third-party software patch management solution

Id: Azure Security Benchmark 5.3 Eigendom: KlantID: Azure Security Benchmark 5.3 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Controleren of de Java-versie de meest recente is als deze wordt gebruikt als onderdeel van de API-appEnsure that 'Java version' is the latest, if used as a part of the API app Er worden regelmatig nieuwere versies uitgebracht voor Java, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for Java either due to security flaws or to include additional functionality. Het gebruik van de nieuwste Python-versie voor API-apps wordt aanbevolen om te kunnen profiteren van beveiligingsoplossingen (indien van toepassing) en/of nieuwe functies van de nieuwste versie.Using the latest Python version for API apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Controleren of de nieuwste versie van Java wordt gebruikt als onderdeel van de Function-appEnsure that 'Java version' is the latest, if used as a part of the Function app Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for Java software either due to security flaws or to include additional functionality. Het gebruik van de nieuwste Java-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest Java version for Function apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Controleren of de Java-versie de meest recente is, als deze wordt gebruikt als onderdeel van de web-appEnsure that 'Java version' is the latest, if used as a part of the Web app Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for Java software either due to security flaws or to include additional functionality. Het gebruik van de nieuwste Java-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest Java version for web apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Controleren of de PHP-versie de meest recente is als deze wordt gebruikt als onderdeel van de API-appEnsure that 'PHP version' is the latest, if used as a part of the API app Er worden regelmatig nieuwere versies uitgebracht voor PHP-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for PHP software either due to security flaws or to include additional functionality. Het gebruik van de nieuwste PHP-versie voor API-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest PHP version for API apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.1.02.1.0
Controleren of de PHP-versie de meest recente is, als deze wordt gebruikt als onderdeel van de web-appEnsure that 'PHP version' is the latest, if used as a part of the WEB app Er worden regelmatig nieuwere versies uitgebracht voor PHP-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for PHP software either due to security flaws or to include additional functionality. Het gebruik van de nieuwste PHP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest PHP version for web apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.1.02.1.0
Controleren of de Python-versie de meest recente is als deze wordt gebruikt als onderdeel van de API-appEnsure that 'Python version' is the latest, if used as a part of the API app Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for Python software either due to security flaws or to include additional functionality. Het gebruik van de nieuwste Python-versie voor API-apps wordt aanbevolen om te kunnen profiteren van beveiligingsoplossingen (indien van toepassing) en/of nieuwe functies van de nieuwste versie.Using the latest Python version for API apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Controleren of de Python-versie de meest recente is, als deze wordt gebruikt als onderdeel van de Function-appEnsure that 'Python version' is the latest, if used as a part of the Function app Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for Python software either due to security flaws or to include additional functionality. Het gebruik van de nieuwste Python-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest Python version for Function apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Controleren of de Python-versie de meest recente is, als deze wordt gebruikt als onderdeel van de web-appEnsure that 'Python version' is the latest, if used as a part of the Web app Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for Python software either due to security flaws or to include additional functionality. Het gebruik van de nieuwste Python-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest Python version for web apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versieKubernetes Services should be upgraded to a non-vulnerable Kubernetes version Voer een upgrade van uw Kubernetes-servicecluster uit naar een nieuwere Kubernetes-versie om het cluster te beschermen tegen bekende beveiligingsproblemen in de huidige Kubernetes-versie.Upgrade your Kubernetes service cluster to a later Kubernetes version to protect against known vulnerabilities in your current Kubernetes version. Beveiligingsprobleem met betrekking tot CVE-2019-9946 is opgelost in Kubernetes-versies 1.11.9+, 1.12.7+, 1.13.5+ en 1.14.0+Vulnerability CVE-2019-9946 has been patched in Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+, and 1.14.0+ Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2

Een proces voor risicobeoordeling gebruiken om het herstel van ontdekte beveiligingsproblemen te prioriterenUse a risk-rating process to prioritize the remediation of discovered vulnerabilities

Id: Azure Security Benchmark 5.5 Eigendom: KlantID: Azure Security Benchmark 5.5 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
In SQL-databases moeten de bevindingen van beveiligingsleed zijn opgelostSQL databases should have vulnerability findings resolved Controleer de scanresultaten van de evaluatie van beveiligingsproblemen en aanbevelingen voor het herstellen van beveiligingsproblemen in de database.Monitor vulnerability assessment scan results and recommendations for how to remediate database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.04.0.0
Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpenVulnerabilities in container security configurations should be remediated Beveiligingsproblemen in de beveiligingsconfiguratie op computers waarop Docker is geïnstalleerd, controleren en als aanbevelingen weergeven in Azure Security Center.Audit vulnerabilities in security configuration on machines with Docker installed and display as recommendations in Azure Security Center. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteldVulnerabilities in security configuration on your machines should be remediated Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security CenterServers which do not satisfy the configured baseline will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteldVulnerabilities in security configuration on your virtual machine scale sets should be remediated Controleer op beveiligingsproblemen van besturingssystemen op uw virtuele-machineschaalsets om de schaalsets te beveiligen tegen aanvallen.Audit the OS vulnerabilities on your virtual machine scale sets to protect them from attacks. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Inventarisatie en Asset ManagementInventory and Asset Management

Enkel goedgekeurde toepassingen gebruikenUse only approved applications

Id: Azure Security Benchmark 6.8 Eigendom: KlantID: Azure Security Benchmark 6.8 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computersAdaptive application controls for defining safe applications should be enabled on your machines Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd.Enable application controls to define the list of known-safe applications running on your machines, and alert you when other applications run. Dit helpt uw computers te beschermen tegen schadelijke software.This helps harden your machines against malware. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor.To simplify the process of configuring and maintaining your rules, Security Center uses machine learning to analyze the applications running on each machine and suggest the list of known-safe applications. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Enkel goedgekeurde Azure-services gebruikenUse only approved Azure services

Id: Azure Security Benchmark 6.9 Eigendom: KlantID: Azure Security Benchmark 6.9 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resourcesStorage accounts should be migrated to new Azure Resource Manager resources Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw opslagaccounts, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure AD en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheerUse new Azure Resource Manager for your storage accounts to provide security enhancements such as: stronger access control (RBAC), better auditing, Azure Resource Manager based deployment and governance, access to managed identities, access to key vault for secrets, Azure AD-based authentication and support for tags and resource groups for easier security management Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resourcesVirtual machines should be migrated to new Azure Resource Manager resources Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw virtuele machines, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure Active Directory en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheerUse new Azure Resource Manager for your virtual machines to provide security enhancements such as: stronger access control (RBAC), better auditing, Azure Resource Manager based deployment and governance, access to managed identities, access to key vault for secrets, Azure AD-based authentication and support for tags and resource groups for easier security management Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0

Lijst met goedgekeurde toepassingen implementerenImplement approved application list

Id: Azure Security Benchmark 6.10 Eigendom: KlantID: Azure Security Benchmark 6.10 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computersAdaptive application controls for defining safe applications should be enabled on your machines Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd.Enable application controls to define the list of known-safe applications running on your machines, and alert you when other applications run. Dit helpt uw computers te beschermen tegen schadelijke software.This helps harden your machines against malware. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor.To simplify the process of configuring and maintaining your rules, Security Center uses machine learning to analyze the applications running on each machine and suggest the list of known-safe applications. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Veilige configuratieSecure Configuration

Veilige configuraties houden voor besturingssystemenMaintain secure operating system configurations

Id: Azure Security Benchmark 7.4 Eigendom: GedeeldID: Azure Security Benchmark 7.4 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpenVulnerabilities in container security configurations should be remediated Beveiligingsproblemen in de beveiligingsconfiguratie op computers waarop Docker is geïnstalleerd, controleren en als aanbevelingen weergeven in Azure Security Center.Audit vulnerabilities in security configuration on machines with Docker installed and display as recommendations in Azure Security Center. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteldVulnerabilities in security configuration on your machines should be remediated Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security CenterServers which do not satisfy the configured baseline will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteldVulnerabilities in security configuration on your virtual machine scale sets should be remediated Controleer op beveiligingsproblemen van besturingssystemen op uw virtuele-machineschaalsets om de schaalsets te beveiligen tegen aanvallen.Audit the OS vulnerabilities on your virtual machine scale sets to protect them from attacks. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Geautomatiseerde configuratiecontrole voor besturingssystemen implementerenImplement automated configuration monitoring for operating systems

Id: Azure Security Benchmark 7.10 Eigendom: KlantID: Azure Security Benchmark 7.10 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpenVulnerabilities in container security configurations should be remediated Beveiligingsproblemen in de beveiligingsconfiguratie op computers waarop Docker is geïnstalleerd, controleren en als aanbevelingen weergeven in Azure Security Center.Audit vulnerabilities in security configuration on machines with Docker installed and display as recommendations in Azure Security Center. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteldVulnerabilities in security configuration on your machines should be remediated Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security CenterServers which do not satisfy the configured baseline will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteldVulnerabilities in security configuration on your virtual machine scale sets should be remediated Controleer op beveiligingsproblemen van besturingssystemen op uw virtuele-machineschaalsets om de schaalsets te beveiligen tegen aanvallen.Audit the OS vulnerabilities on your virtual machine scale sets to protect them from attacks. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Azure-geheimen veilig beherenManage Azure secrets securely

Id: Azure Security Benchmark 7.11 Eigendom: KlantID: Azure Security Benchmark 7.11 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Beveiliging tegen leegmaken moet zijn ingeschakeld voor sleutelkluizenKey vaults should have purge protection enabled Kwaadwillende verwijdering van een sleutelkluis kan leiden tot permanent gegevensverlies.Malicious deletion of a key vault can lead to permanent data loss. Een kwaadwillende insider in uw organisatie kan sleutelkluizen verwijderen en leegmaken.A malicious insider in your organization can potentially delete and purge key vaults. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen.Purge protection protects you from insider attacks by enforcing a mandatory retention period for soft deleted key vaults. Gedurende de periode van voorlopige verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken.No one inside your organization or Microsoft will be able to purge your key vaults during the soft delete retention period. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1

Identiteiten veilig en automatisch beherenManage identities securely and automatically

Id: Azure Security Benchmark 7.12 Eigendom: KlantID: Azure Security Benchmark 7.12 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Er moet een beheerde identiteit worden gebruikt in uw API-appManaged identity should be used in your API App Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiligingUse a managed identity for enhanced authentication security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Er moet een beheerde identiteit worden gebruikt in uw Function-appManaged identity should be used in your Function App Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiligingUse a managed identity for enhanced authentication security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Er moet een beheerde identiteit worden gebruikt in uw web-appManaged identity should be used in your Web App Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiligingUse a managed identity for enhanced authentication security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Beveiliging tegen malwareMalware Defense

Centraal beheerde antimalwaresoftware gebruikenUse centrally managed anti-malware software

Id: Azure Security Benchmark 8.1 Eigendom: KlantID: Azure Security Benchmark 8.1 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Oplossing voor eindpuntbeveiliging moet worden geïnstalleerd op virtuele-machineschaalsetsEndpoint protection solution should be installed on virtual machine scale sets Controleer op de aanwezigheid en status van een oplossing voor eindpuntbeveiliging op virtuele-machineschaalsets, waarmee de schaalsets worden beschermd tegen bedreigingen en beveiligingsproblemen.Audit the existence and health of an endpoint protection solution on your virtual machines scale sets, to protect them from threats and vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Ontbrekende eindpuntbeveiliging bewaken in Azure Security CenterMonitor missing Endpoint Protection in Azure Security Center Servers zonder geïnstalleerde agent voor eindpuntbeveiliging worden als aanbevelingen bewaakt door Azure Security CenterServers without an installed Endpoint Protection agent will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Zorgen dat antimalwaresoftware en handtekeningen worden bijgewerktEnsure anti-malware software and signatures are updated

Id: Azure Security Benchmark 8.3 Eigendom: KlantID: Azure Security Benchmark 8.3 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Microsoft Antimalware voor Azure moet zijn geconfigureerd om automatisch beveiligingsdefinities bij te werkenMicrosoft Antimalware for Azure should be configured to automatically update protection signatures Met dit beleid wordt elke Windows-VM gecontroleerd waarvoor het automatisch bijwerken van Microsoft Antimalware-beveiligingsdefinities niet is geconfigureerd.This policy audits any Windows virtual machine not configured with automatic update of Microsoft Antimalware protection signatures. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0

GegevensherstelData Recovery

Regelmatige geautomatiseerde back-ups verzekerenEnsure regular automated back ups

Id: Azure Security Benchmark 9.1 Eigendom: KlantID: Azure Security Benchmark 9.1 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Azure Backup moet zijn ingeschakeld voor virtuele machinesAzure Backup should be enabled for Virtual Machines Zorg ervoor dat uw Azure-VM's worden beveiligd door Azure Backup in te schakelen.Ensure protection of your Azure Virtual Machines by enabling Azure Backup. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure.Azure Backup is a secure and cost effective data protection solution for Azure. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDBGeo-redundant backup should be enabled for Azure Database for MariaDB Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen.Azure Database for MariaDB allows you to choose the redundancy option for your database server. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio.It can be set to a geo-redundant backup storage in which the data is not only stored within the region in which your server is hosted, but is also replicated to a paired region to provide recovery option in case of a region failure. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.Configuring geo-redundant storage for backup is only allowed during server create. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQLGeo-redundant backup should be enabled for Azure Database for MySQL Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen.Azure Database for MySQL allows you to choose the redundancy option for your database server. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio.It can be set to a geo-redundant backup storage in which the data is not only stored within the region in which your server is hosted, but is also replicated to a paired region to provide recovery option in case of a region failure. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.Configuring geo-redundant storage for backup is only allowed during server create. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQLGeo-redundant backup should be enabled for Azure Database for PostgreSQL Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen.Azure Database for PostgreSQL allows you to choose the redundancy option for your database server. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio.It can be set to a geo-redundant backup storage in which the data is not only stored within the region in which your server is hosted, but is also replicated to a paired region to provide recovery option in case of a region failure. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.Configuring geo-redundant storage for backup is only allowed during server create. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
Geografisch redundante back-up op de lange termijn moet zijn ingeschakeld voor Azure SQL DatabasesLong-term geo-redundant backup should be enabled for Azure SQL Databases Dit beleid controleert alle Azure SQL Databases waarop een geografisch redundante back-up op lange termijn niet is ingeschakeld.This policy audits any Azure SQL Database with long-term geo-redundant backup not enabled. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Complete back-ups van het systeem uitvoeren en back-ups maken van door klant beheerde sleutelsPerform complete system backups and backup any customer managed keys

Id: Azure Security Benchmark 9.2 Eigendom: KlantID: Azure Security Benchmark 9.2 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Azure Backup moet zijn ingeschakeld voor virtuele machinesAzure Backup should be enabled for Virtual Machines Zorg ervoor dat uw Azure-VM's worden beveiligd door Azure Backup in te schakelen.Ensure protection of your Azure Virtual Machines by enabling Azure Backup. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure.Azure Backup is a secure and cost effective data protection solution for Azure. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDBGeo-redundant backup should be enabled for Azure Database for MariaDB Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen.Azure Database for MariaDB allows you to choose the redundancy option for your database server. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio.It can be set to a geo-redundant backup storage in which the data is not only stored within the region in which your server is hosted, but is also replicated to a paired region to provide recovery option in case of a region failure. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.Configuring geo-redundant storage for backup is only allowed during server create. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQLGeo-redundant backup should be enabled for Azure Database for MySQL Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen.Azure Database for MySQL allows you to choose the redundancy option for your database server. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio.It can be set to a geo-redundant backup storage in which the data is not only stored within the region in which your server is hosted, but is also replicated to a paired region to provide recovery option in case of a region failure. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.Configuring geo-redundant storage for backup is only allowed during server create. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQLGeo-redundant backup should be enabled for Azure Database for PostgreSQL Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen.Azure Database for PostgreSQL allows you to choose the redundancy option for your database server. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio.It can be set to a geo-redundant backup storage in which the data is not only stored within the region in which your server is hosted, but is also replicated to a paired region to provide recovery option in case of a region failure. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.Configuring geo-redundant storage for backup is only allowed during server create. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
Geografisch redundante back-up op de lange termijn moet zijn ingeschakeld voor Azure SQL DatabasesLong-term geo-redundant backup should be enabled for Azure SQL Databases Dit beleid controleert alle Azure SQL Databases waarop een geografisch redundante back-up op lange termijn niet is ingeschakeld.This policy audits any Azure SQL Database with long-term geo-redundant backup not enabled. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Bescherming van back-upbestanden en door de klant beheerde sleutels garanderenEnsure protection of backups and customer managed keys

Id: Azure Security Benchmark 9.4 Eigendom: KlantID: Azure Security Benchmark 9.4 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Beveiliging tegen leegmaken moet zijn ingeschakeld voor sleutelkluizenKey vaults should have purge protection enabled Kwaadwillende verwijdering van een sleutelkluis kan leiden tot permanent gegevensverlies.Malicious deletion of a key vault can lead to permanent data loss. Een kwaadwillende insider in uw organisatie kan sleutelkluizen verwijderen en leegmaken.A malicious insider in your organization can potentially delete and purge key vaults. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen.Purge protection protects you from insider attacks by enforcing a mandatory retention period for soft deleted key vaults. Gedurende de periode van voorlopige verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken.No one inside your organization or Microsoft will be able to purge your key vaults during the soft delete retention period. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1

Reageren op incidentenIncident Response

Contactgegevens opgeven en waarschuwingsmeldingen configureren voor beveiligingsincidentenProvide security incident contact details and configure alert notifications for security incidents

Id: Azure Benchmark 10.4 Eigendom: KlantID: Azure Security Benchmark 10.4 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevattenSubscriptions should have a contact email address for security issues Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt.To ensure the relevant people in your organization are notified when there is a potential security breach in one of your subscriptions, set a security contact to receive email notifications from Security Center. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1

Notitie

De beschikbaarheid van specifieke Azure Policy-definities kan verschillen in Azure Government en andere nationale clouds.Availability of specific Azure Policy definitions may vary in Azure Government and other national clouds.

Volgende stappenNext steps

Aanvullende artikelen over Azure Policy:Additional articles about Azure Policy: