Details van het ingebouwde initiatief voor naleving van regelgeving van NIST SP 800-53 Rev. 5 (Azure Government)
In het volgende artikel wordt beschreven hoe de ingebouwde initiatiefdefinitie naleving van Azure Policy-regelgeving wordt toegewezen aan nalevingsdomeinen en controles in NIST SP 800-53 Rev. 5 (Azure Government). Zie NIST SP 800-53 Rev. 5 voor meer informatie over deze nalevingsstandaard. Zie Azure Policy-beleidsdefinitie en Gedeelde verantwoordelijkheid in de Cloud om Eigendom te begrijpen.
De volgende toewijzingen zijn voor de NIST SP 800-53 Rev. 5-besturingselementen . Veel van de beheeropties worden geïmplementeerd met een Azure Policy-initiatiefdefinitie. Als u de complete initiatiefdefinitie wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities. Zoek en selecteer vervolgens de ingebouwde initiatiefdefinitie NIST SP 800-53 Rev. 5 Regulatory Compliance.
Belangrijk
Elke beheeroptie hieronder is gekoppeld aan een of meer Azure Policy-definities. Met deze beleidsregels kunt u de compliance beoordelen met de beheeroptie. Er is echter vaak geen één-op-één- of volledige overeenkomst tussen een beheeroptie en een of meer beleidsregels. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsdefinities zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus. De koppelingen tussen de beheeropties voor nalevingsdomeinen en Azure Policy definities voor deze nalevingsstandaard kunnen na verloop van tijd veranderen. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit-geschiedenis.
Toegangsbeheer
Beleid en procedures
Id: NIST SP 800-53 Rev. 5 AC-1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1000 - Vereisten voor beleid en procedures voor toegangsbeheer | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1001 - Vereisten voor beleid en procedures voor toegangsbeheer | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Accountbeheer
Id: NIST SP 800-53 Rev. 5 AC-2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement | Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Gebruik van aangepaste RBAC-rollen controleren | Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering | Controle, uitgeschakeld | 1.0.1 |
| Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd | Afgeschafte accounts moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Functie-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Managed Control 1002 - Accountbeheer | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1003 - Accountbeheer | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1004 - Accountbeheer | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1005 - Accountbeheer | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1006 - Accountbeheer | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1007 - Accountbeheer | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1008 - Accountbeheer | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1009 - Accountbeheer | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1010 - Accountbeheer | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1011 - Accountbeheer | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1012 - Accountbeheer | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1022 - Accountbeheer | Beëindiging van referenties voor gedeeld/groepsaccount | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie | Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Geautomatiseerd systeemaccountbeheer
Id: NIST SP 800-53 Rev. 5 AC-2 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Microsoft Managed Control 1013 - Accountbeheer | Geautomatiseerd systeemaccountbeheer | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie | Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Geautomatiseerd tijdelijk en noodaccountbeheer
Id: NIST SP 800-53 Rev. 5 AC-2 (2) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1014 - Accountbeheer | Verwijdering van tijdelijke/noodaccounts | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Accounts uitschakelen
Id: NIST SP 800-53 Rev. 5 AC-2 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1015 - Accountbeheer | Inactieve accounts uitschakelen | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Geautomatiseerde controleacties
Id: NIST SP 800-53 Rev. 5 AC-2 (4) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1016 - Accountbeheer | Geautomatiseerde controleacties | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Afmelding bij inactiviteit
Id: NIST SP 800-53 Rev. 5 AC-2 (5) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1017 - Accountbeheer | Afmelding bij inactiviteit | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Bevoegde gebruikersaccounts
Id: NIST SP 800-53 Rev. 5 AC-2 (7) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Gebruik van aangepaste RBAC-rollen controleren | Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering | Controle, uitgeschakeld | 1.0.1 |
| Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Microsoft Managed Control 1018 - Accountbeheer | Op rollen gebaseerde schema's | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1019 - Accountbeheer | Op rollen gebaseerde schema's | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1020 - Accountbeheer | Op rollen gebaseerde schema's | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie | Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Beperkingen voor het gebruik van gedeelde en groepsaccounts
Id: NIST SP 800-53 Rev. 5 AC-2 (9) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1021 - Accountbeheer | Beperkingen voor het gebruik van gedeelde/groepsaccounts | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Gebruiksvoorwaarden
Id: NIST SP 800-53 Rev. 5 AC-2 (11) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1023 - Accountbeheer | Gebruiksvoorwaarden | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Accountbewaking voor atypisch gebruik
Id: NIST SP 800-53 Rev. 5 AC-2 (12) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, uitgeschakeld | 4.0.1-preview |
| Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld | Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
| Microsoft Managed Control 1024 - Accountbeheer | Accountbewaking/atypisch gebruik | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1025 - Accountbeheer | Accountbewaking/atypisch gebruik | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Accounts uitschakelen voor personen met een hoog risico
Id: NIST SP 800-53 Rev. 5 AC-2 (13) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1026 - Accountbeheer | Accounts uitschakelen voor personen met een hoog risico | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Afdwinging van toegang
Id: NIST SP 800-53 Rev. 5 AC-3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 1.3.0 |
| Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 1.3.0 |
| Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Linux-machines controleren met accounts zonder wachtwoorden | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines accounts hebben zonder wachtwoorden | AuditIfNotExists, uitgeschakeld | 1.4.0 |
| Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's | Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 1.4.0 |
| Functie-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft Managed Control 1027 - Afdwinging van toegang | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie | Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw opslagaccounts, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure AD en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw virtuele machines, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure Active Directory en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Op rollen gebaseerd toegangsbeheer
Id: NIST SP 800-53 Rev. 5 AC-3 (7) Eigendom: Klant
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | Als u gedetailleerde filters wilt bieden voor de acties die gebruikers kunnen uitvoeren, gebruikt u Op rollen gebaseerd toegangsbeheer (RBAC) van Azure voor het beheren van machtigingen in Kubernetes Service-clusters en configureert u relevante autorisatiebeleidsregels. | Controle, uitgeschakeld | 1.0.3 |
Afdwinging van gegevensstromen
Id: NIST SP 800-53 Rev. 5 AC-4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| API Management-services moeten een virtueel netwerk gebruiken | Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service te plaatsen in een niet-internetrouteerbaar netwerk waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Voor App Configuration moeten privékoppelingen worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps | CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. | Controle, uitgeschakeld | 2.0.0 |
| Azure AI Services-resources moeten netwerktoegang beperken | Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. | Controleren, Weigeren, Uitgeschakeld | 3.2.0 |
| Azure Cache voor Redis moet private link gebruiken | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt | Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure Cognitive Search-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Search-service beperken. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
| Azure Cosmos DB-accounts moeten firewallregels bevatten | Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Azure Data Factory moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
| Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
| Azure File Sync moet gebruikmaken van private link | Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor Azure Key Vault moet firewall zijn ingeschakeld | Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security | Controleren, Weigeren, Uitgeschakeld | 1.4.1 |
| Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Controle, uitgeschakeld | 1.0.0 |
| Azure Service Bus-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor Azure SignalR Service moet Private Link worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. | Controle, uitgeschakeld | 1.0.0 |
| Azure Synapse-werkruimten moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Controle, uitgeschakeld | 1.0.1 |
| Cognitive Services moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. | Controle, uitgeschakeld | 3.0.0 |
| Containerregisters mogen geen onbeperkte netwerktoegang toestaan | Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinkenhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Containerregisters moeten een privékoppeling gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. | Controle, uitgeschakeld | 1.0.1 |
| CosmosDB-accounts moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
| Resources voor schijftoegang moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Event Hub-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. | Controle, uitgeschakeld | 1.0.0 |
| Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld | Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beheerpoorten moeten gesloten zijn op uw virtuele machines | Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft Managed Control 1028 - Afdwinging van gegevensstromen | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. | Controle, uitgeschakeld | 1.1.0 |
| Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld | Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Netwerktoegang tot opslagaccounts moet zijn beperkt | Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet | Controleren, Weigeren, Uitgeschakeld | 1.1.1 |
| Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken | Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Opslagaccounts moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep | Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Besturingselement voor dynamische informatiestroom
Id: NIST SP 800-53 Rev. 5 AC-4 (3) Eigendom: Klant
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Filters voor beveiliging en privacybeleid
Id: NIST SP 800-53 Rev. 5 AC-4 (8) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1029 - Afdwinging van gegevensstromen | Filters voor beveiligingsbeleid | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Fysieke of logische scheiding van informatiestromen
Id: NIST SP 800-53 Rev. 5 AC-4 (21) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1030 - Afdwinging van gegevensstromen | Fysieke/logische scheiding van informatiestromen | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Scheiding van taken
Id: NIST SP 800-53 Rev. 5 AC-5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1031 - Scheiding van taken | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1032 - Scheiding van taken | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1033 - Scheiding van taken | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement | Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Minimale bevoegdheden
Id: NIST SP 800-53 Rev. 5 AC-6 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement | Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Gebruik van aangepaste RBAC-rollen controleren | Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering | Controle, uitgeschakeld | 1.0.1 |
| Microsoft Managed Control 1034- Minimale bevoegdheden | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Toegang tot beveiligingsfuncties autoriseren
Id: NIST SP 800-53 Rev. 5 AC-6 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1035 - Minimale bevoegdheid | Toegang tot beveiligingsfuncties autoriseren | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Niet-bevoegde toegang voor niet-beveiligingsfuncties
Id: NIST SP 800-53 Rev. 5 AC-6 (2) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1036 - Minimale bevoegdheid | Niet-bevoegde toegang voor niet-beveiligingsfuncties | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Netwerktoegang tot bevoegde opdrachten
Id: NIST SP 800-53 Rev. 5 AC-6 (3) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1037 - Minimale bevoegdheden | Netwerktoegang tot bevoegde opdrachten | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Bevoegde accounts
Id: NIST SP 800-53 Rev. 5 AC-6 (5) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1038 - Minimale bevoegdheden | Bevoegde accounts | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Controle van gebruikersbevoegdheden
Id: NIST SP 800-53 Rev. 5 AC-6 (7) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement | Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Gebruik van aangepaste RBAC-rollen controleren | Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering | Controle, uitgeschakeld | 1.0.1 |
| Microsoft Managed Control 1039 - Minimale bevoegdheden | Controle van gebruikersbevoegdheden | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1040 - Minimale bevoegdheid | Controle van gebruikersbevoegdheden | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Bevoegdheidsniveaus voor het uitvoeren van code
Id: NIST SP 800-53 Rev. 5 AC-6 (8) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1041 - Minimale bevoegdheid | Bevoegdheidsniveaus voor het uitvoeren van code | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Logboekgebruik van bevoegde functies
Id: NIST SP 800-53 Rev. 5 AC-6 (9) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1042 - Minimale bevoegdheden | Het gebruik van bevoegde functies controleren | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Voorkomen dat niet-bevoegde gebruikers bevoorrechte functies uitvoeren
Id: NIST SP 800-53 Rev. 5 AC-6 (10) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1043 - Minimale bevoegdheden | Voorkomen dat niet-bevoegde gebruikers bevoorrechte functies uitvoeren | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Mislukte aanmeldingspogingen
Id: NIST SP 800-53 Rev. 5 AC-7 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1044 - Mislukte aanmeldingspogingen | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1045 - Mislukte aanmeldingspogingen | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Mobiel apparaat opschonen of wissen
Id: NIST SP 800-53 Rev. 5 AC-7 (2) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1046 - Mislukte aanmeldingspogingen | Mobiel apparaat opschonen/wissen | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Systeemgebruiksmelding
Id: NIST SP 800-53 Rev. 5 AC-8 Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1047 - Systeemgebruiksmelding | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1048 - Systeemgebruiksmelding | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1049 - Systeemgebruiksmelding | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Gelijktijdige sessies beheren
Id: NIST SP 800-53 Rev. 5 AC-10 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1050 - Gelijktijdige sessies beheren | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Apparaatvergrendeling
Id: NIST SP 800-53 Rev. 5 AC-11 Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1051 - Sessievergrendeling | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1052 - Sessievergrendeling | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Weergaven voor patroonverberging
Id: NIST SP 800-53 Rev. 5 AC-11 (1) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1053 - Sessievergrendeling | Weergaven voor het verbergen van patronen | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Sessiebeëindiging
Id: NIST SP 800-53 Rev. 5 AC-12 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1054 - Sessiebeëindiging | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Door de gebruiker geïnitieerde afmeldingen
Id: NIST SP 800-53 Rev. 5 AC-12 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1055 - Sessiebeëindiging | Door de gebruiker geïnitieerde afmeldingen/berichtweergaven | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1056 - Sessiebeëindiging | Door de gebruiker geïnitieerde afmeldingen/berichtweergaven | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Toegestane acties zonder identificatie of verificatie
Id: NIST SP 800-53 Rev. 5 AC-14 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1057 - Toegestane acties zonder identificatie of verificatie | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1058 - Toegestane acties zonder identificatie of verificatie | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Beveiligings- en privacykenmerken
Id: NIST SP 800-53 Rev. 5 AC-16 Eigendom: Klant
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
Externe toegang
Id: NIST SP 800-53 Rev. 5 AC-17 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 1.3.0 |
| Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 1.3.0 |
| Voor App Configuration moeten privékoppelingen worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| App Service-apps moeten externe foutopsporing hebben uitgeschakeld | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaan | AuditIfNotExists, uitgeschakeld | 1.4.0 |
| Azure Cache voor Redis moet private link gebruiken | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt | Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
| Azure Data Factory moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
| Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
| Azure File Sync moet gebruikmaken van private link | Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Controle, uitgeschakeld | 1.0.0 |
| Azure Service Bus-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor Azure SignalR Service moet Private Link worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. | Controle, uitgeschakeld | 1.0.0 |
| Azure Synapse-werkruimten moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Controle, uitgeschakeld | 1.0.1 |
| Cognitive Services moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. | Controle, uitgeschakeld | 3.0.0 |
| Containerregisters moeten een privékoppeling gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. | Controle, uitgeschakeld | 1.0.1 |
| CosmosDB-accounts moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
| De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's | Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 1.4.0 |
| De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's | Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 1.2.0 |
| Resources voor schijftoegang moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Event Hub-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Functie-apps moeten externe foutopsporing uitschakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. | Controle, uitgeschakeld | 1.0.0 |
| Microsoft Managed Control 1059 - Externe toegang | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1060 - Externe toegang | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. | Controle, uitgeschakeld | 1.1.0 |
| Netwerktoegang tot opslagaccounts moet zijn beperkt | Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet | Controleren, Weigeren, Uitgeschakeld | 1.1.1 |
| Opslagaccounts moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Bewaking en controle
Id: NIST SP 800-53 Rev. 5 AC-17 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 1.3.0 |
| Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 1.3.0 |
| Voor App Configuration moeten privékoppelingen worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| App Service-apps moeten externe foutopsporing hebben uitgeschakeld | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaan | AuditIfNotExists, uitgeschakeld | 1.4.0 |
| Azure Cache voor Redis moet private link gebruiken | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt | Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
| Azure Data Factory moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
| Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
| Azure File Sync moet gebruikmaken van private link | Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Controle, uitgeschakeld | 1.0.0 |
| Azure Service Bus-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor Azure SignalR Service moet Private Link worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. | Controle, uitgeschakeld | 1.0.0 |
| Azure Synapse-werkruimten moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Controle, uitgeschakeld | 1.0.1 |
| Cognitive Services moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. | Controle, uitgeschakeld | 3.0.0 |
| Containerregisters moeten een privékoppeling gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. | Controle, uitgeschakeld | 1.0.1 |
| CosmosDB-accounts moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
| De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's | Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 1.4.0 |
| De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's | Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 1.2.0 |
| Resources voor schijftoegang moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Event Hub-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Functie-apps moeten externe foutopsporing uitschakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. | Controle, uitgeschakeld | 1.0.0 |
| Microsoft Managed Control 1061 - Externe toegang | Geautomatiseerde bewaking/beheer | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. | Controle, uitgeschakeld | 1.1.0 |
| Netwerktoegang tot opslagaccounts moet zijn beperkt | Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet | Controleren, Weigeren, Uitgeschakeld | 1.1.1 |
| Opslagaccounts moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Bescherming van vertrouwelijkheid en integriteit met behulp van versleuteling
Id: NIST SP 800-53 Rev. 5 AC-17 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1062 - Externe toegang | Bescherming van vertrouwelijkheid/integriteit met behulp van versleuteling | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Beheerde toegangsbeheerpunten
Id: NIST SP 800-53 Rev. 5 AC-17 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1063 - Externe toegang | Beheerde toegangsbeheerpunten | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Bevoegde opdrachten en toegang
Id: NIST SP 800-53 Rev. 5 AC-17 (4) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1064 - Externe toegang | Bevoegde opdrachten/toegang | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1065 - Externe toegang | Bevoegde opdrachten/toegang | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Toegang verbreken of uitschakelen
Id: NIST SP 800-53 Rev. 5 AC-17 (9) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1066 - Externe toegang | Toegang verbreken/uitschakelen | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Draadloze toegang
Id: NIST SP 800-53 Rev. 5 AC-18 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1067 - Beperkingen voor draadloze toegang | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1068 - Beperkingen voor draadloze toegang | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Verificatie en versleuteling
Id: NIST SP 800-53 Rev. 5 AC-18 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1069 - Beperkingen voor draadloze toegang | Verificatie en versleuteling | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Draadloze netwerken uitschakelen
Id: NIST SP 800-53 Rev. 5 AC-18 (3) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1070 - Beperkingen voor draadloze toegang | Draadloze netwerken uitschakelen | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Configuraties beperken door gebruikers
Id: NIST SP 800-53 Rev. 5 AC-18 (4) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1071 - Beperkingen voor draadloze toegang | Configuraties beperken door gebruikers | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Antennes en transmissievermogensniveaus
Id: NIST SP 800-53 Rev. 5 AC-18 (5) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1072 - Beperkingen voor draadloze toegang | Antennes / transmissievermogensniveaus | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Toegangsbeheer voor mobiele apparaten
Id: NIST SP 800-53 Rev. 5 AC-19 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1073 - Toegangsbeheer voor draagbare en mobiele systemen | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1074 - Toegangsbeheer voor draagbare en mobiele systemen | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Volledige versleuteling op basis van een apparaat of container
Id: NIST SP 800-53 Rev. 5 AC-19 (5) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1075 - Toegangsbeheer voor draagbare en mobiele systemen | Volledige apparaat-/containerversleuteling | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Gebruik van externe systemen
Id: NIST SP 800-53 Rev. 5 AC-20 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1076 - Gebruik van externe informatiesystemen | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1077 - Gebruik van externe informatiesystemen | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Limieten voor geautoriseerd gebruik
Id: NIST SP 800-53 Rev. 5 AC-20 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1078 - Gebruik van externe informatiesystemen | Limieten voor geautoriseerd gebruik | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1079 - Gebruik van externe informatiesystemen | Limieten voor geautoriseerd gebruik | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Draagbare opslagapparaten ??? Beperkt gebruik
Id: NIST SP 800-53 Rev. 5 AC-20 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1080 - Gebruik van externe informatiesystemen | Draagbare opslagapparaten | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Informatie delen
Id: NIST SP 800-53 Rev. 5 AC-21 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1081 - Informatie delen | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1082 - Informatie delen | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Openbaar toegankelijke inhoud
Id: NIST SP 800-53 Rev. 5 AC-22 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1083 - Openbaar toegankelijke inhoud | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1084 - Openbaar toegankelijke inhoud | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1085 - Openbaar toegankelijke inhoud | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1086 - Openbaar toegankelijke inhoud | Microsoft implementeert dit besturingselement voor toegangsbeheer | controleren | 1.0.0 |
Bewustzijn en training
Beleid en procedures
Id: NIST SP 800-53 Rev. 5 AT-1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1087 - Beleid en procedures voor bewustzijn en training op het gebied van beveiliging | Microsoft implementeert dit besturingselement voor bewustzijn en training | controleren | 1.0.0 |
| Microsoft Managed Control 1088 - Beleid en procedures voor bewustzijn en training op het gebied van beveiliging | Microsoft implementeert dit besturingselement voor bewustzijn en training | controleren | 1.0.0 |
Geletterdheidstraining en bewustzijn
Id: NIST SP 800-53 Rev. 5 AT-2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1089 - Beveiligingsbewustzijn | Microsoft implementeert dit besturingselement voor bewustzijn en training | controleren | 1.0.0 |
| Microsoft Managed Control 1090 - Beveiligingsbewustzijn | Microsoft implementeert dit besturingselement voor bewustzijn en training | controleren | 1.0.0 |
| Microsoft Managed Control 1091 - Beveiligingsbewustzijn | Microsoft implementeert dit besturingselement voor bewustzijn en training | controleren | 1.0.0 |
Insider-bedreiging
Id: NIST SP 800-53 Rev. 5 AT-2 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1092 - Beveiligingsbewustzijn | Insider-bedreiging | Microsoft implementeert dit besturingselement voor bewustzijn en training | controleren | 1.0.0 |
Training op basis van rollen
Id: NIST SP 800-53 Rev. 5 AT-3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1093 - Op rollen gebaseerde beveiligingstraining | Microsoft implementeert dit besturingselement voor bewustzijn en training | controleren | 1.0.0 |
| Microsoft Managed Control 1094 - Op rollen gebaseerde beveiligingstraining | Microsoft implementeert dit besturingselement voor bewustzijn en training | controleren | 1.0.0 |
| Microsoft Managed Control 1095 - Op rollen gebaseerde beveiligingstraining | Microsoft implementeert dit besturingselement voor bewustzijn en training | controleren | 1.0.0 |
Praktische oefeningen
Id: NIST SP 800-53 Rev. 5 AT-3 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1096 - Beveiligingstraining op basis van rollen | Praktische oefeningen | Microsoft implementeert dit besturingselement voor bewustzijn en training | controleren | 1.0.0 |
Trainingsrecords
Id: NIST SP 800-53 Rev. 5 AT-4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1098 - Beveiligingstrainingsrecords | Microsoft implementeert dit besturingselement voor bewustzijn en training | controleren | 1.0.0 |
| Microsoft Managed Control 1099 - Beveiligingstrainingsrecords | Microsoft implementeert dit besturingselement voor bewustzijn en training | controleren | 1.0.0 |
Controle en verantwoordelijkheid
Beleid en procedures
Id: NIST SP 800-53 Rev. 5 AU-1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1100 - Beleid en procedures voor controle en verantwoordelijkheid | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| Microsoft Managed Control 1101 - Beleid en procedures voor controle en verantwoordelijkheid | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Gebeurtenisregistratie
Id: NIST SP 800-53 Rev. 5 AU-2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1102 - Controlegebeurtenissen | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| Microsoft Managed Control 1103 - Controlegebeurtenissen | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| Microsoft Managed Control 1104 - Controlegebeurtenissen | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| Microsoft Managed Control 1105 - Controlegebeurtenissen | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| Microsoft Managed Control 1106 - Controlegebeurtenissen | Beoordelingen en updates | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Inhoud van controlerecords
Id: NIST SP 800-53 Rev. 5 AU-3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1107 - Inhoud van controlerecords | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Aanvullende controlegegevens
Id: NIST SP 800-53 Rev. 5 AU-3 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1108 - Inhoud van controlerecords | Aanvullende controlegegevens | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Opslagcapaciteit van auditlogboek
Id: NIST SP 800-53 Rev. 5 AU-4 Ownership: Shared
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1110 - Opslagcapaciteit controleren | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Reactie op fouten in het auditlogboekproces
Id: NIST SP 800-53 Rev. 5 AU-5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1111 - Response To Audit Processing Failures | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| Microsoft Managed Control 1112 - Response To Audit Processing Failures | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Waarschuwing over opslagcapaciteit
Id: NIST SP 800-53 Rev. 5 AU-5 (1) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1113 - Antwoord op verwerkingsfouten controleren | Opslagcapaciteit controleren | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Realtime waarschuwingen
Id: NIST SP 800-53 Rev. 5 AU-5 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1114 - Antwoord op verwerkingsfouten controleren | Realtime waarschuwingen | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Controlerecordbeoordeling, analyse en rapportage
Id: NIST SP 800-53 Rev. 5 AU-6 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, uitgeschakeld | 4.0.1-preview |
| [Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| [Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld | Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
| Microsoft Managed Control 1115 - Controlebeoordeling, analyse en rapportage | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| Microsoft Managed Control 1116 - Controlebeoordeling, analyse en rapportage | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| Microsoft Managed Control 1123 - Controlebeoordeling, analyse en rapportage | Aanpassing op controleniveau | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| Network Watcher moet zijn ingeschakeld | Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Geautomatiseerde procesintegratie
Id: NIST SP 800-53 Rev. 5 AU-6 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1117 - Controlebeoordeling, analyse en rapportage | Procesintegratie | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Auditrecordopslagplaatsen correleren
Id: NIST SP 800-53 Rev. 5 AU-6 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1118 - Controlebeoordeling, analyse en rapportage | Auditopslagplaatsen correleren | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Centrale beoordeling en analyse
Id: NIST SP 800-53 Rev. 5 AU-6 (4) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, uitgeschakeld | 4.0.1-preview |
| [Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| [Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| App Service-apps moeten resourcelogboeken hebben ingeschakeld | Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Controle op SQL Server moet zijn ingeschakeld | Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Automatisch inrichten van de Log Analytics-agent moet zijn ingeschakeld voor uw abonnement | Om te controleren op beveiligingsproblemen en bedreigingen verzamelt Azure Security Center gegevens van uw Azure-VM's. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens kopieert naar uw Log Analytics-werkruimte voor analyse. U wordt aangeraden automatische inrichting in te schakelen om de agent automatisch te implementeren op alle ondersteunde Azure-VM‘s en eventuele nieuwe virtuele machines die worden gemaakt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd | Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Log Analytics-agent moet zijn geïnstalleerd op uw virtuele machine voor Azure Security Center-bewaking | Met dit beleid controleert elke willekeurige virtuele Windows-/Linux-machine of de Log Analytics-agent niet is geïnstalleerd, wat Security Center gebruikt om op beveiligingsproblemen te reageren | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Log Analytics-agent moet worden geïnstalleerd op uw virtuele-machineschaalsets voor Azure Security Center-bewaking | Security Center verzamelt gegevens van uw Azure-VM's om te controleren op beveiligingsproblemen en bedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld | Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
| Microsoft Managed Control 1119 - Controlebeoordeling, analyse en rapportage | Centrale beoordeling en analyse | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| Network Watcher moet zijn ingeschakeld | Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Resourcelogboeken in Azure Data Lake Store moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Azure Stream Analytics moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Batch-accounts moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Event Hub moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Key Vault moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Logic Apps moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.1.0 |
| Resourcelogboeken in Search-service s moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Service Bus moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit | De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Geïntegreerde analyse van auditrecords
Id: NIST SP 800-53 Rev. 5 AU-6 (5) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, uitgeschakeld | 4.0.1-preview |
| [Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| [Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| App Service-apps moeten resourcelogboeken hebben ingeschakeld | Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Controle op SQL Server moet zijn ingeschakeld | Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Automatisch inrichten van de Log Analytics-agent moet zijn ingeschakeld voor uw abonnement | Om te controleren op beveiligingsproblemen en bedreigingen verzamelt Azure Security Center gegevens van uw Azure-VM's. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens kopieert naar uw Log Analytics-werkruimte voor analyse. U wordt aangeraden automatische inrichting in te schakelen om de agent automatisch te implementeren op alle ondersteunde Azure-VM‘s en eventuele nieuwe virtuele machines die worden gemaakt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd | Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Log Analytics-agent moet zijn geïnstalleerd op uw virtuele machine voor Azure Security Center-bewaking | Met dit beleid controleert elke willekeurige virtuele Windows-/Linux-machine of de Log Analytics-agent niet is geïnstalleerd, wat Security Center gebruikt om op beveiligingsproblemen te reageren | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Log Analytics-agent moet worden geïnstalleerd op uw virtuele-machineschaalsets voor Azure Security Center-bewaking | Security Center verzamelt gegevens van uw Azure-VM's om te controleren op beveiligingsproblemen en bedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld | Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
| Microsoft Managed Control 1120 - Controlebeoordeling, analyse en rapportage | Integratie/scan- en bewakingsmogelijkheden | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| Network Watcher moet zijn ingeschakeld | Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Resourcelogboeken in Azure Data Lake Store moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Azure Stream Analytics moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Batch-accounts moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Event Hub moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Key Vault moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Logic Apps moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.1.0 |
| Resourcelogboeken in Search-service s moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Service Bus moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit | De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Correlatie met fysieke bewaking
Id: NIST SP 800-53 Rev. 5 AU-6 (6) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1121 - Controlebeoordeling, analyse en rapportage | Correlatie met fysieke bewaking | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Toegestane acties
Id: NIST SP 800-53 Rev. 5 AU-6 (7) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1122 - Controlebeoordeling, analyse en rapportage | Toegestane acties | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Controlerecordreductie en rapportgeneratie
Id: NIST SP 800-53 Rev. 5 AU-7 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1124 - Controlevermindering en rapportgeneratie | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| Microsoft Managed Control 1125 - Controlevermindering en rapportgeneratie | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Automatische verwerking
Id: NIST SP 800-53 Rev. 5 AU-7 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1126 - Controlereductie en rapportgeneratie | Automatische verwerking | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Tijdstempels
Id: NIST SP 800-53 Rev. 5 AU-8 Ownership: Shared
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1127 - Tijdstempels | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| Microsoft Managed Control 1128 - Tijdstempels | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Beveiliging van controle-informatie
Id: NIST SP 800-53 Rev. 5 AU-9 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1131 - Beveiliging van controle-informatie | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Opslaan op afzonderlijke fysieke systemen of onderdelen
Id: NIST SP 800-53 Rev. 5 AU-9 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1132 - Beveiliging van controlegegevens | Back-up controleren op afzonderlijke fysieke systemen/onderdelen | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Cryptografische beveiliging
Id: NIST SP 800-53 Rev. 5 AU-9 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1133 - Beveiliging van controlegegevens | Cryptografische beveiliging | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Toegang per subset van bevoegde gebruikers
Id: NIST SP 800-53 Rev. 5 AU-9 (4) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1134 - Beveiliging van controlegegevens | Toegang per subset van bevoegde gebruikers | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Niet-weerlegbaarheid
Id: NIST SP 800-53 Rev. 5 AU-10 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1135 - Geen weerlegbaarheid | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Retentie van controlerecord
Id: NIST SP 800-53 Rev. 5 AU-11 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1136 - Retentie van controlerecord | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| SQL-servers met controle naar opslagaccountbestemming moeten worden geconfigureerd met een bewaarperiode van 90 dagen of hoger | Voor onderzoeksdoeleinden voor incidenten raden we u aan om de gegevensretentie voor de controle van uw SQL Server in te stellen op de bestemming van het opslagaccount tot ten minste 90 dagen. Controleer of u voldoet aan de benodigde bewaarregels voor de regio's waarin u werkt. Dit is soms vereist voor naleving van regelgevingsstandaarden. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Controlerecordgeneratie
Id: NIST SP 800-53 Rev. 5 AU-12 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, uitgeschakeld | 4.0.1-preview |
| [Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| [Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| App Service-apps moeten resourcelogboeken hebben ingeschakeld | Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Controle op SQL Server moet zijn ingeschakeld | Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Automatisch inrichten van de Log Analytics-agent moet zijn ingeschakeld voor uw abonnement | Om te controleren op beveiligingsproblemen en bedreigingen verzamelt Azure Security Center gegevens van uw Azure-VM's. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens kopieert naar uw Log Analytics-werkruimte voor analyse. U wordt aangeraden automatische inrichting in te schakelen om de agent automatisch te implementeren op alle ondersteunde Azure-VM‘s en eventuele nieuwe virtuele machines die worden gemaakt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd | Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Log Analytics-agent moet zijn geïnstalleerd op uw virtuele machine voor Azure Security Center-bewaking | Met dit beleid controleert elke willekeurige virtuele Windows-/Linux-machine of de Log Analytics-agent niet is geïnstalleerd, wat Security Center gebruikt om op beveiligingsproblemen te reageren | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Log Analytics-agent moet worden geïnstalleerd op uw virtuele-machineschaalsets voor Azure Security Center-bewaking | Security Center verzamelt gegevens van uw Azure-VM's om te controleren op beveiligingsproblemen en bedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld | Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
| Microsoft Managed Control 1137 - Controlegeneratie | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| Microsoft Managed Control 1138 - Controlegeneratie | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| Microsoft Managed Control 1139 - Controlegeneratie | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| Network Watcher moet zijn ingeschakeld | Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Resourcelogboeken in Azure Data Lake Store moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Azure Stream Analytics moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Batch-accounts moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Event Hub moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Key Vault moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Logic Apps moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.1.0 |
| Resourcelogboeken in Search-service s moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Service Bus moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit | De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Audittrail voor het hele systeem en de tijd gecorreleerde audittrail
Id: NIST SP 800-53 Rev. 5 AU-12 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, uitgeschakeld | 4.0.1-preview |
| [Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| [Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| App Service-apps moeten resourcelogboeken hebben ingeschakeld | Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Controle op SQL Server moet zijn ingeschakeld | Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Automatisch inrichten van de Log Analytics-agent moet zijn ingeschakeld voor uw abonnement | Om te controleren op beveiligingsproblemen en bedreigingen verzamelt Azure Security Center gegevens van uw Azure-VM's. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens kopieert naar uw Log Analytics-werkruimte voor analyse. U wordt aangeraden automatische inrichting in te schakelen om de agent automatisch te implementeren op alle ondersteunde Azure-VM‘s en eventuele nieuwe virtuele machines die worden gemaakt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd | Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Log Analytics-agent moet zijn geïnstalleerd op uw virtuele machine voor Azure Security Center-bewaking | Met dit beleid controleert elke willekeurige virtuele Windows-/Linux-machine of de Log Analytics-agent niet is geïnstalleerd, wat Security Center gebruikt om op beveiligingsproblemen te reageren | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Log Analytics-agent moet worden geïnstalleerd op uw virtuele-machineschaalsets voor Azure Security Center-bewaking | Security Center verzamelt gegevens van uw Azure-VM's om te controleren op beveiligingsproblemen en bedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld | Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
| Microsoft Managed Control 1140 - Controlegeneratie | Systeembrede/tijd-gecorreleerde audittrail | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
| Network Watcher moet zijn ingeschakeld | Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Resourcelogboeken in Azure Data Lake Store moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Azure Stream Analytics moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Batch-accounts moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Event Hub moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Key Vault moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Logic Apps moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.1.0 |
| Resourcelogboeken in Search-service s moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Service Bus moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit | De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Wijzigingen door geautoriseerde personen
Id: NIST SP 800-53 Rev. 5 AU-12 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1141 - Controlegeneratie | Wijzigingen door geautoriseerde personen | Microsoft implementeert dit besturingselement voor controle en aansprakelijkheid | controleren | 1.0.0 |
Evaluatie, autorisatie en bewaking
Beleid en procedures
Id: NIST SP 800-53 Rev. 5 CA-1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1142 - Certificering, autorisatie, beleid en procedures voor beveiligingsevaluatie | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
| Microsoft Managed Control 1143 - Certificering, autorisatie, beleid en procedures voor beveiligingsevaluatie | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
Controlebeoordelingen
Id: NIST SP 800-53 Rev. 5 CA-2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1144 - Beveiligingsevaluaties | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
| Microsoft Managed Control 1145 - Beveiligingsevaluaties | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
| Microsoft Managed Control 1146 - Beveiligingsevaluaties | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
| Microsoft Managed Control 1147 - Beveiligingsevaluaties | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
Onafhankelijke beoordelaars
Id: NIST SP 800-53 Rev. 5 CA-2 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1148 - Beveiligingsevaluaties | Onafhankelijke beoordelaars | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
Gespecialiseerde evaluaties
Id: NIST SP 800-53 Rev. 5 CA-2 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1149 - Beveiligingsevaluaties | Gespecialiseerde evaluaties | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
Resultaten van externe organisaties gebruiken
Id: NIST SP 800-53 Rev. 5 CA-2 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1150 - Beveiligingsevaluaties | Externe organisaties | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
Informatie-uitwisseling
Id: NIST SP 800-53 Rev. 5 CA-3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1151 - Systeemverbindingen | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
| Microsoft Managed Control 1152 - Systeemverbindingen | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
| Microsoft Managed Control 1153 - Systeemverbindingen | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
Actieplan en mijlpalen
Id: NIST SP 800-53 Rev. 5 CA-5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1156 - Actieplan en mijlpalen | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
| Microsoft Managed Control 1157 - Actieplan en mijlpalen | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
Autorisatie
Id: NIST SP 800-53 Rev. 5 CA-6 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1158 - Beveiligingsautorisatie | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
| Microsoft Managed Control 1159 - Beveiligingsautorisatie | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
| Microsoft Managed Control 1160 - Beveiligingsautorisatie | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
Doorlopende bewaking
Id: NIST SP 800-53 Rev. 5 CA-7 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1161 - Doorlopende bewaking | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
| Microsoft Managed Control 1162 - Doorlopende bewaking | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
| Microsoft Managed Control 1163 - Doorlopende bewaking | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
| Microsoft Managed Control 1164 - Doorlopende bewaking | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
| Microsoft Managed Control 1165 - Doorlopende bewaking | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
| Microsoft Managed Control 1166 - Doorlopende bewaking | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
| Microsoft Managed Control 1167 - Doorlopende bewaking | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
Onafhankelijke evaluatie
Id: NIST SP 800-53 Rev. 5 CA-7 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1168 - Continue bewaking | Onafhankelijke evaluatie | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
Trendanalyses
Id: NIST SP 800-53 Rev. 5 CA-7 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1169 - Continue bewaking | Trendanalyses | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
Penetratietesten
Id: NIST SP 800-53 Rev. 5 CA-8 Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1170 - Penetratietesten | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
Onafhankelijke agent voor penetratietests of -team
Id: NIST SP 800-53 Rev. 5 CA-8 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1171 - Penetratietests | Onafhankelijke penetratieagent of team | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
Interne systeemverbindingen
Id: NIST SP 800-53 Rev. 5 CA-9 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1172 - Interne systeemverbindingen | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
| Microsoft Managed Control 1173 - Interne systeemverbindingen | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
Configuration Management
Beleid en procedures
Id: NIST SP 800-53 Rev. 5 CM-1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1174 - Beleid en procedures voor configuratiebeheer | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1175 - Beleid en procedures voor configuratiebeheer | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Basislijnconfiguratie
Id: NIST SP 800-53 Rev. 5 CM-2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1176 - Basislijnconfiguratie | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1177 - Basislijnconfiguratie | Beoordelingen en updates | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1178 - Basislijnconfiguratie | Beoordelingen en updates | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1179 - Basislijnconfiguratie | Beoordelingen en updates | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Automatiseringsondersteuning voor nauwkeurigheid en valuta
Id: NIST SP 800-53 Rev. 5 CM-2 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1180 - Basislijnconfiguratie | Automatiseringsondersteuning voor nauwkeurigheid/valuta | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Retentie van vorige configuraties
Id: NIST SP 800-53 Rev. 5 CM-2 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1181 - Basislijnconfiguratie | Retentie van eerdere configuraties | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Systemen en onderdelen configureren voor gebieden met een hoog risico
Id: NIST SP 800-53 Rev. 5 CM-2 (7) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1182 - Basislijnconfiguratie | Systemen, onderdelen of apparaten configureren voor gebieden met een hoog risico | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1183 - Basislijnconfiguratie | Systemen, onderdelen of apparaten configureren voor gebieden met een hoog risico | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Configuratiewijzigingsbeheer
Id: NIST SP 800-53 Rev. 5 CM-3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1184 - Configuratiewijzigingsbeheer | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1185 - Configuratiewijzigingsbeheer | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1186 - Configuratiewijzigingsbeheer | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1187 - Configuratiewijzigingsbeheer | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1188 - Configuratiewijzigingsbeheer | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1189 - Configuratiewijzigingsbeheer | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1190 - Configuratiewijzigingsbeheer | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Geautomatiseerde documentatie, kennisgeving en verbod op wijzigingen
Id: NIST SP 800-53 Rev. 5 CM-3 (1) Eigendom: Gedeeld
Testen, valideren en documentatie over wijzigingen
Id: NIST SP 800-53 Rev. 5 CM-3 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1197 - Besturingselement voor configuratiewijziging | Testen/valideren/documentwijzigingen | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Vertegenwoordigers voor beveiliging en privacy
Id: NIST SP 800-53 Rev. 5 CM-3 (4) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1198 - Besturingselement voor configuratiewijziging | Beveiligingsvertegenwoordiger | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Cryptografiebeheer
Id: NIST SP 800-53 Rev. 5 CM-3 (6) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1199 - Besturingselement voor configuratiewijziging | Cryptografiebeheer | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Impactanalyses
Id: NIST SP 800-53 Rev. 5 CM-4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1200 - Impactanalyse voor beveiliging | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Afzonderlijke testomgevingen
Id: NIST SP 800-53 Rev. 5 CM-4 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1201 - Impactanalyse van beveiliging | Afzonderlijke testomgevingen | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Toegangsbeperkingen voor wijzigen
Id: NIST SP 800-53 Rev. 5 CM-5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1202 - Toegangsbeperkingen voor wijzigen | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Geautomatiseerde toegang afdwingen en controlerecords
Id: NIST SP 800-53 Rev. 5 CM-5 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1203 - Toegangsbeperkingen voor wijziging | Geautomatiseerde afdwinging van toegang/controle | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Beperking van bevoegdheden voor productie en bewerking
Id: NIST SP 800-53 Rev. 5 CM-5 (5) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1206 - Toegangsbeperkingen voor wijziging | Productie/operationele bevoegdheden beperken | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1207 - Toegangsbeperkingen voor wijziging | Productie/operationele bevoegdheden beperken | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Configuratie-instellingen
Id: NIST SP 800-53 Rev. 5 CM-6 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Afgeschaft]: Voor functie-apps moet 'Clientcertificaten (binnenkomende clientcertificaten)' zijn ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients met een geldig certificaat kunnen de app bereiken. Dit beleid is vervangen door een nieuw beleid met dezelfde naam, omdat Http 2.0 geen ondersteuning biedt voor clientcertificaten. | Controle, uitgeschakeld | 3.1.0 afgeschaft |
| App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-apps moeten externe foutopsporing hebben uitgeschakeld | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps | CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters | De invoegtoepassing voor beheerbeleid van Azure Kubernetes (AKS) voorziet in uitbreiding van Gatekeeper v3, een webhook voor de toegangscontroller voor Open Policy Agent (OPA) waarmee afdwinging en beveiliging op schaal en via gecentraliseerde, consistente manier worden toegepast op uw clusters. | Controle, uitgeschakeld | 1.0.2 |
| Functie-apps moeten externe foutopsporing uitschakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Voor functie-apps mag CORS niet zijn geconfigureerd om elke resource toegang te geven tot uw apps | Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | Dwing limieten voor cpu- en geheugenresources van containers af om uitputtingsaanvallen van resources in een Kubernetes-cluster te voorkomen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 10.1.0 |
| Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | Voorkomen dat podcontainers de hostproces-id-naamruimte en host-IPC-naamruimte delen in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.2 en CIS 5.2.3 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.1.0 |
| Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | Containers mogen alleen toegestane AppArmor-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.1 |
| Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | Beperk de mogelijkheden om de kwetsbaarheid voor aanvallen van containers in een Kubernetes-cluster te verminderen. Deze aanbeveling maakt deel uit van CIS 5.2.8 en CIS 5.2.9 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.0 |
| Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | Gebruik installatiekopieën van vertrouwde registers om het blootstellingsrisico van het Kubernetes-cluster te beperken tot onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 10.1.1 |
| Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | Voer containers uit met een alleen-lezen hoofdbestandssysteem om te beveiligen tegen wijzigingen tijdens de runtime, waarbij schadelijke binaire bestanden worden toegevoegd aan PATH in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.0 |
| Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | Beperk pod HostPath-volumekoppelingen naar de toegestane hostpaden in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.1 |
| Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | Beheer de gebruikers-, primaire groep-, aanvullende groep- en bestandssysteemgroep-id's die pods en containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.1 |
| Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.0 |
| Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | Beperk services om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.1.0 |
| Kubernetes-cluster mag geen bevoegde containers toestaan | Sta het maken van bevoegde containers in een Kubernetes-cluster niet toe. Deze aanbeveling maakt deel uit van CIS 5.2.1 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 10.1.0 |
| Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | Sta niet toe dat containers worden uitgevoerd met escalatie van bevoegdheden naar de hoofdmap in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.5 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.1.0 |
| Linux-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 1.5.0 |
| Microsoft Managed Control 1208 - Configuratie-instellingen | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1209 - Configuratie-instellingen | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1210 - Configuratie-instellingen | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1211 - Configuratie-instellingen | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Windows-machines moeten voldoen aan de vereisten van de Azure Compute-beveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Geautomatiseerd beheer, toepassing en verificatie
Id: NIST SP 800-53 Rev. 5 CM-6 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1212 - Configuratie Instellingen | Geautomatiseerd centraal beheer/toepassing/verificatie | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Reageren op niet-geautoriseerde wijzigingen
Id: NIST SP 800-53 Rev. 5 CM-6 (2) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1213 - Configuratie Instellingen | Reageren op niet-geautoriseerde wijzigingen | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Minste functionaliteit
Id: NIST SP 800-53 Rev. 5 CM-7 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers | Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd. Dit helpt uw computers te beschermen tegen schadelijke software. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt | Controleer op wijzigingen in gedrag op groepen machines die zijn geconfigureerd voor controle door de adaptieve toepassingsregelaars van Azure Security Center. Security Center gebruikt machine learning voor het analyseren van de processen die worden uitgevoerd op uw computers en stelt een lijst voor met bekende veilige toepassingen. Deze worden weergegeven als aanbevolen apps om toe te staan in beleidsregels voor adaptieve toepassingsregelaars. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Microsoft Managed Control 1214 - Minste functionaliteit | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1215- Minste functionaliteit | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Periodieke beoordeling
Id: NIST SP 800-53 Rev. 5 CM-7 (1) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1216 - Minimale functionaliteit | Periodieke beoordeling | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1217 - Minimale functionaliteit | Periodieke beoordeling | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Uitvoering van programma voorkomen
Id: NIST SP 800-53 Rev. 5 CM-7 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers | Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd. Dit helpt uw computers te beschermen tegen schadelijke software. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt | Controleer op wijzigingen in gedrag op groepen machines die zijn geconfigureerd voor controle door de adaptieve toepassingsregelaars van Azure Security Center. Security Center gebruikt machine learning voor het analyseren van de processen die worden uitgevoerd op uw computers en stelt een lijst voor met bekende veilige toepassingen. Deze worden weergegeven als aanbevolen apps om toe te staan in beleidsregels voor adaptieve toepassingsregelaars. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft Managed Control 1218 - Minimale functionaliteit | Uitvoering van programma voorkomen | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Geautoriseerde software ??? Toestaan per uitzondering
Id: NIST SP 800-53 Rev. 5 CM-7 (5) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers | Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd. Dit helpt uw computers te beschermen tegen schadelijke software. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt | Controleer op wijzigingen in gedrag op groepen machines die zijn geconfigureerd voor controle door de adaptieve toepassingsregelaars van Azure Security Center. Security Center gebruikt machine learning voor het analyseren van de processen die worden uitgevoerd op uw computers en stelt een lijst voor met bekende veilige toepassingen. Deze worden weergegeven als aanbevolen apps om toe te staan in beleidsregels voor adaptieve toepassingsregelaars. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft Managed Control 1219 - Minimale functionaliteit | Geautoriseerde software/whitelisting | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1220 - Minimale functionaliteit | Geautoriseerde software/whitelisting | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1221 - Minimale functionaliteit | Geautoriseerde software/whitelisting | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Inventaris van systeemonderdelen
Id: NIST SP 800-53 Rev. 5 CM-8 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1222 - Inventaris van informatiesysteemonderdelen | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1223 - Inventaris van informatiesysteemonderdelen | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1229 - Inventaris van informatiesysteemonderdelen | Geen dubbele boekhouding van onderdelen | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Updates tijdens de installatie en verwijdering
Id: NIST SP 800-53 Rev. 5 CM-8 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1224 - Inventaris van informatiesysteemonderdelen | Updates tijdens installaties/verwijderingen | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Geautomatiseerd onderhoud
Id: NIST SP 800-53 Rev. 5 CM-8 (2) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1225 - Inventaris van informatiesysteemonderdelen | Geautomatiseerd onderhoud | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Geautomatiseerde detectie van niet-geautoriseerde onderdelen
Id: NIST SP 800-53 Rev. 5 CM-8 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1226 - Inventaris van informatiesysteemonderdelen | Geautomatiseerde detectie van niet-geautoriseerde onderdelen | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1227 - Inventaris van informatiesysteemonderdelen | Geautomatiseerde detectie van niet-geautoriseerde onderdelen | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1241 - Door de gebruiker geïnstalleerde software | Waarschuwingen voor niet-geautoriseerde installaties | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Informatie over verantwoordelijkheden
Id: NIST SP 800-53 Rev. 5 CM-8 (4) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1228 - Inventaris van informatiesysteemonderdelen | Informatie over verantwoordelijkheden | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Configuratiebeheerplan
Id: NIST SP 800-53 Rev. 5 CM-9 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1230 - Configuratiebeheerplan | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1231 - Configuratiebeheerplan | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1232 - Configuratiebeheerplan | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1233 - Configuratiebeheerplan | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Gebruiksbeperkingen voor software
Id: NIST SP 800-53 Rev. 5 CM-10 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers | Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd. Dit helpt uw computers te beschermen tegen schadelijke software. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt | Controleer op wijzigingen in gedrag op groepen machines die zijn geconfigureerd voor controle door de adaptieve toepassingsregelaars van Azure Security Center. Security Center gebruikt machine learning voor het analyseren van de processen die worden uitgevoerd op uw computers en stelt een lijst voor met bekende veilige toepassingen. Deze worden weergegeven als aanbevolen apps om toe te staan in beleidsregels voor adaptieve toepassingsregelaars. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft Managed Control 1234 - Gebruiksbeperkingen voor software | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1235 - Gebruiksbeperkingen voor software | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1236 - Gebruiksbeperkingen voor software | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Opensource-software
Id: NIST SP 800-53 Rev. 5 CM-10 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1237 - Beperkingen voor softwaregebruik | Opensource-software | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Door de gebruiker geïnstalleerde software
Id: NIST SP 800-53 Rev. 5 CM-11 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers | Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd. Dit helpt uw computers te beschermen tegen schadelijke software. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt | Controleer op wijzigingen in gedrag op groepen machines die zijn geconfigureerd voor controle door de adaptieve toepassingsregelaars van Azure Security Center. Security Center gebruikt machine learning voor het analyseren van de processen die worden uitgevoerd op uw computers en stelt een lijst voor met bekende veilige toepassingen. Deze worden weergegeven als aanbevolen apps om toe te staan in beleidsregels voor adaptieve toepassingsregelaars. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft Managed Control 1238 - User-Installed Software | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1239 - User-Installed Software | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
| Microsoft Managed Control 1240 - User-Installed Software | Microsoft implementeert dit besturingselement voor configuratiebeheer | controleren | 1.0.0 |
Plannen voor onvoorziene gebeurtenissen
Beleid en procedures
Id: NIST SP 800-53 Rev. 5 CP-1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1242 - Beleid en procedures voor plan voor onvoorziene gebeurtenissen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1243 - Beleid en procedures voor plan voor onvoorziene gebeurtenissen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Plan voor onvoorziene gebeurtenissen
Id: NIST SP 800-53 Rev. 5 CP-2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1244 - Plan voor onvoorziene gebeurtenissen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1245 - Plan voor onvoorziene gebeurtenissen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1246 - Plan voor onvoorziene gebeurtenissen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1247 - Plan voor onvoorziene gebeurtenissen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1248 - Plan voor onvoorziene gebeurtenissen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1249 - Plan voor onvoorziene gebeurtenissen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1250 - Plan voor onvoorziene gebeurtenissen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Coördineren met gerelateerde plannen
Id: NIST SP 800-53 Rev. 5 CP-2 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1251 - Plan voor onvoorziene gebeurtenissen | Coördineren met gerelateerde plannen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Capaciteitsplanning
Id: NIST SP 800-53 Rev. 5 CP-2 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1252 - Plan voor onvoorziene gebeurtenissen | Capaciteitsplanning | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Missie- en bedrijfsfuncties hervatten
Id: NIST SP 800-53 Rev. 5 CP-2 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1253 - Plan voor onvoorziene gebeurtenissen | Essentiële missies/bedrijfsfuncties hervatten | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1254 - Plan voor onvoorziene gebeurtenissen | Alle missies/bedrijfsfuncties hervatten | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Missie- en bedrijfsfuncties voortzetten
Id: NIST SP 800-53 Rev. 5 CP-2 (5) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1255 - Plan voor onvoorziene gebeurtenissen | Essentiële missies/bedrijfsfuncties voortzetten | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Kritieke assets identificeren
Id: NIST SP 800-53 Rev. 5 CP-2 (8) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1256 - Plan voor onvoorziene gebeurtenissen | Kritieke assets identificeren | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Training voor onvoorziene gebeurtenissen
Id: NIST SP 800-53 Rev. 5 CP-3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1257 - Training voor onvoorziene gebeurtenissen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1258 - Training voor onvoorziene gebeurtenissen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1259 - Training voor onvoorziene gebeurtenissen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Gesimuleerde gebeurtenissen
Id: NIST SP 800-53 Rev. 5 CP-3 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1260 - Training voor onvoorziene gebeurtenis | Gesimuleerde gebeurtenissen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Plan voor onvoorziene gebeurtenissen testen
Id: NIST SP 800-53 Rev. 5 CP-4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1261 - Plan voor onvoorziene gebeurtenissen testen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1262 - Plan voor onvoorziene gebeurtenissen testen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1263 - Plan voor onvoorziene gebeurtenissen testen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Coördineren met gerelateerde plannen
Id: NIST SP 800-53 Rev. 5 CP-4 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1264 - Plan voor onvoorziene gebeurtenissen testen | Coördineren met gerelateerde plannen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Alternatieve verwerkingssite
Id: NIST SP 800-53 Rev. 5 CP-4 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1265 - Plan voor onvoorziene gebeurtenissen testen | Alternatieve verwerkingssite | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1266 - Plan voor onvoorziene gebeurtenissen testen | Alternatieve verwerkingssite | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Alternatieve opslagsite
Id: NIST SP 800-53 Rev. 5 CP-6 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB | Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL | Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL | Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Geografisch redundante opslag moet zijn ingeschakeld voor opslagaccounts | Georedundantie gebruiken om maximaal beschikbare toepassingen te maken | Controle, uitgeschakeld | 1.0.0 |
| Geografisch redundante back-up op de lange termijn moet zijn ingeschakeld voor Azure SQL Databases | Dit beleid controleert alle Azure SQL Databases waarop een geografisch redundante back-up op lange termijn niet is ingeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Microsoft Managed Control 1267 - Alternatieve opslagsite | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1268 - Alternatieve opslagsite | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Scheiding van primaire site
Id: NIST SP 800-53 Rev. 5 CP-6 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB | Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL | Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL | Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Geografisch redundante opslag moet zijn ingeschakeld voor opslagaccounts | Georedundantie gebruiken om maximaal beschikbare toepassingen te maken | Controle, uitgeschakeld | 1.0.0 |
| Geografisch redundante back-up op de lange termijn moet zijn ingeschakeld voor Azure SQL Databases | Dit beleid controleert alle Azure SQL Databases waarop een geografisch redundante back-up op lange termijn niet is ingeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Microsoft Managed Control 1269 - Alternatieve opslagsite | Scheiding van primaire site | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Beoogde hersteltijd en herstelpunt
Id: NIST SP 800-53 Rev. 5 CP-6 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1270 - Alternatieve opslagsite | Beoogde hersteltijd/-punt | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Toegankelijkheid
Id: NIST SP 800-53 Rev. 5 CP-6 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1271 - Alternatieve opslagsite | Toegankelijkheid | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Alternatieve verwerkingssite
Id: NIST SP 800-53 Rev. 5 CP-7 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Virtuele machines controleren waarop geen herstel na noodgevallen is geconfigureerd | Controleer virtuele machines waarop herstel na noodgevallen niet is geconfigureerd. Ga naar https://aka.ms/asr-doc voor meer informatie over herstel na noodgevallen. | auditIfNotExists | 1.0.0 |
| Microsoft Managed Control 1272 - Alternatieve verwerkingssite | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1273 - Alternatieve verwerkingssite | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1274 - Alternatieve verwerkingssite | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Scheiding van primaire site
Id: NIST SP 800-53 Rev. 5 CP-7 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1275 - Alternatieve verwerkingssite | Scheiding van primaire site | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Toegankelijkheid
Id: NIST SP 800-53 Rev. 5 CP-7 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1276 - Alternatieve verwerkingssite | Toegankelijkheid | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Prioriteit van service
Id: NIST SP 800-53 Rev. 5 CP-7 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1277 - Alternatieve verwerkingssite | Prioriteit van service | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Voorbereiding voor gebruik
Id: NIST SP 800-53 Rev. 5 CP-7 (4) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1278 - Alternatieve verwerkingssite | Voorbereiding voor gebruik | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Telecommunicatieservice
Id: NIST SP 800-53 Rev. 5 CP-8 Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1279 - Telecommunicatieservices | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Prioriteit van servicebepalingen
Id: NIST SP 800-53 Rev. 5 CP-8 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1280 - Telecommunicatieservices | Prioriteit van servicebepalingen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1281 - Telecommunicatieservices | Prioriteit van servicebepalingen | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Single Points of Failure
Id: NIST SP 800-53 Rev. 5 CP-8 (2) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1282 - Telecommunicatieservices | Single Points Of Failure | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Scheiding van primaire en alternatieve providers
Id: NIST SP 800-53 Rev. 5 CP-8 (3) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1283 - Telecommunicatieservices | Scheiding van primaire/alternatieve providers | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Plan voor onvoorziene gebeurtenissen van provider
Id: NIST SP 800-53 Rev. 5 CP-8 (4) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1284 - Telecommunicatieservices | Plan voor onvoorziene gebeurtenissen van provider | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1285 - Telecommunicatieservices | Plan voor onvoorziene gebeurtenissen van provider | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1286 - Telecommunicatieservices | Plan voor onvoorziene gebeurtenissen van provider | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Systeemback-up
Id: NIST SP 800-53 Rev. 5 CP-9 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Backup moet zijn ingeschakeld voor virtuele machines | Zorg ervoor dat uw virtuele Azure-machines worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB | Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL | Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL | Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Voor sleutelkluizen moet verwijderingsbeveiliging zijn ingeschakeld | Kwaadwillende verwijdering van een sleutelkluis kan leiden tot permanent gegevensverlies. U kunt permanent gegevensverlies voorkomen door beveiliging tegen opschonen en voorlopig verwijderen in te schakelen. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen. Gedurende de periode van voorlopige verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken. Houd er rekening mee dat sleutelkluizen die na 1 september 2019 zijn gemaakt, standaard voorlopig verwijderen zijn ingeschakeld. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen | Als u een sleutelkluis verwijdert zonder dat de functie voor voorlopig verwijderen is ingeschakeld, worden alle geheimen, sleutels en certificaten die zijn opgeslagen in de sleutelkluis permanent verwijderd. Onbedoeld verwijderen van een sleutelkluis kan leiden tot permanent gegevensverlies. Met voorlopig verwijderen kunt u een per ongeluk verwijderde sleutelkluis herstellen voor een configureerbare bewaarperiode. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
| Microsoft Managed Control 1287- Gegevens- en systeemback-up | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1288 - Gegevens- en systeemback-up | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1289 - Gegevens- en systeemback-up | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
| Microsoft Managed Control 1290 - Gegevens- en systeemback-up | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Testen op betrouwbaarheid en integriteit
Id: NIST SP 800-53 Rev. 5 CP-9 (1) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1291 - Back-up van informatiesysteem | Testen op betrouwbaarheid/integriteit | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Herstel testen met behulp van steekproeven
Id: NIST SP 800-53 Rev. 5 CP-9 (2) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1292 - Back-up van informatiesysteem | Herstel testen met behulp van steekproeven | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Afzonderlijke opslag voor kritieke informatie
Id: NIST SP 800-53 Rev. 5 CP-9 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1293 - Back-up van informatiesysteem | Afzonderlijke opslag voor kritieke informatie | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Overdracht naar alternatieve opslagsite
Id: NIST SP 800-53 Rev. 5 CP-9 (5) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1294 - Back-up van informatiesysteem | Overdracht naar alternatieve opslagsite | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Systeemherstel en reconstitutie
Id: NIST SP 800-53 Rev. 5 CP-10 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1295 - Herstel en reconstitutie van informatiesysteem | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Transactieherstel
Id: NIST SP 800-53 Rev. 5 CP-10 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1296 - Herstel en reconstitutie van informatiesysteem | Transactieherstel | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Herstellen binnen een bepaalde periode
Id: NIST SP 800-53 Rev. 5 CP-10 (4) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1297 - Herstel en reconstitutie van informatiesysteem | Herstellen binnen een bepaalde periode | Microsoft implementeert dit besturingselement voor een plan voor onvoorziene gebeurtenissen | controleren | 1.0.0 |
Identificatie en verificatie
Beleid en procedures
Id: NIST SP 800-53 Rev. 5 IA-1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1298 - Beleid en procedures voor identificatie en verificatie | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1299 - Beleid en procedures voor identificatie en verificatie | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Identificatie en verificatie (organisatiegebruikers)
Id: NIST SP 800-53 Rev. 5 IA-2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Functie-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft Managed Control 1300 - Gebruikersidentificatie en -verificatie | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie | Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Meervoudige verificatie voor bevoegde accounts
Id: NIST SP 800-53 Rev. 5 IA-2 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Managed Control 1301 - Gebruikersidentificatie en -verificatie | Netwerktoegang tot bevoegde accounts | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1303 - Gebruikersidentificatie en -verificatie | Lokale toegang tot bevoegde accounts | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Meervoudige verificatie voor niet-bevoegde accounts
Id: NIST SP 800-53 Rev. 5 IA-2 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Managed Control 1302 - Gebruikersidentificatie en -verificatie | Netwerktoegang tot niet-bevoegde accounts | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1304 - Gebruikersidentificatie en -verificatie | Lokale toegang tot niet-bevoegde accounts | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Afzonderlijke verificatie met groepsverificatie
Id: NIST SP 800-53 Rev. 5 IA-2 (5) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1305 - Gebruikersidentificatie en -verificatie | Groepsverificatie | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Toegang tot accounts ??? Herhalingsbestendig
Id: NIST SP 800-53 Rev. 5 IA-2 (8) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1306 - Gebruikersidentificatie en -verificatie | Netwerktoegang tot bevoegde accounts - Opnieuw afspelen... | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1307 - Gebruikersidentificatie en -verificatie | Netwerktoegang tot niet-bevoegde accounts - Opnieuw afspelen... | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Acceptatie van PIV-referenties
Id: NIST SP 800-53 Rev. 5 IA-2 (12) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1309 - Gebruikersidentificatie en -verificatie | Acceptatie van Piv-referenties | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Identificatie en verificatie van apparaten
Id: NIST SP 800-53 Rev. 5 IA-3 Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1310 - Identificatie en verificatie van apparaten | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Id-beheer
Id: NIST SP 800-53 Rev. 5 IA-4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Functie-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft Managed Control 1311 - Id-beheer | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1312 - Id-beheer | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1313 - Id-beheer | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1314 - Id-beheer | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1315 - Id-beheer | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie | Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Gebruikersstatus identificeren
Id: NIST SP 800-53 Rev. 5 IA-4 (4) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1316 - Id-beheer | Gebruikersstatus identificeren | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Verificatorbeheer
Id: NIST SP 800-53 Rev. 5 IA-5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 1.3.0 |
| Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 1.3.0 |
| Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebben | AuditIfNotExists, uitgeschakeld | 1.4.0 |
| Windows-machines controleren waarop wachtwoorden niet worden opgeslagen met omkeerbare versleuteling | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines wachtwoorden niet opslaan met omkeerbare versleuteling | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's | Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 1.4.0 |
| De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's | Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 1.2.0 |
| Microsoft Managed Control 1317 - Verificatorbeheer | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1318 - Verificatorbeheer | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1319 - Verificatorbeheer | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1320 - Verificatorbeheer | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1321 - Verificatorbeheer | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1322 - Verificatorbeheer | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1323 - Verificatorbeheer | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1324 - Verificatorbeheer | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1325 - Verificatorbeheer | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1326 - Verificatorbeheer | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Verificatie op basis van een wachtwoord
Id: NIST SP 800-53 Rev. 5 IA-5 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 1.3.0 |
| Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 1.3.0 |
| Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebben | AuditIfNotExists, uitgeschakeld | 1.4.0 |
| Windows-machines controleren die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als Windows-machines die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan. De standaardwaarde voor unieke wachtwoorden is 24 | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Windows-computers controleren waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de maximale wachtwoordduur is 70 dagen | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Windows-computers controleren waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de minimale wachtwoordduur is 1 dag | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Windows-machines controleren waarop de instelling voor wachtwoordcomplexiteit niet is ingeschakeld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines de instelling voor wachtwoordcomplexiteit niet hebben ingeschakeld | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Windows-computers controleren die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens. De standaardwaarde voor de minimale wachtwoordlengte is 14 tekens | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Windows-machines controleren waarop wachtwoorden niet worden opgeslagen met omkeerbare versleuteling | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines wachtwoorden niet opslaan met omkeerbare versleuteling | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's | Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 1.4.0 |
| De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's | Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 1.2.0 |
| Microsoft Managed Control 1327 - Verificatorbeheer | Verificatie op basis van een wachtwoord | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1328 - Verificatorbeheer | Verificatie op basis van een wachtwoord | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1329 - Verificatorbeheer | Verificatie op basis van een wachtwoord | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1330 - Verificatorbeheer | Verificatie op basis van een wachtwoord | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1331 - Verificatorbeheer | Verificatie op basis van een wachtwoord | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1332 - Verificatorbeheer | Verificatie op basis van een wachtwoord | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1338 - Verificatorbeheer | Geautomatiseerde ondersteuning voor bepaling van wachtwoordsterkte | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Verificatie op basis van openbare sleutel
Id: NIST SP 800-53 Rev. 5 IA-5 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1333 - Verificatorbeheer | Verificatie op basis van Pki | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1334 - Verificatorbeheer | Verificatie op basis van Pki | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1335 - Verificatorbeheer | Verificatie op basis van Pki | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1336 - Verificatorbeheer | Verificatie op basis van Pki | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Bescherming van verificators
Id: NIST SP 800-53 Rev. 5 IA-5 (6) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1339 - Verificatorbeheer | Bescherming van verificators | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Geen ingesloten niet-versleutelde statische verificators
Id: NIST SP 800-53 Rev. 5 IA-5 (7) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1340 - Verificatorbeheer | Geen ingesloten niet-versleutelde statische verificators | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Meerdere systeemaccounts
Id: NIST SP 800-53 Rev. 5 IA-5 (8) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1341 - Verificatorbeheer | Meerdere informatiesysteemaccounts | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Vervaldatum van verificators in cache
Id: NIST SP 800-53 Rev. 5 IA-5 (13) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1343 - Verificatorbeheer | Vervaldatum van verificators in cache | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Feedback over verificatie
Id: NIST SP 800-53 Rev. 5 IA-6 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1344 - Verificatorbeheer | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Verificatie van cryptografische module
Id: NIST SP 800-53 Rev. 5 IA-7 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1345 - Verificatie van cryptografische modules | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Identificatie en verificatie (niet-organisatiegebruikers)
Id: NIST SP 800-53 Rev. 5 IA-8 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1346 - Identificatie en verificatie (niet-organisatiegebruikers) | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Acceptatie van PIV-referenties van andere agentschappen
Id: NIST SP 800-53 Rev. 5 IA-8 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1347 - Identificatie en verificatie (niet-organisatiegebruikers) | Acceptatie van Piv-referenties... | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Acceptatie van externe verificators
Id: NIST SP 800-53 Rev. 5 IA-8 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1348 - Identificatie en verificatie (niet-organisatiegebruikers) | Acceptatie van derden... | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
| Microsoft Managed Control 1349 - Identificatie en verificatie (niet-organisatiegebruikers) | Gebruik van door Ficam goedgekeurde producten | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Gebruik van gedefinieerde profielen
Id: NIST SP 800-53 Rev. 5 IA-8 (4) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1350 - Identificatie en verificatie (niet-organisatiegebruikers) | Gebruik van door Ficam uitgegeven profielen | Microsoft implementeert dit besturingselement voor identificatie en verificatie | controleren | 1.0.0 |
Incidentrespons
Beleid en procedures
Id: NIST SP 800-53 Rev. 5 IR-1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1351 - Beleid en procedures voor het reageren op incidenten | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1352 - Beleid en procedures voor het reageren op incidenten | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Training voor het reageren op incidenten
Id: NIST SP 800-53 Rev. 5 IR-2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1353 - Training voor het reageren op incidenten | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1354 - Training voor het reageren incidenten | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1355 - Training voor het reageren incidenten | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Gesimuleerde gebeurtenissen
Id: NIST SP 800-53 Rev. 5 IR-2 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1356 - Training voor reactie op incidenten | Gesimuleerde gebeurtenissen | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Geautomatiseerde trainingsomgevingen
Id: NIST SP 800-53 Rev. 5 IR-2 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1357 - Training voor het reageren op incidenten | Geautomatiseerde trainingsomgevingen | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Tests voor het reageren op incidenten
Id: NIST SP 800-53 Rev. 5 IR-3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1358 - Tests voor het reageren op incidenten | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Coördinatie met verwante plannen
Id: NIST SP 800-53 Rev. 5 IR-3 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1359 - Testen van reacties op incidenten | Coördinatie met gerelateerde plannen | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Incidentafhandeling
Id: NIST SP 800-53 Rev. 5 IR-4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld | Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
| Microsoft Managed Control 1360 - Incidentafhandeling | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1361 - Incidentafhandeling | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1362 - Incidentafhandeling | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Geautomatiseerde processen voor incidentafhandeling
Id: NIST SP 800-53 Rev. 5 IR-4 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1363 - Incidentafhandeling | Geautomatiseerde processen voor incidentafhandeling | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Dynamische herconfiguratie
Id: NIST SP 800-53 Rev. 5 IR-4 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1364 - Incidentafhandeling | Dynamische herconfiguratie | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Continuïteit van bewerkingen
Id: NIST SP 800-53 Rev. 5 IR-4 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1365 - Incidentafhandeling | Continuïteit van bewerkingen | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Informatiecorrelatie
Id: NIST SP 800-53 Rev. 5 IR-4 (4) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1366 - Incidentafhandeling | Informatiecorrelatie | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Insider-bedreigingen
Id: NIST SP 800-53 Rev. 5 IR-4 (6) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1367 - Incidentafhandeling | Insider-bedreigingen - specifieke mogelijkheden | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Correlatie met externe organisaties
Id: NIST SP 800-53 Rev. 5 IR-4 (8) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1368 - Incidentafhandeling | Correlatie met externe organisaties | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Incidentbewaking
Id: NIST SP 800-53 Rev. 5 IR-5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld | Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
| Microsoft Managed Control 1369 - Incidentbewaking | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Geautomatiseerde tracering, gegevensverzameling en analyse
Id: NIST SP 800-53 Rev. 5 IR-5 (1) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1370 - Incidentbewaking | Geautomatiseerd bijhouden/verzamelen/analyseren van gegevens | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Incidentrapportage
Id: NIST SP 800-53 Rev. 5 IR-6 Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1371 - Incidentrapportage | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1372 - Incidentrapportage | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Geautomatiseerde rapportage
Id: NIST SP 800-53 Rev. 5 IR-6 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1373 - Incidentrapportage | Geautomatiseerde rapportage | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Beveiligingsproblemen met betrekking tot incidenten
Id: NIST SP 800-53 Rev. 5 IR-6 (2) Eigendom: Klant
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Ondersteuning voor het reageren op incidenten
Id: NIST SP 800-53 Rev. 5 IR-7 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1374 - Ondersteuning voor het reageren op incidenten | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Automatiseringsondersteuning voor beschikbaarheid van informatie en ondersteuning
Id: NIST SP 800-53 Rev. 5 IR-7 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1375 - Hulp bij het reageren op incidenten | Automatiseringsondersteuning voor beschikbaarheid van informatie/ondersteuning | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Coördinatie met externe providers
Id: NIST SP 800-53 Rev. 5 IR-7 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1376 - Hulp bij het reageren op incidenten | Coördinatie met externe providers | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1377 - Hulp bij het reageren op incidenten | Coördinatie met externe providers | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Plan voor het reageren op incidenten
Id: NIST SP 800-53 Rev. 5 IR-8 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1378 - Plan voor het reageren op incidenten | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1379 - Plan voor het reageren op incidenten | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1380 - Plan voor het reageren op incidenten | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1381 - Plan voor het reageren op incidenten | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1382 - Plan voor het reageren op incidenten | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1383 - Plan voor het reageren op incidenten | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Reageren op lekkage van gegevens
Id: NIST SP 800-53 Rev. 5 IR-9 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1384 - Reageren op lekkage van gegevens | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1385 - Reageren op lekkage van gegevens | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1386 - Reageren op lekkage van gegevens | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1387 - Reageren op lekkage van gegevens | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1388 - Reageren op lekkage van gegevens | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1389 - Reageren op lekkage van gegevens | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
| Microsoft Managed Control 1390 - Reactie op lekkage van gegevens | Verantwoordelijk personeel | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Training
Id: NIST SP 800-53 Rev. 5 IR-9 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1391 - Reactie op lekkage van gegevens | Opleiding | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Bewerkingen na overloop
Id: NIST SP 800-53 Rev. 5 IR-9 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1392 - Reactie op lekkage van gegevens | Bewerkingen na overloop | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Blootstelling aan onbevoegd personeel
Id: NIST SP 800-53 Rev. 5 IR-9 (4) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1393 - Reactie op lekkage van gegevens | Blootstelling aan onbevoegd personeel | Microsoft implementeert dit besturingselement voor reacties op incidenten | controleren | 1.0.0 |
Onderhoud
Beleid en procedures
Id: NIST SP 800-53 Rev. 5 MA-1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1394 - Beleid en procedures voor systeemonderhoud | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1395 - Beleid en procedures voor systeemonderhoud | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
Beheerd onderhoud
Id: NIST SP 800-53 Rev. 5 MA-2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1396 - Beheerd onderhoud | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1397 - Beheerd onderhoud | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1398 - Beheerd onderhoud | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1399 - Beheerd onderhoud | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1400 - Beheerd onderhoud | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1401 - Beheerd onderhoud | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
Geautomatiseerde onderhoudsactiviteiten
Id: NIST SP 800-53 Rev. 5 MA-2 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1402 - Beheerd onderhoud | Geautomatiseerde onderhoudsactiviteiten | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1403 - Beheerd onderhoud | Geautomatiseerde onderhoudsactiviteiten | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
Hulpprogramma's voor onderhoud
Id: NIST SP 800-53 Rev. 5 MA-3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1404 - Hulpprogramma's voor onderhoud | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
Hulpprogramma's controleren
Id: NIST SP 800-53 Rev. 5 MA-3 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1405 - Hulpprogramma's voor onderhoud | Hulpprogramma's controleren | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
Media inspecteren
Id: NIST SP 800-53 Rev. 5 MA-3 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1406 - Hulpprogramma's voor onderhoud | Media inspecteren | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
Onbevoegd verwijderen voorkomen
Id: NIST SP 800-53 Rev. 5 MA-3 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1407 - Hulpprogramma's voor onderhoud | Onbevoegd verwijderen voorkomen | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1408 - Hulpprogramma's voor onderhoud | Onbevoegd verwijderen voorkomen | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1409 - Hulpprogramma's voor onderhoud | Onbevoegd verwijderen voorkomen | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1410 - Hulpprogramma's voor onderhoud | Onbevoegd verwijderen voorkomen | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
Niet-lokaal onderhoud
Id: NIST SP 800-53 Rev. 5 MA-4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1411 - Extern onderhoud | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1412 - Extern onderhoud | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1413 - Extern onderhoud | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1414 - Extern onderhoud | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1415 - Extern onderhoud | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
Vergelijkbare beveiliging en opschoning
Id: NIST SP 800-53 Rev. 5 MA-4 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1417 - Extern onderhoud | Vergelijkbare beveiliging/opschoning | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1418 - Extern onderhoud | Vergelijkbare beveiliging/opschoning | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
Cryptografische beveiliging
Id: NIST SP 800-53 Rev. 5 MA-4 (6) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1419 - Extern onderhoud | Cryptografische beveiliging | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
Onderhoudspersoneel
Id: NIST SP 800-53 Rev. 5 MA-5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1420 - Onderhoudspersoneel | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1421 - Onderhoudspersoneel | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1422 - Onderhoudspersoneel | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
Personen zonder de juiste toegang
Id: NIST SP 800-53 Rev. 5 MA-5 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1423 - Onderhoudspersoneel | Personen zonder de juiste toegang | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
| Microsoft Managed Control 1424 - Onderhoudspersoneel | Personen zonder de juiste toegang | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
Tijdig onderhoud
Id: NIST SP 800-53 Rev. 5 MA-6 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1425 - Tijdig onderhoud | Microsoft implementeert dit besturingselement voor onderhoud | controleren | 1.0.0 |
Mediabeveiliging
Beleid en procedures
Id: NIST SP 800-53 Rev. 5 MP-1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1426 - Beleid en procedures voor mediabeveiliging | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1427 - Beleid en procedures voor mediabeveiliging | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
Mediatoegang
Id: NIST SP 800-53 Rev. 5 MP-2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1428 - Mediatoegang | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
Mediamarkering
Id: NIST SP 800-53 Rev. 5 MP-3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1429 - Medialabels | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1430 - Medialabels | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
Media-opslag
Id: NIST SP 800-53 Rev. 5 MP-4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1431 - Media-opslag | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1432 - Media-opslag | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
Mediatransport
Id: NIST SP 800-53 Rev. 5 MP-5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1433 - Mediatransport | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1434 - Mediatransport | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1435 - Mediatransport | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1436 - Mediatransport | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
Media-opschoning
Id: NIST SP 800-53 Rev. 5 MP-6 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1438 - Media-opschoning en verwijdering | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1439 - Media-opschoning en verwijdering | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
Controleren, goedkeuren, bijhouden, documenteren en controleren
Id: NIST SP 800-53 Rev. 5 MP-6 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1440 - Media-opschoning en verwijdering | Controleren/goedkeuren/bijhouden/document/verifiëren | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
Apparatuur testen
Id: NIST SP 800-53 Rev. 5 MP-6 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1441 - Media opschonen en verwijderen | Apparatuur testen | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
Niet-destructieve technieken
Id: NIST SP 800-53 Rev. 5 MP-6 (3) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1442 - Media-opschoning en verwijdering | Niet-destructieve technieken | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
Mediagebruik
Id: NIST SP 800-53 Rev. 5 MP-7 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1443 - Mediagebruik | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1444 - Mediagebruik | Gebruik zonder eigenaar verbieden | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
Fysieke en omgevingsbeveiliging
Beleid en procedures
Id: NIST SP 800-53 Rev. 5 PE-1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1445 - Beleid en procedures voor fysieke en omgevingsbeveiliging | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1446 - Beleid en procedures voor fysieke en omgevingsbeveiliging | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Autorisaties voor fysieke toegang
Id: NIST SP 800-53 Rev. 5 PE-2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1447 - Autorisaties voor fysieke toegang | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1448 - Autorisaties voor fysieke toegang | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1449 - Autorisaties voor fysieke toegang | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1450 - Autorisaties voor fysieke toegang | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Beheer van fysieke toegang
Id: NIST SP 800-53 Rev. 5 PE-3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1451 - Beheer van fysieke toegang | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1452 - Beheer van fysieke toegang | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1453 - Beheer van fysieke toegang | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1454 - Beheer van fysieke toegang | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1455 - Beheer van fysieke toegang | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1456 - Beheer van fysieke toegang | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1457 - Beheer van fysieke toegang | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Systeemtoegang
Id: NIST SP 800-53 Rev. 5 PE-3 (1) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1458 - Fysiek toegangsbeheer | Toegang tot informatiesysteem | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Toegangsbeheer voor verzending
Id: NIST SP 800-53 Rev. 5 PE-4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1459 - Toegangsbeheer voor overdrachtsmedium | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Toegangsbeheer voor uitvoerapparaten
Id: NIST SP 800-53 Rev. 5 PE-5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1460 - Toegangsbeheer voor uitvoerapparaten | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Fysieke toegang bewaken
Id: NIST SP 800-53 Rev. 5 PE-6 Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1461 - Fysieke toegang bewaken | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1462 - Fysieke toegang bewaken | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1463 - Fysieke toegang bewaken | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Inbraakalarmen en bewakingsapparatuur
Id: NIST SP 800-53 Rev. 5 PE-6 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1464 - Fysieke toegang bewaken | Inbraakalarmen / bewakingsapparatuur | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Fysieke toegang tot systemen bewaken
Id: NIST SP 800-53 Rev. 5 PE-6 (4) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1465 - Fysieke toegang bewaken | Fysieke toegang tot informatiesystemen bewaken | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Bezoekerstoegangsrecords
Id: NIST SP 800-53 Rev. 5 PE-8 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1466 - Bezoekerstoegangsrecords | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1467 - Bezoekerstoegangsrecords | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Geautomatiseerd recordonderhoud en -controle
Id: NIST SP 800-53 Rev. 5 PE-8 (1) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1468 - Bezoekerstoegangsrecords | Onderhoud van geautomatiseerde records/controleren | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Voedingsapparatuur en bekabeling
Id: NIST SP 800-53 Rev. 5 PE-9 Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1469 - Voedingsapparatuur en bekabeling | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Noodafsluiter
Id: NIST SP 800-53 Rev. 5 PE-10 Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1470 - Noodafsluiter | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1471 - Noodafsluiter | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1472 - Noodafsluiter | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Noodvoeding
Id: NIST SP 800-53 Rev. 5 PE-11 Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1473 - Noodvoeding | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Alternatieve voeding ??? Minimale operationele mogelijkheden
Id: NIST SP 800-53 Rev. 5 PE-11 (1) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1474 - Noodvoeding | Langetermijn alternatieve voeding - minimale operationele capaciteit | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Noodverlichting
Id: NIST SP 800-53 Rev. 5 PE-12 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1475 - Noodverlichting | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Brandbeveiliging
Id: NIST SP 800-53 Rev. 5 PE-13 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1476 - Brandbeveiliging | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Detectiesystemen ??? Automatische activering en melding
Id: NIST SP 800-53 Rev. 5 PE-13 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1477 - Brandbeveiliging | Detectieapparaten/systemen | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Onderdrukkingssystemen ??? Automatische activering en melding
Id: NIST SP 800-53 Rev. 5 PE-13 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1478 - Brandbeveiliging | Onderdrukkingsapparaten/systemen | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1479 - Brandbeveiliging | Automatische brandbestrijding | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Omgevingscontroles
Id: NIST SP 800-53 Rev. 5 PE-14 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1480 - Temperatuur- en vochtigheidsregelingen | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1481 - Temperatuur- en vochtigheidsregelingen | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Bewaking met waarschuwingen en meldingen
Id: NIST SP 800-53 Rev. 5 PE-14 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1482 - Temperatuur- en vochtigheidsregelaars | Bewaking met waarschuwingen/meldingen | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Bescherming tegen waterschade
Id: NIST SP 800-53 Rev. 5 PE-15 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1483 - Bescherming tegen waterschade | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Automatiseringsondersteuning
Id: NIST SP 800-53 Rev. 5 PE-15 (1) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1484 - Bescherming tegen waterschade | Automatiseringsondersteuning | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Levering en verwijdering
Id: NIST SP 800-53 Rev. 5 PE-16 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1485 - Levering en verwijdering | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Alternatieve werksite
Id: NIST SP 800-53 Rev. 5 PE-17 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1486 - Alternatieve werksite | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1487 - Alternatieve werksite | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
| Microsoft Managed Control 1488 - Alternatieve werksite | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Locatie van systeemonderdelen
Id: NIST SP 800-53 Rev. 5 PE-18 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1489 - Locatie van informatiesysteemonderdelen | Microsoft implementeert dit besturingselement voor fysieke beveiliging en bescherming van de omgeving | controleren | 1.0.0 |
Planning
Beleid en procedures
Id: NIST SP 800-53 Rev. 5 PL-1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1490 - Beleid en procedures voor het plannen van de beveiliging | Microsoft implementeert dit besturingselement voor een plan | controleren | 1.0.0 |
| Microsoft Managed Control 1491 - Beleid en procedures voor het plannen van de beveiliging | Microsoft implementeert dit besturingselement voor een plan | controleren | 1.0.0 |
Systeembeveiligings- en privacyplannen
Id: NIST SP 800-53 Rev. 5 PL-2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1492 - Systeembeveiligingsplan | Microsoft implementeert dit besturingselement voor een plan | controleren | 1.0.0 |
| Microsoft Managed Control 1493 - Systeembeveiligingsplan | Microsoft implementeert dit besturingselement voor een plan | controleren | 1.0.0 |
| Microsoft Managed Control 1494 - Systeembeveiligingsplan | Microsoft implementeert dit besturingselement voor een plan | controleren | 1.0.0 |
| Microsoft Managed Control 1495 - Systeembeveiligingsplan | Microsoft implementeert dit besturingselement voor een plan | controleren | 1.0.0 |
| Microsoft Managed Control 1496 - Systeembeveiligingsplan | Microsoft implementeert dit besturingselement voor een plan | controleren | 1.0.0 |
| Microsoft Managed Control 1497 - Systeembeveiligingsplan | Plannen/coördineren met andere organisatie-entiteiten | Microsoft implementeert dit besturingselement voor een plan | controleren | 1.0.0 |
Gedragsregels
Id: NIST SP 800-53 Rev. 5 PL-4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1498 - Gedragsregels | Microsoft implementeert dit besturingselement voor een plan | controleren | 1.0.0 |
| Microsoft Managed Control 1499 - Gedragsregels | Microsoft implementeert dit besturingselement voor een plan | controleren | 1.0.0 |
| Microsoft Managed Control 1500 - Gedragsregels | Microsoft implementeert dit besturingselement voor een plan | controleren | 1.0.0 |
| Microsoft Managed Control 1501 - Gedragsregels | Microsoft implementeert dit besturingselement voor een plan | controleren | 1.0.0 |
Gebruiksbeperkingen voor sociale media en externe sites/toepassingen
Id: NIST SP 800-53 Rev. 5 PL-4 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1502 - Gedragsregels | Beperkingen voor sociale media en netwerken | Microsoft implementeert dit besturingselement voor een plan | controleren | 1.0.0 |
Beveiligings- en privacyarchitecturen
Id: NIST SP 800-53 Rev. 5 PL-8 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1503 - Informatiebeveiligingsarchitectuur | Microsoft implementeert dit besturingselement voor een plan | controleren | 1.0.0 |
| Microsoft Managed Control 1504 - Informatiebeveiligingsarchitectuur | Microsoft implementeert dit besturingselement voor een plan | controleren | 1.0.0 |
| Microsoft Managed Control 1505 - Informatiebeveiligingsarchitectuur | Microsoft implementeert dit besturingselement voor een plan | controleren | 1.0.0 |
Personeelsbeveiliging
Beleid en procedures
Id: NIST SP 800-53 Rev. 5 PS-1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1506 - Beleid en procedures voor personeelsbeveiliging | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1507 - Beleid en procedures voor personeelsbeveiliging | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
Positierisico-aanduiding
Id: NIST SP 800-53 Rev. 5 PS-2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1508 - Positiecategorisatie | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1509 - Positiecategorisatie | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1510 - Positiecategorisatie | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
Screening van personeel
Id: NIST SP 800-53 Rev. 5 PS-3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1511 - Screening van personeel | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1512 - Screening van personeel | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
Informatie die speciale beschermende maatregelen vereist
Id: NIST SP 800-53 Rev. 5 PS-3 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1513 - Screening van personeel | Informatie met speciale beschermingsmaatregelen | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1514 - Screening van personeel | Informatie met speciale beschermingsmaatregelen | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
Beëindiging van personeel
Id: NIST SP 800-53 Rev. 5 PS-4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1515 - Beëindiging van personeel | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1516 - Beëindiging van personeel | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1517 - Beëindiging van personeel | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1518 - Beëindiging van personeel | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1519 - Beëindiging van personeel | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1520 - Beëindiging van personeel | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
Geautomatiseerde acties
Id: NIST SP 800-53 Rev. 5 PS-4 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1521 - Beëindiging van personeel | Automatische melding | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
Overplaatsing van personeel
Id: NIST SP 800-53 Rev. 5 PS-5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1522 - Overplaatsing van personeel | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1523 - Overplaatsing van personeel | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1524 - Overplaatsing van personeel | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1525 - Overplaatsing van personeel | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
Toegangsovereenkomsten
Id: NIST SP 800-53 Rev. 5 PS-6 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1526 - Toegangsovereenkomsten | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1527 - Toegangsovereenkomsten | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1528 - Toegangsovereenkomsten | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
Beveiliging van extern personeel
Id: NIST SP 800-53 Rev. 5 PS-7 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1529 - Externe personeelsbeveiliging | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1530 - Externe personeelsbeveiliging | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1531 - Externe personeelsbeveiliging | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1532 - Externe personeelsbeveiliging | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1533 - Externe personeelsbeveiliging | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
Personeelssancties
Id: NIST SP 800-53 Rev. 5 PS-8 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1534 - Personeelssancties | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1535 - Personeelssancties | Microsoft implementeert dit besturingselement voor personeelsbeveiliging | controleren | 1.0.0 |
Risicobeoordeling
Beleid en procedures
Id: NIST SP 800-53 Rev. 5 RA-1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1536 - Beleid en procedures voor risico-evaluatie | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
| Microsoft Managed Control 1537 - Beleid en procedures voor risico-evaluatie | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
Categorisatie van beveiliging
Id: NIST SP 800-53 Rev. 5 RA-2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1538 - Categorisatie van beveiliging | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
| Microsoft Managed Control 1539 - Categorisatie van beveiliging | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
| Microsoft Managed Control 1540 - Categorisatie van beveiliging | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
Risicobeoordeling
Id: NIST SP 800-53 Rev. 5 RA-3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1541 - Risico-evaluatie | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
| Microsoft Managed Control 1542 - Risico-evaluatie | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
| Microsoft Managed Control 1543 - Risico-evaluatie | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
| Microsoft Managed Control 1544 - Risico-evaluatie | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
| Microsoft Managed Control 1545 - Risico-evaluatie | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
Bewaking en scannen van beveiligingsproblemen
Id: NIST SP 800-53 Rev. 5 RA-5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld | Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
| Microsoft Managed Control 1546 - Scannen op beveiligingsproblemen | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
| Microsoft Managed Control 1547 - Scannen op beveiligingsproblemen | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
| Microsoft Managed Control 1548 - Scannen op beveiligingsproblemen | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
| Microsoft Managed Control 1549 - Scannen op beveiligingsproblemen | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
| Microsoft Managed Control 1550 - Scannen op beveiligingsproblemen | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
| Microsoft Managed Control 1551 - Scannen op beveiligingsproblemen | Mogelijkheid van hulpprogramma's bijwerken | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
| SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost | Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases. | AuditIfNotExists, uitgeschakeld | 4.1.0 |
| SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost | Sql-evaluatie van beveiligingsproblemen scant uw database op beveiligingsproblemen en maakt eventuele afwijkingen van best practices beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpen | Beveiligingsproblemen in de beveiligingsconfiguratie op computers waarop Docker is geïnstalleerd, controleren en als aanbevelingen weergeven in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld | Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteld | Controleer op beveiligingsproblemen van besturingssystemen op uw virtuele-machineschaalsets om de schaalsets te beveiligen tegen aanvallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance | Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers | Controleer Azure SQL-servers waarvoor de evaluatie van beveiligingsproblemen niet juist is geconfigureerd. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor uw Synapse-werkruimten | Detecteer, traceer en herstel potentiële beveiligingsproblemen door terugkerende SQL-evaluatie van beveiligingsproblemen te configureren in uw Synapse-werkruimten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Beveiligingsproblemen bijwerken om te worden gescand
Id: NIST SP 800-53 Rev. 5 RA-5 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1552 - Scannen op beveiligingsproblemen | Bijwerken op frequentie/vóór nieuwe scan/wanneer geïdentificeerd | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
Breedte en diepte van dekking
Id: NIST SP 800-53 Rev. 5 RA-5 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1553 - Scannen op beveiligingsproblemen | Breedte/diepte van dekking | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
Detecteerbare informatie
Id: NIST SP 800-53 Rev. 5 RA-5 (4) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1554 - Scannen op beveiligingsproblemen | Detecteerbare informatie | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
Bevoegde toegang
Id: NIST SP 800-53 Rev. 5 RA-5 (5) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1555 - Scannen op beveiligingsproblemen | Bevoegde toegang | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
Geautomatiseerde trendanalyses
Id: NIST SP 800-53 Rev. 5 RA-5 (6) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1556 - Scannen op beveiligingsproblemen | Geautomatiseerde trendanalyses | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
Historische auditlogboeken controleren
Id: NIST SP 800-53 Rev. 5 RA-5 (8) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1557 - Scannen op beveiligingsproblemen | Historische auditlogboeken controleren | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
Scangegevens correleren
Id: NIST SP 800-53 Rev. 5 RA-5 (10) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1558 - Scannen op beveiligingsproblemen | Scangegevens correleren | Microsoft implementeert dit besturingselement voor risico-evaluatie | controleren | 1.0.0 |
Systeem- en servicesovername
Beleid en procedures
Id: NIST SP 800-53 Rev. 5 SA-1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1559 - Beleid en procedures voor systeem- en servicesovername | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1560 - Beleid en procedures voor systeem- en servicesovername | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Toewijzing van resources
Id: NIST SP 800-53 Rev. 5 SA-2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1561 - Toewijzing van resources | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1562 - Toewijzing van resources | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1563 - Toewijzing van resources | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Levenscyclus van systeemontwikkeling
Id: NIST SP 800-53 Rev. 5 SA-3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1564 - Levenscyclus van systeemontwikkeling | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1565 - Levenscyclus van systeemontwikkeling | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1566 - Levenscyclus van systeemontwikkeling | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1567 - Levenscyclus van systeemontwikkeling | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Overnameproces
Id: NIST SP 800-53 Rev. 5 SA-4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1568 - Overnameproces | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1569 - Overnameproces | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1570 - Overnameproces | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1571 - Overnameproces | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1572 - Overnameproces | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1573 - Overnameproces | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1574 - Overnameproces | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Functionele eigenschappen van besturingselementen
Id: NIST SP 800-53 Rev. 5 SA-4 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1575 - Overnameproces | Functionele eigenschappen van beveiligingscontroles | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Ontwerp- en implementatiegegevens voor besturingselementen
Id: NIST SP 800-53 Rev. 5 SA-4 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1576 - Overnameproces | Ontwerp-/implementatiegegevens voor beveiligingscontroles | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Plan voor continue bewaking voor besturingselementen
Id: NIST SP 800-53 Rev. 5 SA-4 (8) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1577 - Overnameproces | Plan voor continue bewaking | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Functies, poorten, protocollen en services die in gebruik zijn
Id: NIST SP 800-53 Rev. 5 SA-4 (9) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1578 - Overnameproces | Functies/poorten/protocollen/services die in gebruik zijn | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Gebruik van goedgekeurde PIV-producten
Id: NIST SP 800-53 Rev. 5 SA-4 (10) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1579 - Overnameproces | Gebruik van goedgekeurde Piv-producten | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Systeemdocumentatie
Id: NIST SP 800-53 Rev. 5 SA-5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1580 - Documentatie over informatiesysteem | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1581 - Documentatie over informatiesysteem | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1582 - Documentatie over informatiesysteem | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1583 - Documentatie over informatiesysteem | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1584 - Documentatie over informatiesysteem | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Principes voor beveiliging en privacy-engineering
Id: NIST SP 800-53 Rev. 5 SA-8 Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1585 - Principes van beveiligingsengineering | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Externe systeemservices
Id: NIST SP 800-53 Rev. 5 SA-9 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1586 - Externe informatiesysteemservices | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1587 - Externe informatiesysteemservices | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1588 - Externe informatiesysteemservices | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Risicobeoordelingen en organisatie-Goedkeuringen
Id: NIST SP 800-53 Rev. 5 SA-9 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1589 - Externe informatiesysteemservices | Risicobeoordelingen /organisatie-Goedkeuringen | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1590 - Externe informatiesysteemservices | Risicobeoordelingen /organisatie-Goedkeuringen | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Identificatie van functies, poorten, protocollen en services
Id: NIST SP 800-53 Rev. 5 SA-9 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1591 - Externe informatiesysteemservices | Identificatie van functies/poorten/protocollen... | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Consistente belangen van consumenten en providers
Id: NIST SP 800-53 Rev. 5 SA-9 (4) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1592 - Externe informatiesysteemservices | Consistente belangen van consumenten en providers | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Verwerkings-, opslag- en servicelocatie
Id: NIST SP 800-53 Rev. 5 SA-9 (5) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1593 - Externe informatiesysteemservices | Verwerkings-, opslag- en servicelocatie | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Configuratiebeheer voor ontwikkelaars
Id: NIST SP 800-53 Rev. 5 SA-10 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1594 - Configuratiebeheer voor ontwikkelaars | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1595 - Configuratiebeheer voor ontwikkelaars | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1596 - Configuratiebeheer voor ontwikkelaars | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1597 - Configuratiebeheer voor ontwikkelaars | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1598 - Configuratiebeheer voor ontwikkelaars | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Verificatie van software- en firmware-integriteit
Id: NIST SP 800-53 Rev. 5 SA-10 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1599 - Configuratiebeheer voor ontwikkelaars | Verificatie van software-/firmware-integriteit | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Testen en evalueren van ontwikkelaars
Id: NIST SP 800-53 Rev. 5 SA-11 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1600 - Beveiliging testen en evalueren voor ontwikkelaars | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1601 - Beveiliging testen en evalueren voor ontwikkelaars | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1602 - Beveiliging testen en evalueren voor ontwikkelaars | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1603 - Beveiliging testen en evalueren voor ontwikkelaars | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1604 - Beveiliging testen en evalueren voor ontwikkelaars | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Analyse van statische code
Id: NIST SP 800-53 Rev. 5 SA-11 (1) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1605 - Beveiligingstests en -evaluatie voor ontwikkelaars | Analyse van statische code | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Analyse van bedreigingsmodellering en beveiligingsproblemen
Id: NIST SP 800-53 Rev. 5 SA-11 (2) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1606 - Beveiligingstests en -evaluatie voor ontwikkelaars | Analyses van bedreigingen en beveiligingsproblemen | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Analyse van dynamische code
Id: NIST SP 800-53 Rev. 5 SA-11 (8) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1607 - Beveiligingstests en -evaluatie voor ontwikkelaars | Analyse van dynamische code | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Proces, standaarden en hulpprogramma's voor ontwikkeling
Id: NIST SP 800-53 Rev. 5 SA-15 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1609 - Proces, standaarden en hulpprogramma's voor ontwikkeling | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1610 - Proces, standaarden en hulpprogramma's voor ontwikkeling | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Training voor ontwikkelaars
Id: NIST SP 800-53 Rev. 5 SA-16 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1611 - Door de ontwikkelaar geboden training | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Architectuur en ontwerp voor beveiliging en privacy voor ontwikkelaars
Id: NIST SP 800-53 Rev. 5 SA-17 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1612 - Beveiligingsarchitectuur en -ontwerp voor ontwikkelaars | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1613 - Beveiligingsarchitectuur en -ontwerp voor ontwikkelaars | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
| Microsoft Managed Control 1614 - Beveiligingsarchitectuur en -ontwerp voor ontwikkelaars | Microsoft implementeert dit besturingselement voor systeem- en serviceovername | controleren | 1.0.0 |
Systeem- en communicatiebeveiliging
Beleid en procedures
Id: NIST SP 800-53 Rev. 5 SC-1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1615 - Beleid en procedures voor systeem- en communicatiebeveiliging | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1616 - Beleid en procedures voor systeem- en communicatiebeveiliging | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Scheiding van systeem- en gebruikersfunctionaliteit
Id: NIST SP 800-53 Rev. 5 SC-2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1617 - Partitionering van toepassingen | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Isolatie van beveiligingsfuncties
Id: NIST SP 800-53 Rev. 5 SC-3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| De Endpoint Protection-oplossing moet worden geïnstalleerd op virtuele-machineschaalsets | Controleer op de aanwezigheid en status van een oplossing voor eindpuntbeveiliging op virtuele-machineschaalsets, waarmee de schaalsets worden beschermd tegen bedreigingen en beveiligingsproblemen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft Managed Control 1618 - Isolatie van beveiligingsfuncties | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Ontbrekende eindpuntbeveiliging bewaken in Azure Security Center | Servers zonder geïnstalleerde agent voor eindpuntbeveiliging worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). | AuditIfNotExists, uitgeschakeld | 1.1.1 |
Informatie in gedeelde systeembronnen
Id: NIST SP 800-53 Rev. 5 SC-4 Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1619 - Informatie in gedeelde resources | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Denial-of-service Protection
Id: NIST SP 800-53 Rev. 5 SC-5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure DDoS Protection moet zijn ingeschakeld | DDoS-beveiliging moet zijn ingeschakeld voor alle virtuele netwerken met een subnet dat deel uitmaakt van een toepassingsgateway met een openbaar IP-adres. | AuditIfNotExists, uitgeschakeld | 3.0.1 |
| Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld | Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft Managed Control 1620 - Denial Of Service Protection | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Beschikbaarheid van resources
Id: NIST SP 800-53 Rev. 5 SC-6 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1621 - Beschikbaarheid van resources | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Grensbescherming
Id: NIST SP 800-53 Rev. 5 SC-7 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| API Management-services moeten een virtueel netwerk gebruiken | Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service te plaatsen in een niet-internetrouteerbaar netwerk waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Voor App Configuration moeten privékoppelingen worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. | Controle, uitgeschakeld | 2.0.0 |
| Azure AI Services-resources moeten netwerktoegang beperken | Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. | Controleren, Weigeren, Uitgeschakeld | 3.2.0 |
| Azure Cache voor Redis moet private link gebruiken | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt | Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure Cognitive Search-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Search-service beperken. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
| Azure Cosmos DB-accounts moeten firewallregels bevatten | Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Azure Data Factory moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
| Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
| Azure File Sync moet gebruikmaken van private link | Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor Azure Key Vault moet firewall zijn ingeschakeld | Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security | Controleren, Weigeren, Uitgeschakeld | 1.4.1 |
| Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Controle, uitgeschakeld | 1.0.0 |
| Azure Service Bus-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor Azure SignalR Service moet Private Link worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. | Controle, uitgeschakeld | 1.0.0 |
| Azure Synapse-werkruimten moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Controle, uitgeschakeld | 1.0.1 |
| Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Cognitive Services moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. | Controle, uitgeschakeld | 3.0.0 |
| Containerregisters mogen geen onbeperkte netwerktoegang toestaan | Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinkenhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Containerregisters moeten een privékoppeling gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. | Controle, uitgeschakeld | 1.0.1 |
| CosmosDB-accounts moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
| Resources voor schijftoegang moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Event Hub-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. | Controle, uitgeschakeld | 1.0.0 |
| Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld | Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beheerpoorten moeten gesloten zijn op uw virtuele machines | Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft Managed Control 1622 - Grensbescherming | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1623 - Grensbescherming | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1624 - Grensbescherming | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. | Controle, uitgeschakeld | 1.1.0 |
| Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld | Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Netwerktoegang tot opslagaccounts moet zijn beperkt | Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet | Controleren, Weigeren, Uitgeschakeld | 1.1.1 |
| Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken | Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Opslagaccounts moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep | Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Toegangspunten
Id: NIST SP 800-53 Rev. 5 SC-7 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| API Management-services moeten een virtueel netwerk gebruiken | Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service te plaatsen in een niet-internetrouteerbaar netwerk waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Voor App Configuration moeten privékoppelingen worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. | Controle, uitgeschakeld | 2.0.0 |
| Azure AI Services-resources moeten netwerktoegang beperken | Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. | Controleren, Weigeren, Uitgeschakeld | 3.2.0 |
| Azure Cache voor Redis moet private link gebruiken | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt | Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure Cognitive Search-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Search-service beperken. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
| Azure Cosmos DB-accounts moeten firewallregels bevatten | Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Azure Data Factory moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
| Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
| Azure File Sync moet gebruikmaken van private link | Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor Azure Key Vault moet firewall zijn ingeschakeld | Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security | Controleren, Weigeren, Uitgeschakeld | 1.4.1 |
| Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Controle, uitgeschakeld | 1.0.0 |
| Azure Service Bus-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor Azure SignalR Service moet Private Link worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. | Controle, uitgeschakeld | 1.0.0 |
| Azure Synapse-werkruimten moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Controle, uitgeschakeld | 1.0.1 |
| Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Cognitive Services moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. | Controle, uitgeschakeld | 3.0.0 |
| Containerregisters mogen geen onbeperkte netwerktoegang toestaan | Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinkenhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Containerregisters moeten een privékoppeling gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. | Controle, uitgeschakeld | 1.0.1 |
| CosmosDB-accounts moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
| Resources voor schijftoegang moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Event Hub-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. | Controle, uitgeschakeld | 1.0.0 |
| Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld | Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beheerpoorten moeten gesloten zijn op uw virtuele machines | Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft Managed Control 1625 - Grensbescherming | Toegangspunten | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. | Controle, uitgeschakeld | 1.1.0 |
| Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld | Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Netwerktoegang tot opslagaccounts moet zijn beperkt | Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet | Controleren, Weigeren, Uitgeschakeld | 1.1.1 |
| Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken | Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Opslagaccounts moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep | Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Externe telecommunicatieservices
Id: NIST SP 800-53 Rev. 5 SC-7 (4) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1626 - Grensbescherming | Externe telecommunicatieservices | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1627 - Grensbescherming | Externe telecommunicatieservices | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1628 - Grensbescherming | Externe telecommunicatieservices | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1629 - Grensbescherming | Externe telecommunicatieservices | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1630 - Grensbescherming | Externe telecommunicatieservices | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Standaard weigeren ??? Toestaan op uitzondering
Id: NIST SP 800-53 Rev. 5 SC-7 (5) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1155 - Systeemverbindingen | Beperkingen voor externe systeem-Verbinding maken ions | Microsoft implementeert dit besturingselement voor beveiligingsevaluatie en autorisatie | controleren | 1.0.0 |
| Microsoft Managed Control 1631 - Grensbescherming | Standaard weigeren/toestaan op uitzondering | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Split Tunneling voor externe apparaten
Id: NIST SP 800-53 Rev. 5 SC-7 (7) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1632 - Grensbescherming | Split Tunneling voorkomen voor externe apparaten | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Verkeer routeren naar geverifieerde proxyservers
Id: NIST SP 800-53 Rev. 5 SC-7 (8) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1633 - Grensbescherming | Verkeer routeren naar geverifieerde proxyservers | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Exfiltratie voorkomen
Id: NIST SP 800-53 Rev. 5 SC-7 (10) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1634 - Grensbescherming | Niet-geautoriseerde exfiltratie voorkomen | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Beveiliging op basis van host
Id: NIST SP 800-53 Rev. 5 SC-7 (12) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1635 - Grensbescherming | Beveiliging op basis van host | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Isolatie van beveiligingshulpprogramma's, mechanismen en ondersteuningsonderdelen
Id: NIST SP 800-53 Rev. 5 SC-7 (13) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1636 - Grensbescherming | Isolatie van beveiligingshulpprogramma's / mechanismen / ondersteuningsonderdelen | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Mislukt veilig
Id: NIST SP 800-53 Rev. 5 SC-7 (18) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1637 - Grensbescherming | Mislukt veilig | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Dynamische isolatie en scheiding
Id: NIST SP 800-53 Rev. 5 SC-7 (20) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1638 - Grensbescherming | Dynamische isolatie/scheiding | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Isolatie van systeemonderdelen
Id: NIST SP 800-53 Rev. 5 SC-7 (21) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1639 - Grensbescherming | Isolatie van informatiesysteemonderdelen | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Vertrouwelijkheid en integriteit van overdracht
Id: NIST SP 800-53 Rev. 5 SC-8 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| App Service-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 4.0.0 |
| App Service-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| App Service-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Azure HDInsight-clusters moeten versleuteling in transit gebruiken om communicatie tussen Azure HDInsight-clusterknooppunten te versleutelen | Er kan met gegevens worden geknoeid tijdens de overdracht tussen Azure HDInsight-clusterknooppunten. Het inschakelen van versleuteling in transit heeft betrekking op problemen met misbruik en manipulatie tijdens deze verzending. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers | Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
| SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers | Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
| Functie-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 5.0.0 |
| Functie-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Functie-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.1.0 |
| Microsoft Managed Control 1640 - Vertrouwelijkheid en integriteit van overdracht | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld | Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld | Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. | AuditIfNotExists, uitgeschakeld | 3.0.1 |
Cryptografische beveiliging
Id: NIST SP 800-53 Rev. 5 SC-8 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| App Service-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 4.0.0 |
| App Service-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| App Service-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Azure HDInsight-clusters moeten versleuteling in transit gebruiken om communicatie tussen Azure HDInsight-clusterknooppunten te versleutelen | Er kan met gegevens worden geknoeid tijdens de overdracht tussen Azure HDInsight-clusterknooppunten. Het inschakelen van versleuteling in transit heeft betrekking op problemen met misbruik en manipulatie tijdens deze verzending. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers | Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
| SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers | Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
| Functie-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 5.0.0 |
| Functie-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Functie-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.1.0 |
| Microsoft Managed Control 1641 - Vertrouwelijkheid en integriteit van verzending | Cryptografische of alternatieve fysieke beveiliging | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld | Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld | Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. | AuditIfNotExists, uitgeschakeld | 3.0.1 |
Netwerkverbinding verbreken
Id: NIST SP 800-53 Rev. 5 SC-10 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1642 - Netwerkverbinding verbreken | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Instelling en beheer van cryptografische sleutels
Id: NIST SP 800-53 Rev. 5 SC-12 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Azure Recovery Services-kluizen moeten door de klant beheerde sleutels gebruiken voor het versleutelen van back-upgegevens | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw back-upgegevens te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/AB-CmkEncryption. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: IoT Hub Device Provisioning Service-gegevens moeten worden versleuteld met behulp van door de klant beheerde sleutels (CMK) | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw IoT Hub-apparaatinrichtingsservice te beheren. De gegevens worden automatisch in rust versleuteld met door de service beheerde sleutels, maar cmk (door de klant beheerde sleutels) zijn doorgaans vereist om te voldoen aan regelgevingsnalevingsstandaarden. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. Zie voor meer informatie over CMK-versleuteling: https://aka.ms/dps/CMK. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| Azure Automation-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling at rest van uw Azure Automation-accounts te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/automation-cmk. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor het Azure Batch-account moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van gegevens | Gebruik door de klant beheerde sleutels om de versleuteling at rest van de gegevens van uw Batch-account te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/Batch-CMK. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Container Instance-containergroep moet een door de klant beheerde sleutel gebruiken voor versleuteling | Beveilig uw containers met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. | Controleren, uitgeschakeld, weigeren | 1.0.0 |
| Voor Azure Cosmos DB-accounts moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve Azure Cosmos DB te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/cosmosdb-cmk. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Azure Data Box-taken moeten een door de klant beheerde sleutel gebruiken om het wachtwoord voor ontgrendelen van het apparaat te versleutelen | Gebruik een door de klant beheerde sleutel om de versleuteling van het wachtwoord voor ontgrendeling van het apparaat voor Azure Data Box te beheren. Door de klant beheerde sleutels helpen u bij het beheren van de toegang tot het wachtwoord voor ontgrendeling van het apparaat door de Data Box-service om het apparaat voor te bereiden en gegevens geautomatiseerd te kopiëren. De gegevens op het apparaat zelf zijn al versleuteld met Advanced Encryption Standard 256-bits-versleuteling en het wachtwoord voor ontgrendeling van het apparaat wordt standaard versleuteld met een door Microsoft beheerde sleutel. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor Azure Data Explorer-versleuteling at-rest moet een door de klant beheerde sleutel worden gebruikt | Als u versleuteling at rest inschakelt waarbij gebruik wordt gemaakt van een door de klant beheerde sleutel in uw Azure Data Explorer-cluster, hebt u meer controle over de sleutel die wordt gebruikt door de versleuteling at rest. Deze functie is vaak van toepassing op klanten met speciale nalevingsvereisten, en vereist een sleutelkluis voor het beheren van de sleutels. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure-gegevensfactory's moeten worden versleuteld met een door de klant beheerde sleutel | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw Azure Data Factory te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/adf-cmk. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure HDInsight-clusters moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw Azure HDInsight-clusters te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/hdi.cmk. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure HDInsight-clusters moeten gebruikmaken van versleuteling op host om data-at-rest te versleutelen | Door versleuteling op host in te schakelen, kunt u uw gegevens beveiligen en beveiligen om te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Wanneer u versleuteling op de host inschakelt, worden gegevens die zijn opgeslagen op de VM-host in rust versleuteld en stromen versleuteld naar de Storage-service. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel | Versleuteling at rest van Azure Machine Learning-werkruimtegegevens beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/azureml-workspaces-cmk. | Controleren, Weigeren, Uitgeschakeld | 1.0.3 |
| Azure Monitor-logboekclusters moeten worden versleuteld met door de klant beheerde sleutel | Maak een Azure Monitor-logboekcluster met versleuteling van door de klant beheerde sleutels. Standaard worden de logboekgegevens versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan naleving van regelgeving. Door de klant beheerde sleutel in Azure Monitor biedt u meer controle over de toegang tot uw gegevens, zie https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Voor Azure Stream Analytics-taken moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van gegevens | Gebruik door de klant beheerde sleutels wanneer u metagegevens en persoonlijke gegevensassets van uw Stream Analytics-taken veilig wilt opslaan in uw opslagaccount. Hiermee hebt u volledige controle over hoe uw Stream Analytics-gegevens worden versleuteld. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Voor Azure Synapse-werkruimten moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | Gebruik door de klant beheerde sleutels om de versleuteling 'at rest' van de opgeslagen gegevens in Azure Synapse-werkruimten te beheren. Door de klant beheerde sleutels bieden dubbele versleuteling door een tweede laag versleuteling toe te voegen boven op de standaard versleuteling met door service beheerde sleutels. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Bot Service moet worden versleuteld met een door de klant beheerde sleutel | Azure Bot Service versleutelt uw resource automatisch om uw gegevens te beschermen en te voldoen aan de beveiligings- en nalevingsverplichtingen van de organisatie. Standaard worden door Microsoft beheerde versleutelingssleutels gebruikt. Voor meer flexibiliteit bij het beheren van sleutels of het beheren van de toegang tot uw abonnement, selecteert u door de klant beheerde sleutels, ook wel bring your own key (BYOK) genoemd. Meer informatie over Azure Bot Service-versleuteling: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | Het versleutelen van besturingssysteem- en gegevensschijven met door de klant beheerde sleutels biedt meer controle en flexibiliteit in sleutelbeheer. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Cognitive Services-accounts moeten gegevensversleuteling inschakelen met een door de klant beheerde sleutel | Door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens die zijn opgeslagen in Cognitive Services worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie over door de klant beheerde sleutels vindt u op https://go.microsoft.com/fwlink/?linkid=2121321. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel | Gebruik door de klant beheerde sleutels voor het beheren van de versleuteling van de rest van de inhoud van uw registers. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/acr/CMK. | Controleren, Weigeren, Uitgeschakeld | 1.1.2 |
| Event Hub-naamruimten moeten een door de klant beheerde sleutel gebruiken voor versleuteling | Azure Event Hubs ondersteunt de optie om data-at-rest te versleutelen met door Microsoft beheerde sleutels (standaard) of door de klant beheerde sleutels. Als u ervoor kiest om gegevens te versleutelen met door de klant beheerde sleutels, kunt u de toegang tot de sleutels die Event Hub gebruikt voor het versleutelen van gegevens in uw naamruimte toewijzen, draaien, uitschakelen en intrekken. Event Hub ondersteunt alleen versleuteling met door de klant beheerde sleutels voor naamruimten in toegewezen clusters. | Controle, uitgeschakeld | 1.0.0 |
| Logic Apps Integration Service Environment moet worden versleuteld met door de klant beheerde sleutels | Implementeer in Integration Service Environment om versleuteling at rest van Logic Apps-gegevens te beheren met behulp van door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Beheerde schijven moeten dubbel worden versleuteld met zowel door het platform beheerde als door de klant beheerde sleutels | Hoge beveiligingsgevoelige klanten die zich zorgen maken over het risico dat gepaard gaat met een bepaald versleutelingsalgoritmen, implementatie of sleutel dat wordt aangetast, kunnen kiezen voor extra versleutelingslaag met behulp van een ander versleutelingsalgoritmen/-modus op de infrastructuurlaag met behulp van door platform beheerde versleutelingssleutels. De schijfversleutelingssets zijn vereist voor het gebruik van dubbele versleuteling. Meer informatie op https://aka.ms/disks-doubleEncryption. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Microsoft Managed Control 1643 - Instelling en beheer van cryptografische sleutels | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Besturingssysteem- en gegevensschijven moeten worden versleuteld met een door de klant beheerde sleutel | Gebruik door de klant beheerde sleutels om de versleuteling in rust van de inhoud van uw beheerde schijven te beheren. Standaard worden de gegevens in rust versleuteld met door het platform beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan wettelijke nalevingsstandaarden. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/disks-cmk. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
| Opgeslagen query's in Azure Monitor moeten worden opgeslagen in het opslagaccount van de klant voor versleuteling van logboeken | Koppel het opslagaccount aan de Log Analytics-werkruimte om opgeslagen query's te beveiligen met opslagaccountversleuteling. Door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan naleving van regelgeving en voor meer controle over de toegang tot uw opgeslagen query's in Azure Monitor. Zie voor meer informatie over het bovenstaande https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Service Bus Premium-naamruimten moeten een door de klant beheerde sleutel gebruiken voor versleuteling | Azure Service Bus ondersteunt de optie voor het versleutelen van data-at-rest met door Microsoft beheerde sleutels (standaard) of door de klant beheerde sleutels. Als u gegevens wilt versleutelen met door de klant beheerde sleutels, kunt u de toegang tot de sleutels die Service Bus gebruikt voor het versleutelen van gegevens in uw naamruimte toewijzen, draaien, uitschakelen en intrekken. Service Bus ondersteunt alleen versleuteling met door de klant beheerde sleutels voor Premium-naamruimten. | Controle, uitgeschakeld | 1.0.0 |
| Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
| Versleutelingsbereiken van opslagaccounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling in rust van de versleutelingsbereiken van uw opslagaccount te beheren. Door de klant beheerde sleutels maken het mogelijk om de gegevens te versleutelen met een Azure-sleutelkluissleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie over versleutelingsbereiken voor opslagaccounts vindt u op https://aka.ms/encryption-scopes-overview. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten door de klant beheerde sleutel gebruiken voor versleuteling | Beveilig uw blob- en bestandsopslagaccount met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. | Controle, uitgeschakeld | 1.0.3 |
Beschikbaarheid
Id: NIST SP 800-53 Rev. 5 SC-12 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1644 - Instelling en beheer van cryptografische sleutels | Beschikbaarheid | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Symmetrische sleutels
Id: NIST SP 800-53 Rev. 5 SC-12 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1645 - Instelling en beheer van cryptografische sleutels | Symmetrische sleutels | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Asymmetrische sleutels
Id: NIST SP 800-53 Rev. 5 SC-12 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1646 - Instelling en beheer van cryptografische sleutels | Asymmetrische sleutels | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Cryptografische beveiliging
Id: NIST SP 800-53 Rev. 5 SC-13 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1647 - Gebruik van cryptografie | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Collaborative Computing-apparaten en -toepassingen
Id: NIST SP 800-53 Rev. 5 SC-15 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1648 - Samenwerkende computers | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1649 - Samenwerkende computers | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
PKI-certificaten (Public Key Infrastructure)
Id: NIST SP 800-53 Rev. 5 SC-17 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1650 - PKI-certificaten (Public Key Infrastructure) | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Mobiele code
Id: NIST SP 800-53 Rev. 5 SC-18 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1651 - Mobiele code | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1652 - Mobiele code | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1653 - Mobiele code | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Secure Name/Address Resolution Service (gezaghebbende bron)
Id: NIST SP 800-53 Rev. 5 SC-20 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1656 - Service voor veilige naam-/adresomzetting (gemachtigde bron) | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1657 - Service voor veilige naam-/adresomzetting (gemachtigde bron) | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Secure Name/Address Resolution Service (recursieve of caching resolver)
Id: NIST SP 800-53 Rev. 5 SC-21 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1658 - Service voor veilige naam-/adresomzetting (recursieve of cache-omzetter) | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Architectuur en inrichting voor naam-/adresomzettingsservice
Id: NIST SP 800-53 Rev. 5 SC-22 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1659 - Architectuur en inrichting voor service voor naam-/adresomzetting | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Sessie-echtheid
Id: NIST SP 800-53 Rev. 5 SC-23 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1660 - Sessie-echtheid | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Sessie-id's bij afmelden ongeldig maken
Id: NIST SP 800-53 Rev. 5 SC-23 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1661 - Sessie-echtheid | Sessie-id's bij afmelden ongeldig maken | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Laten mislukken in bekende status
Id: NIST SP 800-53 Rev. 5 SC-24 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1662 - Laten mislukken in bekende status | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Beveiliging van data-at-rest
Id: NIST SP 800-53 Rev. 5 SC-28 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Voor App Service Environment moet interne versleuteling zijn ingeschakeld | Als u InternalEncryption instelt op true, worden het paginabestand, werkschijven en intern netwerkverkeer tussen de front-ends en werkrollen in een App Service-omgeving versleuteld. Raadpleeg voor https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptionmeer informatie. | Controle, uitgeschakeld | 1.0.1 |
| Automation-accountvariabelen moeten worden versleuteld | Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevens | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Voor Azure Data Box-taken moet dubbele versleuteling zijn ingeschakeld voor data-at-rest op het apparaat | Schakel een tweede laag van op software gebaseerde versleuteling in voor data-at-rest op het apparaat. Het apparaat is al beveiligd via Advanced Encryption Standard 256-bits-versleuteling voor data-at-rest. Met deze optie wordt een tweede laag van gegevensversleuteling toegevoegd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Monitor-logboekclusters moeten worden gemaakt met infrastructuurversleuteling ingeschakeld (dubbele versleuteling) | Gebruik een toegewezen Azure Monitor-cluster om ervoor te zorgen dat beveiligde gegevensversleuteling is ingeschakeld op serviceniveau en het infrastructuurniveau met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels. Deze optie is standaard ingeschakeld wanneer deze wordt ondersteund in de regio, zie https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Azure Stack Edge-apparaten moeten gebruikmaken van dubbele versleuteling | Als u de data-at-rest op het apparaat wilt beveiligen, zorgt u ervoor dat het apparaat dubbel is versleuteld, dat de toegang tot gegevens wordt beheerd, en dat de gegevens veilig zijn gewist op de gegevensschijven zodra het apparaat is gedeactiveerd. Dubbele versleuteling is het gebruik van twee versleutelingslagen: BitLocker XTS-AES 256-bits versleuteling op de gegevensvolumes en ingebouwde versleuteling van de harde schijven. Meer informatie vindt u in de documentatie met het beveiligingsoverzicht voor het specifieke Stack Edge-apparaat. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Schijfversleuteling moet zijn ingeschakeld voor Azure Data Explorer | Door schijfversleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Dubbele versleuteling moet zijn ingeschakeld voor Azure Data Explorer | Door dubbele versleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. Wanneer dubbele versleuteling is ingeschakeld, worden de gegevens in het opslagaccount tweemaal versleuteld, eenmaal op serviceniveau en eenmaal op infrastructuurniveau, met behulp van twee verschillende versleutelingsalgoritmes en twee verschillende sleutels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Microsoft Managed Control 1663 - Beveiliging van data-at-rest | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign | Service Fabric kent drie niveaus van beveiliging (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten en gebruikt hierbij een primair clustercertificaat. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekend | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Voor opslagaccounts moet versleuteling van infrastructuur zijn ingeschakeld | Schakel versleuteling van de infrastructuur in voor een hogere mate van zekerheid dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host | Ter verbetering van de gegevensbeveiliging moeten de gegevens die zijn opgeslagen op de VM-host (virtuele machine) van uw Azure Kubernetes Service-knooppunten, in rust worden versleuteld. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Transparent Data Encryption in SQL-databases moet zijn ingeschakeld | Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host | Gebruik versleuteling op de host om end-to-end-versleuteling op te halen voor uw virtuele machine en gegevens van de virtuele-machineschaalset. Versleuteling op host maakt versleuteling in rust mogelijk voor uw tijdelijke schijf- en besturingssysteem-/gegevensschijfcaches. Tijdelijke en tijdelijke besturingssysteemschijven worden versleuteld met door het platform beheerde sleutels wanneer versleuteling op de host is ingeschakeld. Caches van besturingssysteem/gegevensschijven worden in rust versleuteld met een door de klant beheerde of platformbeheerde sleutel, afhankelijk van het versleutelingstype dat op de schijf is geselecteerd. Meer informatie op https://aka.ms/vm-hbe. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen reken- en opslagresources versleutelen | Standaard worden het besturingssysteem en de gegevensschijven van een virtuele machine versleuteld at rest met behulp van door het platform beheerde sleutels. Tijdelijke schijven, gegevenscaches en gegevensstromen tussen berekening en opslag worden niet versleuteld. Negeer deze aanbeveling als: 1. met behulp van versleuteling op host of 2. versleuteling aan de serverzijde op Beheerde schijven voldoet aan uw beveiligingsvereisten. Meer informatie in: Versleuteling aan de serverzijde van Azure Disk Storage: https://aka.ms/disksse, Verschillende schijfversleutelingsaanbiedingen: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, uitgeschakeld | 2.0.3 |
Cryptografische beveiliging
Id: NIST SP 800-53 Rev. 5 SC-28 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Voor App Service Environment moet interne versleuteling zijn ingeschakeld | Als u InternalEncryption instelt op true, worden het paginabestand, werkschijven en intern netwerkverkeer tussen de front-ends en werkrollen in een App Service-omgeving versleuteld. Raadpleeg voor https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptionmeer informatie. | Controle, uitgeschakeld | 1.0.1 |
| Automation-accountvariabelen moeten worden versleuteld | Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevens | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Voor Azure Data Box-taken moet dubbele versleuteling zijn ingeschakeld voor data-at-rest op het apparaat | Schakel een tweede laag van op software gebaseerde versleuteling in voor data-at-rest op het apparaat. Het apparaat is al beveiligd via Advanced Encryption Standard 256-bits-versleuteling voor data-at-rest. Met deze optie wordt een tweede laag van gegevensversleuteling toegevoegd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Monitor-logboekclusters moeten worden gemaakt met infrastructuurversleuteling ingeschakeld (dubbele versleuteling) | Gebruik een toegewezen Azure Monitor-cluster om ervoor te zorgen dat beveiligde gegevensversleuteling is ingeschakeld op serviceniveau en het infrastructuurniveau met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels. Deze optie is standaard ingeschakeld wanneer deze wordt ondersteund in de regio, zie https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Azure Stack Edge-apparaten moeten gebruikmaken van dubbele versleuteling | Als u de data-at-rest op het apparaat wilt beveiligen, zorgt u ervoor dat het apparaat dubbel is versleuteld, dat de toegang tot gegevens wordt beheerd, en dat de gegevens veilig zijn gewist op de gegevensschijven zodra het apparaat is gedeactiveerd. Dubbele versleuteling is het gebruik van twee versleutelingslagen: BitLocker XTS-AES 256-bits versleuteling op de gegevensvolumes en ingebouwde versleuteling van de harde schijven. Meer informatie vindt u in de documentatie met het beveiligingsoverzicht voor het specifieke Stack Edge-apparaat. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Schijfversleuteling moet zijn ingeschakeld voor Azure Data Explorer | Door schijfversleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Dubbele versleuteling moet zijn ingeschakeld voor Azure Data Explorer | Door dubbele versleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. Wanneer dubbele versleuteling is ingeschakeld, worden de gegevens in het opslagaccount tweemaal versleuteld, eenmaal op serviceniveau en eenmaal op infrastructuurniveau, met behulp van twee verschillende versleutelingsalgoritmes en twee verschillende sleutels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Microsoft Managed Control 1437 - Mediatransport | Cryptografische beveiliging | Microsoft implementeert dit besturingselement voor mediabeveiliging | controleren | 1.0.0 |
| Microsoft Managed Control 1664 - Beveiliging van data-at-rest | Cryptografische beveiliging | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
| Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign | Service Fabric kent drie niveaus van beveiliging (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten en gebruikt hierbij een primair clustercertificaat. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekend | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Voor opslagaccounts moet versleuteling van infrastructuur zijn ingeschakeld | Schakel versleuteling van de infrastructuur in voor een hogere mate van zekerheid dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host | Ter verbetering van de gegevensbeveiliging moeten de gegevens die zijn opgeslagen op de VM-host (virtuele machine) van uw Azure Kubernetes Service-knooppunten, in rust worden versleuteld. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Transparent Data Encryption in SQL-databases moet zijn ingeschakeld | Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host | Gebruik versleuteling op de host om end-to-end-versleuteling op te halen voor uw virtuele machine en gegevens van de virtuele-machineschaalset. Versleuteling op host maakt versleuteling in rust mogelijk voor uw tijdelijke schijf- en besturingssysteem-/gegevensschijfcaches. Tijdelijke en tijdelijke besturingssysteemschijven worden versleuteld met door het platform beheerde sleutels wanneer versleuteling op de host is ingeschakeld. Caches van besturingssysteem/gegevensschijven worden in rust versleuteld met een door de klant beheerde of platformbeheerde sleutel, afhankelijk van het versleutelingstype dat op de schijf is geselecteerd. Meer informatie op https://aka.ms/vm-hbe. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen reken- en opslagresources versleutelen | Standaard worden het besturingssysteem en de gegevensschijven van een virtuele machine versleuteld at rest met behulp van door het platform beheerde sleutels. Tijdelijke schijven, gegevenscaches en gegevensstromen tussen berekening en opslag worden niet versleuteld. Negeer deze aanbeveling als: 1. met behulp van versleuteling op host of 2. versleuteling aan de serverzijde op Beheerde schijven voldoet aan uw beveiligingsvereisten. Meer informatie in: Versleuteling aan de serverzijde van Azure Disk Storage: https://aka.ms/disksse, Verschillende schijfversleutelingsaanbiedingen: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, uitgeschakeld | 2.0.3 |
Procesisolatie
Id: NIST SP 800-53 Rev. 5 SC-39 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1665 - Procesisolatie | Microsoft implementeert dit besturingselement voor systeem- en communicatiebeveiliging | controleren | 1.0.0 |
Systeem- en gegevensintegriteit
Beleid en procedures
Id: NIST SP 800-53 Rev. 5 SI-1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1666 - Beleid en procedures voor systeem- en gegevensintegriteit | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1667 - Beleid en procedures voor systeem- en gegevensintegriteit | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Foutherstel
Id: NIST SP 800-53 Rev. 5 SI-2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| App Service-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 4.0.0 |
| Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Functie-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 4.0.0 |
| Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | Voer een upgrade van uw Kubernetes-servicecluster uit naar een nieuwere Kubernetes-versie om het cluster te beschermen tegen bekende beveiligingsproblemen in de huidige Kubernetes-versie. Beveiligingsprobleem CVE-2019-9946 is opgelost in Kubernetes-versies 1.11.9+, 1.12.7+, 1.13.5+ en 1.14.0+ | Controle, uitgeschakeld | 1.0.2 |
| Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld | Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
| Microsoft Managed Control 1668 - Foutherstel | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1669 - Foutherstel | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1670 - Foutherstel | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1671 - Foutherstel | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost | Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases. | AuditIfNotExists, uitgeschakeld | 4.1.0 |
| Systeemupdates op virtuele-machineschaalsets moeten worden geïnstalleerd | Controleren of er systeembeveiligingsupdates of essentiële updates ontbreken die moeten worden geïnstalleerd om ervoor te zorgen dat uw virtuele-machineschaalsets voor Windows en Linux veilig zijn. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Systeemupdates moeten op uw computers worden geïnstalleerd | Ontbrekende beveiligingssysteemupdates op uw servers worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld | Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteld | Controleer op beveiligingsproblemen van besturingssystemen op uw virtuele-machineschaalsets om de schaalsets te beveiligen tegen aanvallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Automatische foutherstelstatus
Id: NIST SP 800-53 Rev. 5 SI-2 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1673 - Foutherstel | Automatische foutherstelstatus | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Tijd om fouten en benchmarks op te lossen voor corrigerende acties
Id: NIST SP 800-53 Rev. 5 SI-2 (3) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1674 - Foutherstel | Tijd om fouten/benchmarks voor corrigerende acties op te lossen | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1675 - Foutherstel | Tijd om fouten/benchmarks voor corrigerende acties op te lossen | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Eerdere versies van software en firmware verwijderen
Id: NIST SP 800-53 Rev. 5 SI-2 (6) Eigendom: Klant
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| App Service-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 4.0.0 |
| Functie-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 4.0.0 |
| Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | Voer een upgrade van uw Kubernetes-servicecluster uit naar een nieuwere Kubernetes-versie om het cluster te beschermen tegen bekende beveiligingsproblemen in de huidige Kubernetes-versie. Beveiligingsprobleem CVE-2019-9946 is opgelost in Kubernetes-versies 1.11.9+, 1.12.7+, 1.13.5+ en 1.14.0+ | Controle, uitgeschakeld | 1.0.2 |
Bescherming tegen schadelijke code
Id: NIST SP 800-53 Rev. 5 SI-3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| De Endpoint Protection-oplossing moet worden geïnstalleerd op virtuele-machineschaalsets | Controleer op de aanwezigheid en status van een oplossing voor eindpuntbeveiliging op virtuele-machineschaalsets, waarmee de schaalsets worden beschermd tegen bedreigingen en beveiligingsproblemen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft Managed Control 1676 - Bescherming tegen schadelijke code | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1677 - Bescherming tegen schadelijke code | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1678 - Bescherming tegen schadelijke code | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1679 - Bescherming tegen schadelijke code | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1681 - Bescherming tegen schadelijke code | Automatische updates | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1682 - Bescherming tegen schadelijke code | Detectie op basis van niet-teken | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Ontbrekende eindpuntbeveiliging bewaken in Azure Security Center | Servers zonder geïnstalleerde agent voor eindpuntbeveiliging worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). | AuditIfNotExists, uitgeschakeld | 1.1.1 |
Systeembewaking
Id: NIST SP 800-53 Rev. 5 SI-4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, uitgeschakeld | 4.0.1-preview |
| [Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| [Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| Automatisch inrichten van de Log Analytics-agent moet zijn ingeschakeld voor uw abonnement | Om te controleren op beveiligingsproblemen en bedreigingen verzamelt Azure Security Center gegevens van uw Azure-VM's. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens kopieert naar uw Log Analytics-werkruimte voor analyse. U wordt aangeraden automatische inrichting in te schakelen om de agent automatisch te implementeren op alle ondersteunde Azure-VM‘s en eventuele nieuwe virtuele machines die worden gemaakt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd | Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Log Analytics-agent moet zijn geïnstalleerd op uw virtuele machine voor Azure Security Center-bewaking | Met dit beleid controleert elke willekeurige virtuele Windows-/Linux-machine of de Log Analytics-agent niet is geïnstalleerd, wat Security Center gebruikt om op beveiligingsproblemen te reageren | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Log Analytics-agent moet worden geïnstalleerd op uw virtuele-machineschaalsets voor Azure Security Center-bewaking | Security Center verzamelt gegevens van uw Azure-VM's om te controleren op beveiligingsproblemen en bedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld | Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
| Microsoft Managed Control 1683 - Informatiesysteembewaking | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1684 - Informatiesysteembewaking | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1685 - Informatiesysteembewaking | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1686 - Informatiesysteembewaking | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1687 - Informatiesysteembewaking | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1688 - Informatiesysteembewaking | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1689 - Informatiesysteembewaking | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Network Watcher moet zijn ingeschakeld | Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit | De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Systeembrede inbraakdetectiesysteem
Id: NIST SP 800-53 Rev. 5 SI-4 (1) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1690 - Informatiesysteembewaking | Systeembrede inbraakdetectie | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Geautomatiseerde hulpprogramma's en mechanismen voor realtime analyse
Id: NIST SP 800-53 Rev. 5 SI-4 (2) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1691 - Informatiesysteembewaking | Geautomatiseerde hulpprogramma's voor realtime-analyse | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Binnenkomend en uitgaand communicatieverkeer
Id: NIST SP 800-53 Rev. 5 SI-4 (4) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1692 - Informatiesysteembewaking | Binnenkomend en uitgaand communicatieverkeer | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Door het systeem gegenereerde waarschuwingen
Id: NIST SP 800-53 Rev. 5 SI-4 (5) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1693 - Informatiesysteembewaking | Door het systeem gegenereerde waarschuwingen | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Afwijkingen in communicatieverkeer analyseren
Id: NIST SP 800-53 Rev. 5 SI-4 (11) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1694 - Informatiesysteembewaking | Afwijkingen in communicatieverkeer analyseren | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Geautomatiseerde door de organisatie gegenereerde waarschuwingen
Id: NIST SP 800-53 Rev. 5 SI-4 (12) Eigendom: Klant
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Draadloze inbraakdetectie
Id: NIST SP 800-53 Rev. 5 SI-4 (14) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1695 - Informatiesysteembewaking | Draadloze inbraakdetectie | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Bewakingsgegevens correleren
Id: NIST SP 800-53 Rev. 5 SI-4 (16) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1696 - Informatiesysteembewaking | Bewakingsgegevens correleren | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Verkeer analyseren en verborgen exfiltratie
Id: NIST SP 800-53 Rev. 5 SI-4 (18) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1697 - Informatiesysteembewaking | Verkeer analyseren /Covert Exfiltratie | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Risico voor individuen
Id: NIST SP 800-53 Rev. 5 SI-4 (19) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1698 - Informatiesysteembewaking | Individuen die een groter risico vormen | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Bevoegde gebruikers
Id: NIST SP 800-53 Rev. 5 SI-4 (20) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1699 - Informatiesysteembewaking | Bevoegde gebruikers | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Niet-geautoriseerde netwerkservices
Id: NIST SP 800-53 Rev. 5 SI-4 (22) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1700 - Informatiesysteembewaking | Niet-geautoriseerde netwerkservices | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Op host gebaseerde apparaten
Id: NIST SP 800-53 Rev. 5 SI-4 (23) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1701 - Informatiesysteembewaking | Op host gebaseerde apparaten | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Indicatoren van inbreuk
Id: NIST SP 800-53 Rev. 5 SI-4 (24) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1702 - Informatiesysteembewaking | Indicatoren van inbreuk | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Beveiligingswaarschuwingen, -advies en -instructies
Id: NIST SP 800-53 Rev. 5 SI-5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1703 - Beveiligingswaarschuwingen en -adviezen | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1704 - Beveiligingswaarschuwingen en -adviezen | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1705 - Beveiligingswaarschuwingen en advies | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1706 - Beveiligingswaarschuwingen en -adviezen | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Geautomatiseerde waarschuwingen en adviezen
Id: NIST SP 800-53 Rev. 5 SI-5 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1707 - Beveiligingswaarschuwingen en advies | Geautomatiseerde waarschuwingen en adviezen | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Verificatie van beveiligings- en privacyfuncties
Id: NIST SP 800-53 Rev. 5 SI-6 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1708 - Verificatie van beveiligingsfunctionaliteit | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1709 - Verificatie van beveiligingsfunctionaliteit | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1710 - Verificatie van beveiligingsfunctionaliteit | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1711 - Verificatie van beveiligingsfunctionaliteit | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Integriteit van software, firmware en informatie
Id: NIST SP 800-53 Rev. 5 SI-7 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1712 - Integriteit van software en informatie | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Integriteitscontroles
Id: NIST SP 800-53 Rev. 5 SI-7 (1) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1713 - Integriteit van software en informatie | Integriteitscontroles | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Geautomatiseerde meldingen van schendingen van integriteit
Id: NIST SP 800-53 Rev. 5 SI-7 (2) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1714 - Integriteit van software en informatie | Geautomatiseerde meldingen van schendingen van integriteit | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Geautomatiseerde reactie op schendingen van integriteit
Id: NIST SP 800-53 Rev. 5 SI-7 (5) Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1715 - Integriteit van software en informatie | Geautomatiseerde reactie op schendingen van integriteit | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Integratie van detectie en reactie
Id: NIST SP 800-53 Rev. 5 SI-7 (7) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1716 - Integriteit van software en informatie | Integratie van detectie en reactie | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Spambeveiliging
Id: NIST SP 800-53 Rev. 5 SI-8 Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1719 - Spambeveiliging | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1720 - Spambeveiliging | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Automatische updates
Id: NIST SP 800-53 Rev. 5 SI-8 (2) Eigendom: Microsoft
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1722 - Spambeveiliging | Automatische updates | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Gegevensinvoervalidatie
Id: NIST SP 800-53 Rev. 5 SI-10 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1723 - Gegevensinvoervalidatie | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Foutafhandeling
Id: NIST SP 800-53 Rev. 5 SI-11 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1724 - Foutafhandeling | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Microsoft Managed Control 1725 - Foutafhandeling | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Informatiebeheer en -retentie
Id: NIST SP 800-53 Rev. 5 SI-12 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1726 - Verwerking en retentie van gegevensuitvoer | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
Geheugenbeveiliging
Id: NIST SP 800-53 Rev. 5 SI-16 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Microsoft Managed Control 1727 - Geheugenbeveiliging | Microsoft implementeert dit besturingselement voor systeem- en gegevensintegriteit | controleren | 1.0.0 |
| Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). | AuditIfNotExists, uitgeschakeld | 1.1.1 |
Volgende stappen
Aanvullende artikelen over Azure Policy:
- Overzicht voor naleving van regelgeving.
- Bekijk de structuur van initiatiefdefinities.
- Bekijk andere voorbeelden op Voorbeelden van Azure Policy.
- Lees Informatie over de effecten van het beleid.
- Ontdek hoe u niet-compatibele resources kunt herstellen.