Definições de política interna do Azure Policy

Esta página é um índice de definições de política interna do Azure Policy.

O nome de cada definição interna é vinculado para a definição de política no portal do Azure. Use o link da coluna Origem para ver a origem no repositório GitHub do Azure Policy. Os internos são agrupados pela propriedade categoria nos metadados. Para ir para uma categoria específica, use Ctrl-F para o recurso de pesquisa do seu navegador.

API para FHIR

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
A API do Azure para FHIR deve usar uma chave gerenciada pelo cliente para criptografar dados inativos Use uma chave gerenciada pelo cliente para controlar a criptografia em repouso dos dados armazenados na API do Azure para FHIR quando esse for um requisito regulatório ou de conformidade. As chaves gerenciadas pelo cliente também fornecem criptografia dupla adicionando uma segunda camada de criptografia além do padrão um feito com chaves gerenciadas por serviço. auditar, Auditar, desabilitado, Desabilitado 1.1.0
A API do Azure para FHIR deve usar um link privado A API do Azure para FHIR deve ter, pelo menos, uma conexão de ponto de extremidade privado aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privado por meio de links privados. Para obter mais informações, visite: https://aka.ms/fhir-privatelink. Audit, desabilitado 1.0.0
CORS não deve permitir que todos os domínios acessem sua API para FHIR O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem sua API para FHIR. Para proteger sua API para FHIR, remova o acesso de todos os domínios e defina explicitamente os domínios com permissão para se conectar. auditar, Auditar, desabilitado, Desabilitado 1.1.0

Gerenciamento de API

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
As APIs do Gerenciamento de API devem usar apenas protocolos criptografados Para garantir a segurança dos dados em trânsito, as APIs devem estar disponíveis apenas por meio de protocolos criptografados, como HTTPS ou WSS. Evite usar protocolos inseguros, como HTTP ou WS. Auditoria, desabilitado, negação 2.0.2
As chamadas do Gerenciamento de API para back-ends de API devem ser autenticadas As chamadas do Gerenciamento de API para back-ends devem usar alguma forma de autenticação, seja por meio de certificados ou credenciais. Não se aplica aos back-ends do Service Fabric. Auditoria, desabilitado, negação 1.0.1
As chamadas do Gerenciamento de API para back-ends de API não devem ignorar a impressão digital do certificado ou a validação de nome Para melhorar a segurança da API, o Gerenciamento de API deve validar o certificado do servidor de back-end para todas as chamadas à API. Habilite a validação da impressão digital e do nome do certificado SSL. Auditoria, desabilitado, negação 1.0.2
O ponto de extremidade de gerenciamento direto do Gerenciamento de API não deve estar habilitado A API REST de gerenciamento direto no Gerenciamento de API do Azure ignora os mecanismos de controle de acesso, autorização e limitação baseados em função do Azure Resource Manager, aumentando assim a vulnerabilidade do serviço. Auditoria, desabilitado, negação 1.0.2
A versão mínima da API do Gerenciamento de API deve ser definida como 2019-12-01 ou superior Para evitar que os segredos do serviço sejam compartilhados com usuários somente leitura, a versão mínima da API deve ser definida como 2019-12-01 ou superior. Audit, Deny, desabilitado 1.0.1
Os valores secretos nomeados do Gerenciamento de API devem ser armazenados no Azure Key Vault Os valores nomeados são uma coleção global de pares de nome/valor em cada serviço do Gerenciamento de API. Os valores secretos podem ser armazenados como texto criptografado no Gerenciamento de API (segredos personalizados) ou referenciando segredos no Azure Key Vault. Para melhorar a segurança de Gerenciamento de API e segredos, faça referência a valores nomeados do segredo do Azure Key Vault. O Azure Key Vault dá suporte a políticas de rotação de segredo e gerenciamento de acesso granulares. Auditoria, desabilitado, negação 1.0.2
O serviço de Gerenciamento de API deve usar um SKU que dê suporte a redes virtuais Usando os SKUs compatíveis do Gerenciamento de API, a implantação do serviço em uma rede virtual desbloqueia recursos avançados de segurança e de rede do Gerenciamento de API, o que oferece maior controle sobre a configuração de segurança da rede. Saiba mais em: https://aka.ms/apimvnet. Audit, Deny, desabilitado 1.0.0
Os serviços do Gerenciamento de API devem usar uma rede virtual A implantação da Rede Virtual do Azure fornece isolamento e segurança aprimorada e permite que você coloque o serviço de Gerenciamento de API em uma rede roteável não ligada à Internet para a qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias de VPN, o que permite o acesso aos seus serviços de back-end na rede e/ou locais. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessados pela Internet ou somente na rede virtual. Audit, Deny, desabilitado 1.0.2
O Gerenciamento de APIs deve desabilitar o acesso à rede pública nos pontos de extremidade de configuração do serviço Para melhorar a segurança dos serviços de Gerenciamento de API, restrinja a conectividade com pontos de extremidade de configuração de serviço, como a API de gerenciamento de acesso direto, o ponto de extremidade de gerenciamento de configuração do Git ou o ponto de extremidade de configuração de gateways auto-hospedados. AuditIfNotExists, desabilitado 1.0.1
O Gerenciamento de API deve ter o nome de usuário e a autenticação de senha desabilitados Para proteger melhor o portal do desenvolvedor, o nome de usuário e a autenticação de senha no Gerenciamento de API devem ser desabilitados. Configure a autenticação do usuário por meio de provedores de identidade do Azure AD ou do Azure AD B2C e desabilite o nome de usuário padrão e a autenticação de senha. Audit, desabilitado 1.0.1
As assinaturas de Gerenciamento de API não devem ter escopo para todas as APIs As assinaturas do Gerenciamento de API devem ter escopo para um produto ou uma API individual em vez de todas as APIs, o que pode resultar em uma exposição excessiva de dados. Auditoria, desabilitado, negação 1.1.0
A versão da plataforma de Gerenciamento de API do Azure deve ser stv2 A versão da plataforma de computação STV1 do Gerenciamento de API do Azure será desativada a partir de 31 de agosto de 2024 e essas instâncias devem ser migradas para a plataforma de computação stv2 para suporte contínuo. Saiba mais em https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 Audit, Deny, desabilitado 1.0.0
Configure os serviços do Gerenciamento de API para desabilitar o acesso aos pontos de extremidade de configuração do serviço público do Gerenciamento de API Para melhorar a segurança dos serviços de Gerenciamento de API, restrinja a conectividade com pontos de extremidade de configuração de serviço, como a API de gerenciamento de acesso direto, o ponto de extremidade de gerenciamento de configuração do Git ou o ponto de extremidade de configuração de gateways auto-hospedados. DeployIfNotExists, desabilitado 1.1.0
Modifique o Gerenciamento de API para desabilitar a autenticação de nome de usuário e senha Para proteger melhor as contas de usuário do portal do desenvolvedor e suas credenciais, configure a autenticação do usuário por meio de provedores de identidade do Azure AD ou do Azure AD B2C e desabilite o nome de usuário padrão e a autenticação de senha. Modificar 1.1.0

Configuração de Aplicativos

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
A Configuração de Aplicativos deve desabilitar o acesso à rede pública A desabilitação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. Audit, Deny, desabilitado 1.0.0
A Configuração de Aplicativos deve usar uma chave gerenciada pelo cliente As chaves gerenciadas pelo cliente oferecem proteção de dados aprimorada permitindo que você gerencie suas chaves de criptografia. Isso geralmente é necessário para atender aos requisitos de conformidade. Audit, Deny, desabilitado 1.1.0
A Configuração de Aplicativos deve usar um SKU que dá suporte ao link privado Quando um SKU compatível é usado, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. Audit, Deny, desabilitado 1.0.0
A Configuração de Aplicativos deve usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando seus pontos de extremidade privados para suas instâncias de configuração de aplicativos, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, desabilitado 1.0.2
Os repositórios da Configuração de Aplicativos devem desabilitar os métodos de autenticação local A desabilitação dos métodos de autenticação local aprimora a segurança, garantindo que os repositórios de Configuração de Aplicativos exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2161954. Audit, Deny, desabilitado 1.0.1
Configurar repositórios de Configuração de Aplicativos para desabilitar os métodos de autenticação local Desabilite os métodos de autenticação local para que os repositórios de Configuração de Aplicativos exijam o Microsoft Entra para identidades exclusivamente para autenticação. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2161954. Modificar, Desabilitado 1.0.1
Configurar a Configuração de Aplicativos para desabilitar o acesso à rede pública Desabilite o acesso à rede pública para a Configuração de Aplicativos para que ela não possa ser acessada pela Internet pública. Essa configuração ajuda a protegê-los contra riscos de vazamento de dados. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. Modificar, Desabilitado 1.0.0
Configurar zonas DNS privadas para pontos de extremidade privados conectados à Configuração de Aplicativos Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada pode ser vinculada à sua rede virtual para resolver instâncias de configuração de aplicativos. Saiba mais em: https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, desabilitado 1.0.0
Configurar pontos de extremidade privados para a Configuração de Aplicativos Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias da configuração de aplicativos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, desabilitado 1.0.0

Plataforma de aplicativo

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: audite instâncias do Azure Spring Cloud nas quais o rastreamento distribuído não está habilitado As ferramentas de rastreamento distribuído do Azure Spring Cloud permitem a depuração e o monitoramento das interconexões complexas entre os microsserviços de um aplicativo. As ferramentas de rastreamento distribuído precisam estar habilitadas e em um estado íntegro. Audit, desabilitado 1.0.0 – versão prévia
O Azure Spring Cloud deve usar injeção de rede As instâncias do Azure Spring Cloud devem usar injeção de rede virtual para as seguintes finalidades: 1. Isole o Azure Spring Cloud da Internet. 2. Habilite a interação do Azure Spring Cloud com sistemas em data centers locais ou no serviço do Azure em outras redes virtuais. 3. Capacite os clientes a controlar comunicações de rede de entrada e saída para o Azure Spring Cloud. Auditoria, desabilitado, negação 1.2.0

Serviço de Aplicativo

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os slots de aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual Injetar Aplicativos do Serviço de Aplicativo em uma rede virtual desbloqueia os recursos avançados de segurança e rede do Serviço de Aplicativo e fornece maior controle em relação à configuração de segurança da rede. Saiba mais em: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Audit, Deny, desabilitado 1.0.0
Slots de aplicativo do Serviço de Aplicativo devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública melhora a segurança, garantindo que o Serviço de Aplicativo não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do Serviço de Aplicativo. Saiba mais em: https://aka.ms/app-service-private-endpoint. Auditoria, desabilitado, negação 1.0.0
Os slots de aplicativo do Serviço de Aplicativo devem habilitar o roteamento de configuração para a Rede Virtual do Azure Por padrão, a configuração do aplicativos, como efetuar pull de imagens de contêiner e montar o armazenamento de conteúdo, não será roteada por meio da integração de rede virtual regional. Usar a API para definir opções de roteamento como "true" permite o tráfego de configuração por meio da Rede Virtual do Azure. Essas configurações permitem que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados e os pontos de extremidade de serviço sejam privados. Para obter mais informações, visite https://aka.ms/appservice-vnet-configuration-routing. Audit, Deny, desabilitado 1.0.0
Os slots de aplicativo do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure Por padrão, se uma integração de VNET (Rede Virtual) do Azure regional for usada, o aplicativo só roteará o tráfego RFC1918 nessa respectiva rede virtual. O uso da API para definir 'vnetRouteAllEnabled' como verdadeiro habilita todo o tráfego de saída para a Rede Virtual do Azure. Essa configuração permite que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados para todo o tráfego de saída do aplicativo do Serviço de Aplicativo. Audit, Deny, desabilitado 1.0.0
Os slots de aplicativos do Serviço de Aplicativo devem ter os Certificados do Cliente (certificados recebidos de clientes) habilitados Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. AuditIfNotExists, desabilitado 1.0.0
Os slots do Serviço de Aplicativo do Azure devem ter métodos de autenticação local desabilitados para implantações de FTP Desabilitar os métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, desabilitado 1.0.3
Os slots do Serviço de Aplicativo do Azure devem ter métodos de autenticação local desabilitados para implantações de site SCM Desabilitar os métodos de autenticação local para sites SCM melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, desabilitado 1.0.4
Os slots de aplicativo do Serviço de Aplicativo devem ter a depuração remota desativada A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. AuditIfNotExists, desabilitado 1.0.1
Os slots de aplicativo do Serviço de Aplicativo devem ter logs de recursos habilitados Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. AuditIfNotExists, desabilitado 1.0.0
Os slots de aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. AuditIfNotExists, desabilitado 1.0.0
Os slots de aplicativo do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 2.0.0
Os slots de aplicativos do Serviço de Aplicativo devem requerer apenas FTPS Habilite a imposição de FTPS para reforçar a segurança. AuditIfNotExists, desabilitado 1.0.0
Os slots de aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo O diretório de conteúdo de um aplicativo deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivo devem ser fornecidas antes de atividades de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar o conteúdo do serviço de aplicativo, confira https://go.microsoft.com/fwlink/?linkid=2151594. Audit, desabilitado 1.0.0
Os slots de aplicativo do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desabilitado 1.0.0
Os slots de aplicativo do Serviço de Aplicativo devem usar a identidade gerenciada Usar uma identidade gerenciada para uma segurança de autenticação aprimorada AuditIfNotExists, desabilitado 1.0.0
Os slots de aplicativo do Serviço de Aplicativo devem usar a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. AuditIfNotExists, desabilitado 1.0.0
Os slots de aplicativos do Serviço de Aplicativo que usam Java devem usar uma 'versão do Java' especificada Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se o uso da versão mais recente do Java para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos. AuditIfNotExists, desabilitado 1.0.0
Os slots de aplicativos do Serviço de Aplicativo que usam PHP devem usar uma 'versão do PHP' especificada Periodicamente, versões mais recentes são lançadas para o software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do PHP para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do PHP que atenda aos seus requisitos. AuditIfNotExists, desabilitado 1.0.0
Os slots de aplicativos do Serviço de Aplicativo que utilizam Python devem usar uma 'versão do Python' especificada Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos. AuditIfNotExists, desabilitado 1.0.0
Os aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual Injetar Aplicativos do Serviço de Aplicativo em uma rede virtual desbloqueia os recursos avançados de segurança e rede do Serviço de Aplicativo e fornece maior controle em relação à configuração de segurança da rede. Saiba mais em: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Audit, Deny, desabilitado 3.0.0
Aplicativos do Serviço de Aplicativo devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública melhora a segurança, garantindo que o Serviço de Aplicativo não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do Serviço de Aplicativo. Saiba mais em: https://aka.ms/app-service-private-endpoint. Auditoria, desabilitado, negação 1.1.0
Os aplicativos do Serviço de Aplicativo devem habilitar o roteamento de configuração para a Rede Virtual do Azure Por padrão, a configuração do aplicativos, como efetuar pull de imagens de contêiner e montar o armazenamento de conteúdo, não será roteada por meio da integração de rede virtual regional. Usar a API para definir opções de roteamento como "true" permite o tráfego de configuração por meio da Rede Virtual do Azure. Essas configurações permitem que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados e os pontos de extremidade de serviço sejam privados. Para obter mais informações, visite https://aka.ms/appservice-vnet-configuration-routing. Audit, Deny, desabilitado 1.0.0
Os aplicativos do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure Por padrão, se uma integração de VNET (Rede Virtual) do Azure regional for usada, o aplicativo só roteará o tráfego RFC1918 nessa respectiva rede virtual. O uso da API para definir 'vnetRouteAllEnabled' como verdadeiro habilita todo o tráfego de saída para a Rede Virtual do Azure. Essa configuração permite que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados para todo o tráfego de saída do aplicativo do Serviço de Aplicativo. Audit, Deny, desabilitado 1.0.0
Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Web ou autenticar aqueles que possuem tokens antes de alcançarem o aplicativo Web. AuditIfNotExists, desabilitado 2.0.1
Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. AuditIfNotExists, desabilitado 1.0.0
Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de FTP Desabilitar os métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os Serviços de Aplicativos exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, desabilitado 1.0.3
O Serviço de Aplicativo do Azure deve ter métodos de autenticação local desabilitados para implantações de site SCM Desabilitar os métodos de autenticação local para sites SCM melhora a segurança, garantindo que os Serviços de Aplicativos exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, desabilitado 1.0.3
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. AuditIfNotExists, desabilitado 2.0.0
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. AuditIfNotExists, desabilitado 2.0.1
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. AuditIfNotExists, desabilitado 2.0.0
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 4.0.0
Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS Habilite a imposição de FTPS para reforçar a segurança. AuditIfNotExists, desabilitado 3.0.0
Os aplicativos do Serviço de Aplicativo devem usar um SKU que dê suporte a link privado Com um SKU compatível, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para os aplicativos, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/private-link. Audit, Deny, desabilitado 4.1.0
Os aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo O diretório de conteúdo de um aplicativo deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivo devem ser fornecidas antes de atividades de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar o conteúdo do serviço de aplicativo, confira https://go.microsoft.com/fwlink/?linkid=2151594. Audit, desabilitado 3.0.0
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desabilitado 4.0.0
Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada Usar uma identidade gerenciada para uma segurança de autenticação aprimorada AuditIfNotExists, desabilitado 3.0.0
Os aplicativos do Serviço de Aplicativo do Azure devem usar o link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Serviço de Aplicativo, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/private-link. AuditIfNotExists, desabilitado 1.0.1
Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. AuditIfNotExists, desabilitado 2.0.1
Os aplicativos do Serviço de Aplicativo que usam Java devem usar uma “versão do Java” especificada Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se o uso da versão mais recente do Java para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos. AuditIfNotExists, desabilitado 3.1.0
Os aplicativos do Serviço de Aplicativo que usam PHP devem usar uma “versão do PHP” especificada Periodicamente, versões mais recentes são lançadas para o software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do PHP para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do PHP que atenda aos seus requisitos. AuditIfNotExists, desabilitado 3.2.0
Os aplicativos do Serviço de Aplicativo que utilizam Python devem usar uma “versão do Python” especificada Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos. AuditIfNotExists, desabilitado 4.1.0
Os aplicativos do Ambiente do Serviço de Aplicativo não devem ser acessíveis pela Internet pública Para garantir que os aplicativos implantados em um Ambiente do Serviço de Aplicativo não sejam acessíveis pela Internet pública, é necessário implantar o Ambiente do Serviço de Aplicativo com um endereço IP na rede virtual. Para definir o endereço IP para um IP de rede virtual, o Ambiente do Serviço de Aplicativo deve ser implantado com um balanceador de carga interno. Audit, Deny, desabilitado 3.0.0
O Ambiente do Serviço de Aplicativo deve ser configurado com os conjuntos de codificação TLS mais fortes Os dois conjuntos de criptografia mais mínimos e mais fortes necessários para que o Ambiente do Serviço de Aplicativo funcione corretamente são: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Audit, desabilitado 1.0.0
O Ambiente do Serviço de Aplicativo deve ser provisionado com as versões mais recentes Permita que somente o Ambiente do Serviço de Aplicativo versão 2 ou 3 seja provisionado. As versões mais antigas do Ambiente do Serviço de Aplicativo exigem o gerenciamento manual de recursos do Azure e têm mais limitações de dimensionamento. Audit, Deny, desabilitado 1.0.0
O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada A definição de InternalEncryption como verdadeiro criptografa o arquivo de paginação, os discos de trabalho e o tráfego de rede interno entre os front-ends e os trabalhadores em um Ambiente do Serviço de Aplicativo. Para saber mais, veja https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, desabilitado 1.0.1
O Ambiente do Serviço de Aplicativo deve ter o TLS 1.0 e 1.1 desabilitado O TLS 1.0 e 1.1 são protocolos desatualizados que não dão suporte a algoritmos de criptografia modernos. A desabilitação do tráfego de entrada do TLS 1.0 e 1.1 ajuda a proteger os aplicativos de um Ambiente do Serviço de Aplicativo. Audit, Deny, desabilitado 2.0.1
Configurar slots do Serviço de Aplicativo do Azure para desabilitar a autenticação local para implantações de FTP Desabilitar os métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, desabilitado 1.0.3
Configurar slots do Serviço de Aplicativo do Azure para desabilitar a autenticação local para sites SCM Desabilitar os métodos de autenticação local para sites SCM melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, desabilitado 1.0.3
Configurar slots de aplicativo dos Serviços de Aplicativos para desabilitar o acesso à rede pública Desabilite o acesso à rede pública dos Serviços de Aplicativos para que não possam ser acessados pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. Modificar, Desabilitado 1.1.0
Configurar slots de aplicativo do Serviço de Aplicativo para que só fiquem acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Modificar, Desabilitado 2.0.0
Configurar slots de aplicativo do Serviço de Aplicativo para desligarem a depuração remota A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. DeployIfNotExists, desabilitado 1.1.0
Configurar slots de aplicativo do Serviço de Aplicativo para usarem a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. DeployIfNotExists, desabilitado 1.1.0
Configurar aplicativos do Serviço de Aplicativo do Azure para desabilitar a autenticação local para implantações de FTP Desabilitar os métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os Serviços de Aplicativos exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, desabilitado 1.0.3
Configurar aplicativos do Serviço de Aplicativo para desabilitar a autenticação local para sites SCMServiço de Aplicativo Desabilitar os métodos de autenticação local para sites SCM melhora a segurança, garantindo que os Serviços de Aplicativos exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, desabilitado 1.0.3
Configurar aplicativos dos Serviços de Aplicativos para desabilitar o acesso à rede pública Desabilite o acesso à rede pública dos Serviços de Aplicativos para que não possam ser acessados pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. Modificar, Desabilitado 1.1.0
Configurar aplicativos do Serviço de Aplicativo para que só fiquem acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Modificar, Desabilitado 2.0.0
Configurar os aplicativos do Serviço de Aplicativo para desligarem a depuração remota A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. DeployIfNotExists, desabilitado 1.0.0
Configurar aplicativos do Serviço de Aplicativo para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada vincula uma rede virtual a um Serviço de Aplicativo. Saiba mais em: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. DeployIfNotExists, desabilitado 1.0.1
Configurar os aplicativos do Serviço de Aplicativo para usarem a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. DeployIfNotExists, desabilitado 1.0.1
Configurar slots de aplicativo de funções para desabilitar o acesso à rede pública Desabilite o acesso à rede pública nos aplicativos de funções para que eles não possam ser acessados pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. Modificar, Desabilitado 1.1.0
Configurar os slots dos aplicativos de funções para que sejam acessíveis somente por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Modificar, Desabilitado 2.0.0
Configurar slots de aplicativo de funções para desligarem a depuração remota A depuração remota exige que as portas de entrada estejam abertas em um aplicativo de funções. A depuração remota deve ser desligada. DeployIfNotExists, desabilitado 1.1.0
Configurar slots de aplicativo de funções para usar a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. DeployIfNotExists, desabilitado 1.1.0
Configurar aplicativos de funções para desabilitar o acesso à rede pública Desabilite o acesso à rede pública nos aplicativos de funções para que eles não possam ser acessados pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. Modificar, Desabilitado 1.1.0
Configurar aplicativos de funções para serem acessíveis somente por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Modificar, Desabilitado 2.0.0
Configurar os aplicativos de funções para desligarem a depuração remota A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. DeployIfNotExists, desabilitado 1.0.0
Configurar aplicativos de funções para usar a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. DeployIfNotExists, desabilitado 1.0.1
Slots de aplicativo de funções devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o aplicativo de funções não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de um aplicativo de funções. Saiba mais em: https://aka.ms/app-service-private-endpoint. Auditoria, desabilitado, negação 1.0.0
Os slots de aplicativos de funções devem ter os Certificados do Cliente (certificados recebidos de clientes) habilitados Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. AuditIfNotExists, desabilitado 1.0.0
Os slots do aplicativo de funções devem ter a depuração remota desativada A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. AuditIfNotExists, desabilitado 1.0.0
Os slots de aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. AuditIfNotExists, desabilitado 1.0.0
Os slots de aplicativos de funções só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 2.0.0
Os slots de aplicativos de funções devem requerer apenas FTPS Habilite a imposição de FTPS para reforçar a segurança. AuditIfNotExists, desabilitado 1.0.0
Os slots de aplicativos de funções devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo O diretório de conteúdo de um aplicativo de funções deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivo devem ser fornecidas antes de atividades de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar o conteúdo do serviço de aplicativo, confira https://go.microsoft.com/fwlink/?linkid=2151594. Audit, desabilitado 1.0.0
Os slots do aplicativo de funções devem usar a 'Versão do HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desabilitado 1.0.0
Os slots do aplicativo de funções devem usar a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. AuditIfNotExists, desabilitado 1.0.0
Os slots de aplicativos de função que usam Java devem usar uma 'versão do Java' especificada Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Java para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos. AuditIfNotExists, desabilitado 1.0.0
Os slots do aplicativo de funções que usam Python devem usar uma 'versão do Python' especificada Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos. AuditIfNotExists, desabilitado 1.0.0
Aplicativos de funções devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o aplicativo de funções não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de um aplicativo de funções. Saiba mais em: https://aka.ms/app-service-private-endpoint. Auditoria, desabilitado, negação 1.0.0
Os aplicativos de funções devem ter a autenticação habilitada A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo de funções ou autenticar aqueles que possuem tokens antes de alcançarem o aplicativo de Funções. AuditIfNotExists, desabilitado 3.0.0
Os aplicativos de funções devem ter a opção Certificados do Cliente (Certificados do cliente de entrada) habilitada Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. AuditIfNotExists, desabilitado 1.0.0
Os Aplicativos de funções devem ter a depuração remota desativada A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. AuditIfNotExists, desabilitado 2.0.0
Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. AuditIfNotExists, desabilitado 2.0.0
Os aplicativos de funções só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 5.0.0
Os aplicativos de funções devem exigir apenas o FTPS Habilite a imposição de FTPS para reforçar a segurança. AuditIfNotExists, desabilitado 3.0.0
Os aplicativos de funções devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo O diretório de conteúdo de um aplicativo de funções deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivo devem ser fornecidas antes de atividades de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar o conteúdo do serviço de aplicativo, confira https://go.microsoft.com/fwlink/?linkid=2151594. Audit, desabilitado 3.0.0
Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. AuditIfNotExists, desabilitado 4.0.0
Os aplicativos de funções devem usar a identidade gerenciada Usar uma identidade gerenciada para uma segurança de autenticação aprimorada AuditIfNotExists, desabilitado 3.0.0
Os aplicativos de funções devem usar a versão mais recente do TLS Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. AuditIfNotExists, desabilitado 2.0.1
Os aplicativos de função que usam Java devem usar uma “versão do Java” especificada Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Java para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos. AuditIfNotExists, desabilitado 3.1.0
Os aplicativo de funções que usam Python devem usar uma “versão do Python” especificada Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos. AuditIfNotExists, desabilitado 4.1.0

Atestado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os provedores de Atestado do Azure devem desabilitar o acesso à rede pública Para aprimorar a segurança do Serviço de Atestado do Azure, verifique se ele não está exposto à Internet pública e pode ser acessado somente de um ponto de extremidade privado. Desabilite a propriedade de acesso à rede pública, conforme descrito em aka.ms/azureattestation. Essa opção desabilitará o acesso de todos os espaços de endereços IP públicos fora do intervalo de IP do Azure, bem como negará logons que correspondam a regras de firewall baseadas em IP ou rede virtual. Isso reduzirá riscos de vazamento de dados. Audit, Deny, desabilitado 1.0.0
OS provedores de Atestado do Azure devem usar pontos de extremidade privados Os pontos de extremidade privados fornecem um modo de conectar os provedores do Atestado do Azure aos recursos do Azure sem enviar tráfego pela Internet pública. Impedindo o acesso público, os pontos de extremidade privados ajudam a fornecer proteção contra acesso anônimo indesejado. AuditIfNotExists, desabilitado 1.0.0

Autogerenciamento

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: uma identidade gerenciada deve ser habilitada em seus computadores Os recursos gerenciados pelo Gerenciamento Automatizado devem ter uma identidade gerenciada. Audit, desabilitado 1.0.0 – versão prévia
[Versão prévia]: a atribuição de perfil de configuração de Gerenciamento Automatizado deve estar em conformidade Os recursos gerenciados pelo Gerenciamento Automatizado devem ter um status de Conformant ou ConformantCorrected. AuditIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: o diagnóstico de inicialização deve estar habilitado nas máquinas virtuais As máquinas virtuais do Azure devem ter o diagnóstico de inicialização habilitado. Audit, desabilitado 1.0.0 – versão prévia
Configurar máquinas virtuais a serem ingressadas no Gerenciamento Automatizado do Azure O Gerenciamento Automatizado do Azure registra, configura e monitora as máquinas virtuais com as melhores práticas, conforme definido no Microsoft Cloud Adoption Framework para o Azure. Use esta política para aplicar o Autogerenciamento ao escopo selecionado. AuditIfNotExists, DeployIfNotExists, desabilitado 2.4.0
Configurar máquinas virtuais para serem integradas ao Gerenciamento Automatizado do Azure com perfil de configuração personalizado O Gerenciamento Automatizado do Azure registra, configura e monitora as máquinas virtuais com as melhores práticas, conforme definido no Microsoft Cloud Adoption Framework para o Azure. Use esta política para aplicar o Gerenciamento Automatizado com seu próprio Perfil de Configuração personalizado ao escopo selecionado. AuditIfNotExists, DeployIfNotExists, desabilitado 1.4.0
O Hotpatch deve estar habilitado para as VMs do Windows Server Azure Edition Minimize as reinicializações e instale atualizações rapidamente com o hotpatch. Saiba mais em https://docs.microsoft.com/azure/automanage/automanage-hotpatch Audit, Deny, desabilitado 1.0.0

Automação

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
A conta de Automação deve ter uma identidade gerenciada Use identidades gerenciadas como o método recomendado para a autenticação em recursos do Azure por meio dos runbooks. A identidade gerenciada para autenticação é mais segura e elimina a sobrecarga de gerenciamento associada ao uso da conta RunAs no código do runbook. Audit, desabilitado 1.0.0
As variáveis da conta de automação devem ser criptografadas É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais Audit, Deny, desabilitado 1.1.0
O acesso à rede pública deve ser desabilitado nas contas de Automação A desabilitação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos recursos da conta de Automação criando pontos de extremidade privados. Saiba mais em: https://docs.microsoft.com/azure/automation/how-to/private-link-security. Audit, Deny, desabilitado 1.0.0
A conta de Automação do Azure deve ter o método de autenticação local desabilitado Desabilitar os métodos de autenticação local aprimora a segurança, garantindo que as contas da Automação do Azure exijam exclusivamente identidades do Azure Active Directory para autenticação. Audit, Deny, desabilitado 1.0.0
As contas da Automação do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso das suas Contas de Automação do Azure. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/automation-cmk. Audit, Deny, desabilitado 1.0.0
Configure a conta de Automação do Azure para desabilitar a autenticação local Desabilite os métodos de autenticação local para que suas contas de Automação do Azure exijam exclusivamente identidades do Azure Active Directory para autenticação. Modificar, Desabilitado 1.0.0
Configurar as contas de Automação do Azure para desabilitar o acesso à rede pública Desabilite o acesso à rede pública para a conta de Automação do Azure para que ele não possa ser acessado pela Internet pública. Essa configuração ajuda a protegê-los contra riscos de vazamento de dados. Em vez disso, você pode limitar a exposição dos recursos da conta de Automação criando pontos de extremidade privados. Saiba mais em: https://aka.ms/privateendpoints. Modificar, Desabilitado 1.0.0
Configurar as contas de Automação do Azure com zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Você precisa de uma zona DNS privada configurada corretamente para se conectar à conta de Automação do Azure por meio do Link Privado do Azure. Saiba mais em: https://aka.ms/privatednszone. DeployIfNotExists, desabilitado 1.0.0
Configurar conexões de ponto de extremidade privado nas contas da Automação do Azure As conexões de ponto de extremidade privado permitem a comunicação segura habilitando a conectividade privada para contas da Automação do Azure sem a necessidade de endereços IP públicos na origem nem no destino. Saiba mais sobre pontos de extremidade privados na Automação do Azure em https://docs.microsoft.com/azure/automation/how-to/private-link-security. DeployIfNotExists, desabilitado 1.0.0
As conexões de ponto de extremidade privado nas Contas de Automação devem ser habilitadas As conexões de ponto de extremidade privado permitem a comunicação segura habilitando a conectividade privada para contas da Automação sem a necessidade de endereços IP públicos na origem nem no destino. Saiba mais sobre pontos de extremidade privados na Automação do Azure em https://docs.microsoft.com/azure/automation/how-to/private-link-security AuditIfNotExists, desabilitado 1.0.0

Active Directory do Azure

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os domínios gerenciados do Azure Active Directory Domain Services devem usar o modo somente TLS 1.2 Use o modo somente TLS 1.2 para seus domínios gerenciados. Por padrão, o Azure AD Domain Services permite o uso de criptografias como NTLM v1 e TLS v1. Essas criptografias podem ser necessárias para alguns aplicativos herdados, mas são consideradas fracas e podem ser desabilitadas se você não precisa delas. Quando o modo somente TLS 1.2 estiver habilitado, qualquer cliente que fizer uma solicitação que não esteja usando o TLS 1.2 falhará. Saiba mais em https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. Audit, Deny, desabilitado 1.1.0

Serviços de IA do Azure

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os recursos dos Serviços de IA do Azure devem ter o acesso de chave desabilitado (desabilitar a autenticação local) Recomenda-se que o acesso à chave (autenticação local) seja desabilitado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso a chaves e não funcionará se o acesso a chaves estiver desabilitado. Após ser desabilitado, o Microsoft Entra ID se torna o único método de acesso, o que permite a manutenção do princípio de privilégio mínimo e o controle granular. Saiba mais em: https://aka.ms/AI/auth Audit, Deny, desabilitado 1.1.0
Os recursos dos Serviços de IA do Azure devem restringir p acesso à rede Ao restringir o acesso à rede, você poderá garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço de IA do Azure. Audit, Deny, desabilitado 3.1.0

Azure Arc

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia] Negar a criação ou modificação da licença de ESUs (Atualizações de Segurança Estendidas) Essa política permite restringir a criação ou modificação de licenças de ESU para computadores Windows Server 2012 Arc. Para obter mais detalhes sobre preços, visite https://aka.ms/ArcWS2012ESUPricing Deny, Desabilitado 1.0.0 – versão prévia
[Versão prévia] Habilite a licença de ESUs (Atualizações de Segurança Estendidas) para manter os computadores Windows 2012 protegidos após o término do ciclo de vida do suporte. Habilite a licença de ESUs (Atualizações de Segurança Estendidas) para manter os computadores Windows 2012 protegidos mesmo após o término do ciclo de vida do suporte. Saiba como se preparar para fornecer Atualizações de Segurança Estendidas para o Windows Server 2012 por meio do Azure Arc. Visite https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Para obter mais detalhes sobre preços, visite https://aka.ms/ArcWS2012ESUPricing DeployIfNotExists, desabilitado 1.0.0 – versão prévia
Os Escopos de Link Privado do Azure Arc devem ser configurados com um ponto de extremidade privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para os Escopos de Link Privado do Azure Arc, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. Audit, desabilitado 1.0.0
Os Escopos de Link Privado do Azure Arc devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública melhora a segurança, garantindo que os recursos do Azure Arc não possam se conectar pela Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos recursos do Azure Arc. Saiba mais em: https://aka.ms/arc/privatelink. Audit, Deny, desabilitado 1.0.0
Os clusters de Kubernetes habilitados para Azure Arc devem ser configurados com um escopo de Link Privado do Azure Arc O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo de Link Privado do Azure Arc configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. Audit, Deny, desabilitado 1.0.0
Os servidores habilitados para o Azure Arc devem ser configurados com um Escopo de Link Privado do Azure Arc O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo de Link Privado do Azure Arc configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. Audit, Deny, desabilitado 1.0.0
Configurar Escopos de Link Privado do Azure Arc para desabilitar o acesso à rede pública Desabilite o acesso à rede pública para seu Escopo de Link Privado do Azure Arc para que os recursos associados do Azure Arc não se conectem a serviços do Azure Arc pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/arc/privatelink. Modificar, Desabilitado 1.0.0
Configurar Escopos de Link Privado do Azure Arc para usar zonas de DNS privado Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para ser resolvida para o escopo de link privado do Azure Monitor. Saiba mais em: https://aka.ms/arc/privatelink. DeployIfNotExists, desabilitado 1.2.0
Configurar os Escopos de Link Privado do Azure Arc com pontos de extremidade privados Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Com o mapeamento dos pontos de extremidade privados para os Escopos de Link Privado do Azure Arc, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. DeployIfNotExists, desabilitado 2.0.0
Configurar clusters de Kubernetes habilitados para Azure Arc para usar um escopo de link privado do Azure Arc O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo de Link Privado do Azure Arc configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. Modificar, Desabilitado 1.0.0
Configurar servidores habilitados para o Azure Arc para uso de um Escopo de Link Privado do Azure Arc O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo de Link Privado do Azure Arc configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/arc/privatelink. Modificar, Desabilitado 1.0.0

Azure Data Explorer

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Todos os Administradores de banco de dados no Data Explorer do Azure devem ser desabilitados Desabilite toda a função de administrador de banco de dados para restringir a concessão de função de usuário altamente privilegiada/administrativa. Audit, Deny, desabilitado 1.0.0
O cluster do Azure Data Explorer deve usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para as instâncias do cluster do Azure Data Explorer, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint. Audit, desabilitado 1.0.0
A criptografia em repouso do Azure Data Explorer deve usar uma chave gerenciada pelo cliente A habilitação da criptografia em repouso por meio de uma chave gerenciada pelo cliente no cluster do Azure Data Explorer fornece controle adicional sobre a chave que está sendo usada pela criptografia em repouso. Esse recurso é muitas vezes aplicável a clientes com requisitos de conformidade especiais e exige um Key Vault para gerenciar as chaves. Audit, Deny, desabilitado 1.0.0
O Azure Data Explorer devem usar um SKU que dê suporte a link privado Com um SKU compatível, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para os aplicativos, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/private-link. Audit, Deny, desabilitado 1.0.0
Configurar clusters do Azure Data Explorer com pontos de extremidade privados Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Com o mapeamento dos pontos de extremidade privados no Azure Data Explorer, você poderá reduzir os riscos de vazamento de dados. Saiba mais em: [ServiceSpecificAKA.ms]. DeployIfNotExists, desabilitado 1.0.0
Configurar o Azure Data Explorer para desabilitar o acesso à rede pública A desabilitação da propriedade de acesso à rede pública desliga a conectividade pública, de modo que o Azure Data Explorer pode ser acessado somente de um ponto de extremidade privado. Essa configuração desabilita o acesso à rede pública para todos os clusters do Azure Data Explorer . Modificar, Desabilitado 1.0.0
A criptografia de disco deve ser habilitada no Azure Data Explorer A habilitação da criptografia de disco ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Audit, Deny, desabilitado 2.0.0
A criptografia dupla deve ser habilitada no Azure Data Explorer A habilitação da criptografia dupla ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando a criptografia dupla é habilitada, os dados da conta de armazenamento são criptografados duas vezes, uma vez no nível de serviço e outro no nível de infraestrutura, por meio de dois algoritmos de criptografia diferentes e duas chaves distintas. Audit, Deny, desabilitado 2.0.0
O acesso à rede pública no Azure Data Explorer deve ser desabilitado A desabilitação da propriedade de acesso à rede pública aprimora a segurança garantindo que o Azure Data Explorer só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP. Audit, Deny, desabilitado 1.0.0
A injeção de rede virtual deve ser habilitada no Azure Data Explorer Proteja seu perímetro de rede com a injeção de rede virtual, que permite impor regras de grupo de segurança de rede, conectar-se no local e proteger suas fontes de conexão de dados com pontos de extremidade de serviço. Audit, Deny, desabilitado 1.0.0

Azure Databricks

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os clusters do Azure Databricks devem desabilitar o IP público A desativação do IP público de clusters nos Workspaces do Azure Databricks melhora a segurança, garantindo que os clusters não sejam expostos na Internet pública. Saiba mais em: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. Audit, Deny, desabilitado 1.0.1
Os Workspaces do Azure Databricks devem estar em uma rede virtual As Redes Virtuais do Microsoft Azure fornecem segurança e isolamento aprimorados para seus Workspaces do Azure Databricks, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Saiba mais em: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. Audit, Deny, desabilitado 1.0.2
Os workspaces do Azure Databricks devem ser SKU Premium que dá suporte a recursos como link privado, chave gerenciada pelo cliente para criptografia Permitir apenas o workspace do Databricks com Sku Premium que sua organização pode implantar para dar suporte a recursos como Link Privado, chave gerenciada pelo cliente para criptografia. Saiba mais em: https://aka.ms/adbpe. Audit, Deny, desabilitado 1.0.1
Os espaços de trabalho do Azure Databricks devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode controlar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. Audit, Deny, desabilitado 1.0.1
Os Workspaces do Azure Databricks devem usar o link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Databricks, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/adbpe. Audit, desabilitado 1.0.2
Configurar um workspace do Azure Databricks para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas de workspaces do Azure Databricks. Saiba mais em: https://aka.ms/adbpe. DeployIfNotExists, desabilitado 1.0.1
Configurar workspaces do Azure Databricks com pontos de extremidade privados Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Se você mapear os pontos de extremidade privados para workspaces do Azure Databricks, poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/adbpe. DeployIfNotExists, desabilitado 1.0.2
Definir as configurações de diagnóstico dos Workspaces do Azure Databricks no Workspace do Log Analytics Implanta as configurações de diagnóstico dos Workspaces do Azure Databricks para transmitir registros de recursos para um workspace do Log Analytics quando qualquer Workspace do Azure Databricks que não tenha essas configurações de diagnóstico é criado ou atualizado. DeployIfNotExists, desabilitado 1.0.1
Os registros de recursos nos Workspaces do Azure Databricks devem estar habilitados Os logs de recursos permitem a recriação de trilhas de atividades para uso em investigações quando ocorre um incidente de segurança ou quando sua rede é comprometida. AuditIfNotExists, desabilitado 1.0.1

Azure Edge Hardware Center

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O suporte à criptografia dupla nos dispositivos do Azure Edge Hardware Center devem estar habilitado Verifique se o suporte à criptografia dupla nos dispositivos ordenados do Azure Edge Hardware Center está habilitado, para proteger os dados inativos no dispositivo. Essa opção adiciona uma segunda camada de criptografia de dados. Audit, Deny, desabilitado 2.0.0

Teste de carga do Azure

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O recurso de teste de carga do Azure deve usar chaves gerenciadas pelo cliente para criptografar dados inativos Use CMK (chaves gerenciadas pelo cliente) para gerenciar a criptografia em repouso do recurso de Teste de Carga do Azure. Por padrão, o encryptio é feito usando chaves gerenciadas pelo serviço, chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. Audit, Deny, desabilitado 1.0.0

Azure Purview

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
As contas do Azure Purview devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para suas contas do Azure Purview, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/purview-private-link. Audit, desabilitado 1.0.0

Azure Stack Edge

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os dispositivos do Azure Stack Edge devem usar criptografia dupla Para proteger os dados inativos no dispositivo, ele deve ser duplamente criptografado, o acesso aos dados deve ser controlado e, depois que o dispositivo for desativado, os dados devem ser apagados com segurança dos discos de dados. A criptografia dupla é o uso de duas camadas de criptografia: Criptografia de 256 bits BitLocker XTS-AES nos volumes de dados e criptografia interna dos discos rígidos. Saiba mais na documentação de visão geral de segurança para o dispositivo Stack Edge específico. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0

Gerenciador de Atualizações do Azure

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Configurar a verificação periódica para atualizações de sistema ausentes em servidores habilitados para a Azure Arc Configure a avaliação automática (a cada 24 horas) para atualizações do sistema operacional em servidores habilitados para Azure Arc. Você pode controlar o escopo da atribuição de acordo com a assinatura do computador, o grupo de recursos, o local ou a marca. Saiba mais sobre isso para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. modify 2.2.1
Configurar a verificação periódica de atualizações do sistema ausentes nas máquinas virtuais do Azure Configure a avaliação automática (a cada 24 horas) para atualizações do sistema operacional em máquinas virtuais nativas do Azure. Você pode controlar o escopo da atribuição de acordo com a assinatura do computador, o grupo de recursos, o local ou a marca. Saiba mais sobre isso para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. modify 4.7.0
Os computadores devem ser configurados para verificar periodicamente se há atualizações do sistema ausentes Para garantir que as avaliações periódicas de atualizações do sistema ausentes sejam disparadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. Audit, Deny, desabilitado 3.6.0
Agendar atualizações recorrentes usando o Gerenciador de Atualizações do Azure Você pode usar o Gerenciador de Atualizações do Azure no Azure para salvar as programações de implantação recorrentes para instalar atualizações do sistema operacional nos computadores Windows Server e Linux no Azure, em ambientes locais e em outros ambientes na nuvem conectados usando servidores habilitados para o Azure Arc. Essa política também alterará o modo de patch da Máquina Virtual do Azure para 'AutomaticByPlatform'. Confira mais: https://aka.ms/umc-scheduled-patching DeployIfNotExists, desabilitado 3.10.0

Backup

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: A Extensão de Backup do Azure deve ser instalada em clusters do AKS Garanta a instalação de proteção da extensão de backup nos seus Clusters do AKS para aproveitar o Backup do Azure. O Backup do Azure para AKS é uma solução de proteção de dados nativa de nuvem e segura para clusters do AKS AuditIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: O Backup do Azure deve ser habilitado para clusters do AKS Garanta a proteção dos seus Clusters do AKS habilitando o Backup do Azure. O Backup do Azure para AKS é uma solução de proteção de dados nativa de nuvem e segura para clusters do AKS. AuditIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: O Backup do Azure deve ser habilitado para Blobs nas Contas de Armazenamento Garanta a proteção de suas Contas de Armazenamento habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. AuditIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: O Backup do Azure deve ser habilitado para Managed Disks Garanta a proteção dos seus Managed Disks habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. AuditIfNotExists, desabilitado 1.0.0 – versão prévia
[Prévia]: os cofres dos Serviços de Recuperação do Azure devem desabilitar o acesso à rede pública A desativação do acesso à rede pública melhora a segurança, garantindo que o cofre de serviços de recuperação não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do cofre dos serviços de recuperação. Saiba mais em: https://aka.ms/AB-PublicNetworkAccess-Deny. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os cofres dos Serviços de Recuperação do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados de backup Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos seus dados de backup. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/AB-CmkEncryption. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os cofres dos Serviços de Recuperação do Azure devem usar o link privado para backup O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os cofres dos Serviços de Recuperação do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/AB-PrivateEndpoints. Audit, desabilitado 2.0.0-preview
[Versão preliminar]: Configurar os cofres dos Serviços de Recuperação do Azure para desabilitar o acesso à rede pública Desabilite o acesso à rede pública no cofre dos serviços de recuperação de modo que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/AB-PublicNetworkAccess-Deny. Modificar, Desabilitado 1.0.0 – versão prévia
[Versão prévia]: configurar o backup de blobs nas contas de armazenamento com uma determinada marca para um cofre de backup existente na mesma região Imponha o backup para blobs em todas as contas de armazenamento que contêm uma determinada marca para um cofre de backup central. Fazer isso pode ajudar você a gerenciar o backup de blobs contidos em várias contas de armazenamento em escala. Para obter mais detalhes, consulte https://aka.ms/AB-BlobBackupAzPolicies DeployIfNotExists, AuditIfNotExists, Desabilitado 2.0.0-preview
[Versão prévia]: Configurar o backup de blobs para todas as contas de armazenamento que não contêm uma determinada marca para um cofre de backup na mesma região Imponha o backup para blobs em todas as contas de armazenamento que não contêm uma determinada marca para um cofre de backup central. Fazer isso pode ajudar você a gerenciar o backup de blobs contidos em várias contas de armazenamento em escala. Para obter mais detalhes, consulte https://aka.ms/AB-BlobBackupAzPolicies DeployIfNotExists, AuditIfNotExists, Desabilitado 2.0.0-preview
[Versão prévia]: configurar os cofres dos Serviços de Recuperação para usar zonas DNS privadas para backup Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver para cofres dos Serviços de Recuperação. Saiba mais em: https://aka.ms/AB-PrivateEndpoints. DeployIfNotExists, desabilitado 1.0.1 – versão prévia
[Versão prévia]: configurar os cofres dos Serviços de Recuperação para usar pontos de extremidade privados para backup Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear os pontos de extremidade privados para os cofres dos Serviços de Recuperação, você pode reduzir os riscos de vazamento de dados. Observe que seus cofres precisam atender a determinados pré-requisitos para serem qualificados para a configuração de ponto de extremidade privado. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2187162. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão preliminar]: Desabilitar a Restauração entre Assinaturas para os cofres dos Serviços de Recuperação do Azure Desabilitar ou Desabilitar Permanentemente a Restauração entre Assinaturas para o seu cofre dos Serviços de Recuperação, de modo que os destinos da restauração não possam estar em uma assinatura diferente da assinatura do cofre. Saiba mais em: https://aka.ms/csrenhancements. Modificar, Desabilitado 1.1.0 – versão prévia
[Versão prévia]: Desabilitar a Restauração entre Assinaturas para Cofres do Backup Desabilitar ou Desabilitar Permanentemente a Restauração entre Assinaturas para o seu cofre do Backup, de modo que os destinos da restauração não possam estar em uma assinatura diferente da assinatura do cofre. Saiba mais em: https://aka.ms/csrstatechange. Modificar, Desabilitado 1.1.0 – versão prévia
[Versão prévia]: não permita a criação de cofres dos Serviços de Recuperação de redundância de armazenamento escolhida. Os cofres dos Serviços de Recuperação podem ser criados com qualquer uma das três opções de redundância de armazenamento atualmente, ou seja, armazenamento com redundância local, armazenamento com redundância de zona e armazenamento com redundância geográfica. Se as políticas em sua organização exigirem que você bloqueie a criação de cofres que pertencem a um determinado tipo de redundância, você poderá obter o mesmo usando essa política do Azure. Deny, Desabilitado 1.0.0 – versão prévia
[Prévia]: a imutabilidade deve estar habilitada nos cofres de backup Esta política audita se a propriedade cofres imutáveis estiver habilitada para os cofres de Backup no escopo. Isso ajuda a evitar que seus dados de backup sejam excluídos antes da expiração pretendida. Saiba mais em https://aka.ms/AB-ImmutableVaults. Audit, desabilitado 1.0.0 – versão prévia
[Versão prévia]: a imutabilidade deve estar habilitada nos cofres de Serviços de Recuperação Esta política audita se a propriedade de cofres imutáveis está ativada para os cofres dos Serviços de Recuperação no escopo. Isso ajuda a evitar que seus dados de backup sejam excluídos antes da expiração pretendida. Saiba mais em https://aka.ms/AB-ImmutableVaults. Audit, desabilitado 1.0.0 – versão prévia
[Versão prévia]: a MUA (Autorização multiusuário) deve estar habilitada para Cofres de Backup. Essa política audita se a MUA (Autorização multiusuário) estiver habilitada para Cofres de Backup. O MUA ajuda a proteger seus Cofres de Backup adicionando uma camada adicional de proteção às operações críticas. Para saber mais, visite https://aka.ms/mua-for-bv. Audit, desabilitado 1.0.0 – versão prévia
[Versão prévia]: a MUA (Autorização multiusuário) deve estar habilitada para os Cofres dos Serviços de Recuperação. Essa política audita se a MUA (Autorização multiusuário) estiver habilitada para os Cofres dos Serviços de Recuperação. O MUA ajuda a proteger seus Cofres dos Serviços de Recuperação adicionando uma camada adicional de proteção às operações críticas. Para saber mais, visite https://aka.ms/MUAforRSV. Audit, desabilitado 1.0.0 – versão prévia
[Versão prévia]: a exclusão temporária deve ser habilitada nos cofres dos Serviços de Recuperação. Essa política audita se a exclusão temporária estiver habilitada para cofres dos Serviços de Recuperação no escopo. A exclusão temporária pode ajudar você a recuperar seus dados mesmo depois que eles foram excluídos. Saiba mais em https://aka.ms/AB-SoftDelete. Audit, desabilitado 1.0.0 – versão prévia
[Prévia]: a exclusão temporária deve estar ativada nos Cofres de backup Essa política audita se a exclusão temporária está habilitada nos cofres de backup no escopo. A exclusão temporária pode ajudar você a recuperar seus dados depois que eles foram excluídos. Saiba mais em https://aka.ms/AB-SoftDelete Audit, desabilitado 1.0.0 – versão prévia
O Backup do Azure deve ser habilitado para máquinas virtuais Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. AuditIfNotExists, desabilitado 3.0.0
Configure o backup em máquinas virtuais com uma determinada tag para um novo cofre de serviços de recuperação com uma política padrão Impor o backup a todas as máquinas virtuais implantando um cofre dos Serviços de Recuperação na mesma localização e no mesmo grupo de recursos da máquina virtual. É útil fazer isso quando diferentes equipes de aplicativo na sua organização recebem grupos de recursos separados e precisam gerenciar restaurações e backups próprios. Opcionalmente, você pode incluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMAppCentricBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado 9.2.0
Configure o backup em máquinas virtuais com uma determinada tag para um cofre de serviços de recuperação existente no mesmo local Imponha o backup a todas as máquinas virtuais fazendo backup delas em um cofre central dos Serviços de Recuperação existente na mesma localização e assinatura da máquina virtual. É útil fazer isso quando há uma equipe central na sua organização que gerencia os backups de todos os recursos em uma assinatura. Opcionalmente, você pode incluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMCentralBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado 9.2.0
Configure o backup em máquinas virtuais sem uma determinada tag para um novo cofre de serviços de recuperação com uma política padrão Impor o backup a todas as máquinas virtuais implantando um cofre dos Serviços de Recuperação na mesma localização e no mesmo grupo de recursos da máquina virtual. É útil fazer isso quando diferentes equipes de aplicativo na sua organização recebem grupos de recursos separados e precisam gerenciar restaurações e backups próprios. Opcionalmente, você pode excluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMAppCentricBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado 9.2.0
Configurar o backup em máquinas virtuais sem uma marca especificada para um cofre dos Serviços de Recuperação existente na mesma localização Imponha o backup a todas as máquinas virtuais fazendo backup delas em um cofre central dos Serviços de Recuperação existente na mesma localização e assinatura da máquina virtual. É útil fazer isso quando há uma equipe central na sua organização que gerencia os backups de todos os recursos em uma assinatura. Opcionalmente, você pode excluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Consulte https://aka.ms/AzureVMCentralBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado 9.2.0
Implantar as configurações de diagnóstico do cofre dos Serviços de Recuperação no workspace do Log Analytics para categorias específicas do recurso. Implante as configurações de diagnóstico do cofre dos Serviços de Recuperação para transmitir para o workspace do Log Analytics de categorias específicas do recurso. Se uma das categorias específicas do recurso não estiver habilitada, uma configuração de diagnóstico será criada. deployIfNotExists 1.0.2

Lote

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
A conta do Lote do Azure deve usar chaves gerenciadas pelo cliente para criptografar dados Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos dados da sua conta do Lote. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/Batch-CMK. Audit, Deny, desabilitado 1.0.1
Os pools do Lote do Azure devem ter a criptografia de disco habilitada Habilitar a criptografia de disco do Lote do Azure garante que os dados sempre sejam criptografados em repouso em seu nó de computação do Lote do Azure. Saiba mais sobre a Criptografia de Disco no Lote em https://docs.microsoft.com/azure/batch/disk-encryption. Auditoria, desabilitado, negação 1.0.0
As contas do Lote devem ter os métodos de autenticação locais desabilitados Desabilitar os métodos de autenticação local aprimora a segurança, garantindo que as contas do Lote exijam as identidades do Azure Active Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/batch/auth. Audit, Deny, desabilitado 1.0.0
Configurar contas do Lote para desabilitar a autenticação local Desabilite os métodos de autenticação local para que contas do Lote exijam identidades do Azure Active Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/batch/auth. Modificar, Desabilitado 1.0.0
Configurar contas do Lote para desabilitar o acesso à rede pública Desabilitar o acesso à rede pública em uma conta do Lote aprimora a segurança garantindo que a conta do Lote só pode ser acessada de um ponto de extremidade privado. Saiba mais sobre como desabilitar o acesso à rede pública em https://docs.microsoft.com/azure/batch/private-connectivity. Modificar, Desabilitado 1.0.0
Configurar as contas do Lote com pontos de extremidade privados Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Se você mapear os pontos de extremidade privados para os namespaces das contas do Lote, poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, desabilitado 1.0.0
Implantar – configure zonas DNS privadas para pontos de extremidade privados que se conectam a contas do Lote Os registros de DNS privado permitem conexões privadas com pontos de extremidade privados. As conexões de ponto de extremidade privado permitem a comunicação segura habilitando a conectividade privada para contas do Lote sem a necessidade de endereços IP públicos na origem nem no destino. Para obter mais informações sobre pontos de extremidade privados e zonas DNS no Lote, confira https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, desabilitado 1.0.0
As regras de alerta de métrica devem ser configuradas em contas do Lote Audite a configuração das regras de alerta de métricas na conta do Lote para habilitar a métrica necessária AuditIfNotExists, desabilitado 1.0.0
As conexões de ponto de extremidade privado nas contas do Lote devem ser habilitadas As conexões de ponto de extremidade privado permitem a comunicação segura habilitando a conectividade privada para contas do Lote sem a necessidade de endereços IP públicos na origem nem no destino. Saiba mais sobre os pontos de extremidade privados no Lote em https://docs.microsoft.com/azure/batch/private-connectivity. AuditIfNotExists, desabilitado 1.0.0
O acesso à rede pública deve ser desabilitado nas contas do Lote Desabilitar o acesso à rede pública em uma conta do Lote aprimora a segurança garantindo que a conta do Lote só pode ser acessada de um ponto de extremidade privado. Saiba mais sobre como desabilitar o acesso à rede pública em https://docs.microsoft.com/azure/batch/private-connectivity. Audit, Deny, desabilitado 1.0.0
Os logs de recurso em contas do Lote devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0

Serviço de Bot

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O ponto de extremidade do serviço de bot deve ser um URI HTTPS válido Os dados podem ser adulterados durante a transmissão. Existem protocolos que fornecem criptografia para resolver problemas de uso indevido e adulteração. Para garantir que seus bots estejam se comunicando apenas por meio de canais criptografados, defina o ponto de extremidade para um URI HTTPS válido. Isso garante que o protocolo HTTPS seja usado para criptografar seus dados em trânsito e, muitas vezes, é um requisito de conformidade com padrões regulatórios ou do setor. Acesse: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
O Serviço de Bot deve ser criptografado com uma chave gerenciada pelo cliente O Serviço de Bot do Azure criptografa automaticamente o seu recurso para proteger os seus dados e atender aos compromissos de conformidade e segurança da organização. Por padrão, são usadas as chaves de criptografia gerenciadas pela Microsoft. Para obter mais flexibilidade no gerenciamento de chaves ou no controle de acesso à sua assinatura, selecione as chaves gerenciadas pelo cliente, também conhecidas como BYOK (Bring Your Own Key). Saiba mais sobre a criptografia do Serviço de Bot do Azure: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
O Serviço de Bot deve ter o modo isolado habilitado Os bots devem ser definidos com o modo 'somente isolado'. Essa configuração define os canais do Serviço de Bot que exigem que o tráfego pela Internet pública seja desabilitado. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 2.1.0
O Serviço de Bot deve ter os métodos de autenticação local desabilitados A desabilitação de métodos de autenticação local melhora a segurança, garantindo que um bot use o AAD exclusivamente para autenticação. Audit, Deny, desabilitado 1.0.0
O Serviço de Bot deve ter o acesso à rede pública desabilitado Os bots devem ser definidos com o modo 'somente isolado'. Essa configuração define os canais do Serviço de Bot que exigem que o tráfego pela Internet pública seja desabilitado. Audit, Deny, desabilitado 1.0.0
Os recursos do Serviço de Bot deverão usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados no recurso do Serviço de Bot, os riscos de vazamento de dados serão reduzidos. Audit, desabilitado 1.0.0
Configurar os recursos do Serviço de Bot para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada se conecta à sua rede virtual para resolver os recursos relacionados ao Serviço de Bot. Saiba mais em: https://aka.ms/privatednszone. DeployIfNotExists, desabilitado 1.0.0
Configurar recursos do Serviço de Bot com pontos de extremidade privados Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Ao mapear pontos de extremidade privados no recurso do Serviço de Bot, é possível reduzir os riscos de vazamento de dados. DeployIfNotExists, desabilitado 1.0.0

Cache

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Cache do Azure para Redis deve desabilitar o acesso à rede pública A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o Cache do Azure para Redis não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição do Cache do Azure para Redis criando pontos de extremidade privados. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. Audit, Deny, desabilitado 1.0.0
O Cache do Azure para Redis deve usar um link privado Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Quando os pontos de extremidade privados são mapeados para as instâncias do Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, desabilitado 1.0.0
Configurar o Cache do Azure para Redis para desabilitar o acesso à rede pública Desabilite o acesso à rede pública para o seu recurso do Cache do Azure para Redis para que ele não possa ser acessado pela Internet pública. Isso ajuda a proteger o cache contra riscos de vazamento de dados. Modificar, Desabilitado 1.0.0
Configurar o Cache do Azure para Redis para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada pode ser vinculada à sua rede virtual para resolver para o Cache do Azure para Redis. Saiba mais em: https://aka.ms/privatednszone. DeployIfNotExists, desabilitado 1.0.0
Configurar o cache do Azure para Redis com os pontos de extremidade privados Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Com o mapeamento dos pontos de extremidade privados para os recursos do Cache do Azure para Redis, você pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/redis/privateendpoint. DeployIfNotExists, desabilitado 1.0.0
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão Audit, Deny, desabilitado 1.0.0

CDN

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os perfis do Azure Front Door devem usar o nível Premium que dá suporte às regras do WAF gerenciadas e a links privados O Azure Front Door Premium dá suporte às regras do WAF gerenciadas pelo Azure e aos links privados para origens do Azure compatíveis. Audit, Deny, desabilitado 1.0.0
O Azure Front Door Standard e Premium devem estar executando a versão mínima do TLS igual a 1.2 Definir a versão mínima do TLS como 1.2 aprimora a segurança garantindo que seus domínios personalizados são acessados por clientes que usam o TLS 1.2 ou mais recente. Não é recomendável usar versões do TLS anteriores à 1.2, pois elas são fracas e não dão suporte a algoritmos criptográficos modernos. Audit, Deny, desabilitado 1.0.0
A conectividade privada segura entre o Azure Front Door Premium e o Azure Storage Blob ou o Serviço de Aplicativo do Azure O link privado garante a conectividade privada entre o AFD Premium e o Azure Storage Blob ou o Serviço de Aplicativo do Azure pela rede de backbone do Azure, sem que o Azure Storage Blob ou o Serviço de Aplicativo do Azure sejam expostos publicamente à Internet. Audit, desabilitado 1.0.0

ChangeTrackingAndInventory

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: configurar os computadores habilitados para o Linux Arc para serem associados a uma Regra de Coleta de Dados para o ChangeTracking e Inventário Implante a associação para vincular computadores habilitados para Linux Arc à regra de coleta de dados especificada para habilitar ChangeTracking e Inventário. A lista de locais é atualizada ao longo do tempo de acordo com a expansão do suporte. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: configurar computadores habilitados para o Arc do Linux para instalar o AMA para ChangeTracking e Inventário Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais habilitadas para Linux Arc para habilitar o ChangeTracking e o inventário. Essa política instalará a extensão se a região tiver suporte. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 1.3.0-preview
[Versão prévia]: configurar as Máquinas Virtuais do Linux para serem associadas a uma Regra de Coleta de Dados para o ChangeTracking e Inventário Implante a associação para vincular máquinas virtuais do Linux à regra de coleta de dados especificada para habilitar o ChangeTracking e o inventário. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: configurar as VMs do Linux para instalar o AMA para o ChangeTracking e Inventário com a identidade gerenciada atribuída pelo usuário Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais do Linux para habilitar o ChangeTracking e o inventário. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 1.4.0-preview
[Versão prévia]: configurar o VMSS do Linux para ser associado a uma Regra de Coleta de Dados para o ChangeTracking e Inventário Implante a associação para vincular conjuntos de dimensionamento de máquinas virtuais do Linux à regra de coleta de dados especificada para habilitar o ChangeTracking e o inventário. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: configurar os VMSS do Linux para instalar o AMA para o ChangeTracking e Inventário com a identidade gerenciada atribuída pelo usuário Automatize a implantação da extensão do Agente do Azure Monitor nos conjuntos de dimensionamento de máquinas virtuais do Linux para habilitar o ChangeTracking e o inventário. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 1.3.0-preview
[Versão prévia]: configurar computadores habilitados para Windows Arc para serem associados a uma Regra de Coleta de Dados para ChangeTracking e Inventário Implante a associação para vincular computadores habilitados Windows Arc à regra de coleta de dados especificada para habilitar ChangeTracking e Inventário. A lista de locais é atualizada ao longo do tempo de acordo com a expansão do suporte. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: configurar computadores habilitados para Windows Arc para instalar o AMA para o ChangeTracking e Inventário Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais habilitadas Windows Linux Arc para habilitar o ChangeTracking e o inventário. Essa política instalará a extensão se o sistema operacional e a região tiverem suporte e a identidade gerenciada atribuída pelo sistema estiver habilitada, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: configurar as Máquinas Virtuais do Windows para serem associadas a uma Regra de Coleta de Dados para o ChangeTracking e Inventário Implante a associação para vincular máquinas virtuais do Windows à regra de coleta de dados especificada para habilitar o ChangeTracking e o inventário. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: configurar as VMs do Windows para instalar o AMA para o ChangeTracking e Inventário com a identidade gerenciada atribuída pelo usuário Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais do Windows para habilitar o ChangeTracking e o inventário. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: configurar o VMSS do Windows para ser associado a uma Regra de Coleta de Dados para o ChangeTracking e Inventário Implante a associação para vincular os conjunto de dimensionamento de máquinas virtuais do Windows à regra de coleta de dados especificada para habilitar o ChangeTracking e o inventário. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: configurar o VMSS do Windows para instalar o AMA para o ChangeTracking e Inventário com a identidade gerenciada atribuída pelo usuário Automatize a implantação da extensão do Agente do Azure Monitor nos conjuntos de dimensionamento de máquinas virtuais do Windows para habilitar o ChangeTracking e o inventário. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 1.0.0 – versão prévia

Serviços Cognitivos

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
As contas dos Serviços Cognitivos devem desabilitar o acesso à rede pública Para aprimorar a segurança das contas dos Serviços Cognitivos, verifique se elas não estão expostas à Internet pública e se podem ser acessadas somente de um ponto de extremidade privado. Desabilite a propriedade de acesso à rede pública, conforme descrito em https://go.microsoft.com/fwlink/?linkid=2129800. Essa opção desabilitará o acesso de todos os espaços de endereços IP públicos fora do intervalo de IP do Azure, bem como negará logons que correspondam a regras de firewall baseadas em IP ou rede virtual. Isso reduzirá riscos de vazamento de dados. Audit, Deny, desabilitado 3.0.1
As contas dos Serviços Cognitivos devem habilitar a criptografia de dados com uma chave gerenciada pelo cliente As chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados armazenados em Serviços Cognitivos sejam criptografados com uma chave do Azure Key Vault criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre as chaves gerenciadas pelo cliente em https://go.microsoft.com/fwlink/?linkid=2121321. Audit, Deny, desabilitado 2.1.0
As contas dos Serviços Cognitivos devem usar uma identidade gerenciada A atribuição de uma identidade gerenciada à sua conta dos Serviços Cognitivos ajuda a garantir a autenticação segura. Essa identidade é usada por essa conta dos Serviços Cognitivos para se comunicar de modo seguro com outros serviços do Azure, como o Azure Key Vault, sem a necessidade de gerenciamento de credenciais. Audit, Deny, desabilitado 1.0.0
As contas dos Serviços Cognitivos devem usar o armazenamento de propriedade do cliente Use o armazenamento de propriedade do cliente para controlar os dados armazenados em repouso nos Serviços Cognitivos. Para saber mais sobre o armazenamento de propriedade do cliente, acesse https://aka.ms/cogsvc-cmk. Audit, Deny, desabilitado 2.0.0
Os Serviços Cognitivos devem usar um link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, desabilitado 3.0.0
Configurar as contas dos Serviços Cognitivos para desabilitar os métodos de autenticação local Desabilite os métodos de autenticação local para que suas contas dos Serviços Cognitivos exijam o Azure Active Directory para identidades exclusivamente para autenticação. Saiba mais em: https://aka.ms/cs/auth. Modificar, Desabilitado 1.0.0
Configurar as contas dos Serviços Cognitivos para desabilitar o acesso à rede pública Desabilite o acesso à rede pública para o seu recurso dos Serviços Cognitivos para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2129800. Desabilitado, Modificar 3.0.0
Configurar as contas dos Serviços Cognitivos para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para que seja resolvida para as contas dos Serviços Cognitivos. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2110097. DeployIfNotExists, desabilitado 1.0.0
Configurar as contas dos Serviços Cognitivos com pontos de extremidade privados Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Com o mapeamento de pontos de extremidade privados para os Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. DeployIfNotExists, desabilitado 3.0.0

Computação

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
SKUs de tamanho de máquina virtual permitidos Esta política permite especificar um conjunto de SKUs de tamanho de máquina virtual que sua organização pode implantar. Negar 1.0.1
Auditar máquinas virtuais sem a recuperação de desastre configurada Audite máquinas virtuais sem a recuperação de desastre configurada. Para saber mais sobre recuperação de desastre, acesse https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Auditar VMs que não usam discos gerenciados Essa política audita VMs que não usam discos gerenciados auditoria 1.0.0
Configurar a recuperação de desastres em máquinas virtuais habilitando a replicação por meio do Azure Site Recovery As máquinas virtuais sem configurações de recuperação de desastre são vulneráveis a interrupções. Se a máquina virtual ainda não tivesse a recuperação de desastre configurada, isso iniciaria a mesma coisa habilitando a replicação usando configurações predefinidas para facilitar a continuidade dos negócios. Opcionalmente, você pode incluir/excluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Para saber mais sobre recuperação de desastre, acesse https://aka.ms/asr-doc. DeployIfNotExists, desabilitado 2.1.0
Configurar os recursos de acesso ao disco para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para que seja resolvida para um disco gerenciado. Saiba mais em: https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, desabilitado 1.0.0
Configurar recursos de acesso ao disco com pontos de extremidade privados Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Com o mapeamento dos pontos de extremidade privados para os recursos de acesso ao disco, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, desabilitado 1.0.0
Configurar discos gerenciados para desabilitar o acesso à rede pública Desabilite o acesso à rede pública para o seu recurso de disco gerenciado para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. Modificar, Desabilitado 2.0.0
Implantar a extensão padrão antimalware de IaaS da Microsoft para Windows Server Essa política implanta uma extensão IaaSAntimalware da Microsoft com uma configuração padrão quando uma VM não está configurada com a extensão antimalware. deployIfNotExists 1.1.0
Os recursos de acesso ao disco devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, desabilitado 1.0.0
Os discos gerenciados devem ter criptografia dupla, com chaves gerenciadas pelo cliente e pela plataforma Os clientes confidenciais de alta segurança que estão preocupados com o risco associado a qualquer determinado algoritmo de criptografia, implementação ou chave sendo comprometido podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Os conjuntos de criptografia de disco são necessários para usar a criptografia dupla. Saiba mais em https://aka.ms/disks-doubleEncryption. Audit, Deny, desabilitado 1.0.0
Os discos gerenciados devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública aprimora a segurança, garantindo que um disco gerenciado não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos discos gerenciados. Saiba mais em: https://aka.ms/disksprivatelinksdoc. Audit, desabilitado 2.0.0
Os discos gerenciados devem usar um conjunto específico de conjuntos de criptografia de disco para a criptografia de chave gerenciada pelo cliente A exigência de um conjunto específico de conjuntos de criptografia de disco a ser usado com discos gerenciados oferece controle sobre as chaves usadas para criptografia em repouso. Você pode selecionar os conjuntos criptografados permitidos, e todos os outros são rejeitados quando anexados a um disco. Saiba mais em https://aka.ms/disks-cmk. Audit, Deny, desabilitado 2.0.0
O Microsoft Antimalware para o Azure deve ser configurado para atualizar automaticamente as assinaturas de proteção Essa política audita qualquer máquina virtual do Windows não configurada com a atualização automática das assinaturas de proteção Microsoft Antimalware. AuditIfNotExists, desabilitado 1.0.0
A extensão IaaSAntimalware da Microsoft deve ser implantada em servidores do Windows Essa política audita qualquer VM de servidor do Windows sem a extensão IaaSAntimalware da Microsoft implantada. AuditIfNotExists, desabilitado 1.1.0
Somente as extensões aprovadas da VM devem ser instaladas Essa política rege as extensões da máquina virtual que não foram aprovadas. Audit, Deny, desabilitado 1.0.0
O sistema operacional e os discos de dados devem ser criptografados com uma chave gerenciada pelo cliente Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus discos gerenciados. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pela plataforma, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/disks-cmk. Audit, Deny, desabilitado 3.0.0
Proteja seus dados com requisitos de autenticação ao exportar ou fazer upload em um disco ou instantâneo. Quando a URL de exportação/upload é usada, o sistema verifica se o usuário tem uma identidade no Azure Active Directory e tem as permissões necessárias para exportar/fazer upload dos dados. Consulte aka.ms/DisksAzureADAuth. Modificar, Desabilitado 1.0.0
Exigir a aplicação automática de patch da imagem do sistema operacional em Conjuntos de Dimensionamento de Máquinas Virtuais Essa política impõe a habilitação do patch automático da imagem do sistema operacional nos Conjuntos de Dimensionamento de Máquinas Virtuais para que as máquinas virtuais estejam sempre protegidas por meio da aplicação segura dos patches de segurança mais recentes mensalmente. deny 1.0.0
As máquinas virtuais e os conjuntos de dimensionamento de máquinas virtuais devem ter criptografia no host habilitada Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento de máquinas virtuais. A criptografia no host habilita a criptografia em repouso para o disco temporário e caches de disco de dados/do sistema operacional. Discos do sistema operacional temporários e efêmeros são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está habilitada. Caches de disco de dados/do sistema operacional são criptografados em repouso com chave de criptografia gerenciada pela plataforma ou pelo cliente, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. Audit, Deny, desabilitado 1.0.0
As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager Use o novo Azure Resource Manager para suas máquinas virtuais a fim de fornecer melhorias de segurança como: RBAC (controle de acesso) mais forte, melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos visando facilitar o gerenciamento da segurança Audit, Deny, desabilitado 1.0.0

Aplicativos de Contêiner

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
A autenticação deve ser habilitada nos Aplicativos de Contêiner A Autenticação dos Aplicativos de Contêiner é um recurso que impede que solicitações HTTP anônimas cheguem ao Aplicativo de Contêiner ou autentica aquelas que têm tokens antes que acessem o Aplicativo de Contêiner AuditIfNotExists, desabilitado 1.0.1
Os ambientes de Aplicativo de Contêiner devem usar injeção de rede Os ambientes de Aplicativos de Contêiner devem usar injeção de rede virtual para: 1.Isolar Aplicativos de Contêiner da Internet pública 2.Habilitar a integração de rede com recursos locais ou em outras redes virtuais do Azure 3.Alcançar um controle mais granular sobre o tráfego de rede que flui de e para o ambiente. Auditoria, desabilitado, negação 1.0.2
O Aplicativo de Contêiner deve ser configurado com a montagem de volume Imponha o uso de montagens de volume para Aplicativos de Contêiner para garantir a disponibilidade da capacidade de armazenamento persistente. Audit, Deny, desabilitado 1.0.1
O ambiente de Aplicativos de Contêiner deve desabilitar o acesso à rede pública Desabilite o acesso à rede pública para aprimorar a segurança expondo o ambiente dos Aplicativos de Contêiner por meio de um balanceador de carga interno. Isso elimina a necessidade de um endereço IP público e impede o acesso da Internet a todos os Aplicativos de Contêiner dentro do ambiente. Audit, Deny, desabilitado 1.0.1
Os Aplicativos de Contêiner devem desabilitar o acesso à rede externa Desabilite o acesso da rede externa aos Aplicativos de Contêiner impondo a entrada somente interna. Isso garantirá que a comunicação de entrada para os Aplicativos de Contêiner seja limitada aos chamadores dentro do ambiente dos Aplicativos de Contêiner. Audit, Deny, desabilitado 1.0.1
Os Aplicativos de Contêiner devem ser acessíveis apenas por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Desabilitar 'allowInsecure' resultará no redirecionamento automático das solicitações de conexões HTTP para HTTPS para aplicativos de contêiner. Audit, Deny, desabilitado 1.0.1
A Identidade Gerenciada deve ser habilitada para Aplicativos de Contêiner Impor a identidade gerenciada garante que os Aplicativos de Contêiner possam autenticar com segurança qualquer recurso que dê suporte à autenticação do Azure AD Audit, Deny, desabilitado 1.0.1

Instância de contêiner

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O grupo de contêineres da Instância de Contêiner do Azure deve ser implantado em uma rede virtual Proteja a comunicação entre seus contêineres com as Redes Virtuais do Azure. Quando você especifica uma rede virtual, os recursos dentro da rede virtual podem se comunicar entre si de modo seguro e privado. Auditoria, desabilitado, negação 2.0.0
O grupo de contêineres da Instância de Contêiner do Azure deve usar a chave gerenciada pelo cliente para criptografia Proteja seus contêineres com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. Auditoria, desabilitado, negação 1.0.0
Definir configurações de diagnóstico para grupos de contêineres no espaço de trabalho do Log Analytics Implanta as configurações de diagnóstico para instância de contêiner para transmitir logs de recursos para um espaço de trabalho do Log Analytics quando qualquer instância de contêiner que não possui essas configurações de diagnóstico é criada ou atualizada. DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0

Instâncias de Contêiner

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Configurar diagnóstico do grupo de contêineres no workspace do Log Analytics Acrescenta o workspaceId e o workspaceKey do Log Analytics especificados quando qualquer grupo de contêineres que não tiver esses campos for criado ou atualizado. Não modifica os campos dos grupos de contêiner criados antes da aplicação dessa política até que esses grupos de recursos sejam alterados. Acrescentar, Desabilitado 1.0.0

Registro de Contêiner

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Configurar os registros de contêiner para desabilitar a autenticação anônima. Desabilite o pull anônimo para o registro, de modo que os dados não possam ser acessados por um usuário não autenticado. A desabilitação dos métodos de autenticação local (como usuário administrador, tokens de acesso no escopo do repositório e pull anônimo) aprimora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Active Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. Modificar, Desabilitado 1.0.0
Configure registros de contêiner para desabilitar a autenticação de token de audiência do ARM. Desabilite os tokens de audiência do ARM do Azure Active Directory para autenticação no registro. Somente tokens de audiência do ACR (Registro de Contêiner do Azure) serão usados para autenticação. Isso garantirá que somente tokens destinados ao uso no registro possam ser usados para autenticação. Desabilitar tokens de audiência do ARM não afeta a autenticação de tokens de acesso do usuário administrador ou com escopo. Saiba mais em: https://aka.ms/acr/authentication. Modificar, Desabilitado 1.0.0
Configurar registros de contêiner para desabilitar a conta de administrador local. Desabilite a conta de administrador do seu registro, de modo que o administrador local não possa acessá-lo. A desabilitação dos métodos de autenticação local (como usuário administrador, tokens de acesso no escopo do repositório e pull anônimo) aprimora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Active Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. Modificar, Desabilitado 1.0.1
Configurar Registros de Contêiner para desabilitar o acesso à rede pública Desabilite o acesso à rede pública para o seu recurso do Registro de Contêiner para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. Modificar, Desabilitado 1.0.0
Configurar registros de contêiner para desabilitar o token de acesso no escopo do repositório. Desabilite os tokens de acesso no escopo do repositório para o registro, de modo que os repositórios não possam ser acessados pelos tokens. A desabilitação dos métodos de autenticação local (como usuário administrador, tokens de acesso no escopo do repositório e pull anônimo) aprimora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Active Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. Modificar, Desabilitado 1.0.0
Configurar os Registros de Contêiner para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para ser resolvida para o Registro de Contêiner. Saiba mais em: https://aka.ms/privatednszone e https://aka.ms/acr/private-link. DeployIfNotExists, desabilitado 1.0.1
Configurar Registros de Contêiner com pontos de extremidade privados Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Pelo mapeamento de pontos de extremidade privados para seus recursos de registro de contêiner Premium, você pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints e https://aka.ms/acr/private-link. DeployIfNotExists, desabilitado 1.0.0
Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus Registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. Audit, Deny, desabilitado 1.1.2
Os registros de contêiner devem ter a autenticação anônima desabilitada. Desabilite o pull anônimo para o registro, de modo que os dados não possam ser acessados por um usuário não autenticado. A desabilitação dos métodos de autenticação local (como usuário administrador, tokens de acesso no escopo do repositório e pull anônimo) aprimora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Active Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. Audit, Deny, desabilitado 1.0.0
Os registros de contêiner devem ter a autenticação de token de audiência do ARM desabilitada. Desabilite os tokens de audiência do ARM do Azure Active Directory para autenticação no registro. Somente tokens de audiência do ACR (Registro de Contêiner do Azure) serão usados para autenticação. Isso garantirá que somente tokens destinados ao uso no registro possam ser usados para autenticação. Desabilitar tokens de audiência do ARM não afeta a autenticação de tokens de acesso do usuário administrador ou com escopo. Saiba mais em: https://aka.ms/acr/authentication. Audit, Deny, desabilitado 1.0.0
As exportações dos registros de contêiner devem estar desabilitadas Desabilitar exportações melhora a segurança ao garantir que os dados de um registro sejam acessados exclusivamente pelo dataplane ("docker pull"). Os dados não podem ser movidos para fora do registro via "acr import" ou "acr transfer". Para desabilitar as exportações, é preciso desabilitar o acesso à rede pública. Saiba mais em: https://aka.ms/acr/export-policy. Audit, Deny, desabilitado 1.0.0
Os registros de contêiner devem ter a conta de administrador local desabilitada. Desabilite a conta de administrador do seu registro, de modo que o administrador local não possa acessá-lo. A desabilitação dos métodos de autenticação local (como usuário administrador, tokens de acesso no escopo do repositório e pull anônimo) aprimora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Active Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. Audit, Deny, desabilitado 1.0.1
Os registros de contêiner devem ter o token de acesso no escopo do repositório desabilitado. Desabilite os tokens de acesso no escopo do repositório para o registro, de modo que os repositórios não possam ser acessados pelos tokens. A desabilitação dos métodos de autenticação local (como usuário administrador, tokens de acesso no escopo do repositório e pull anônimo) aprimora a segurança, garantindo que os registros de contêiner exijam exclusivamente identidades do Azure Active Directory para autenticação. Saiba mais em: https://aka.ms/acr/authentication. Audit, Deny, desabilitado 1.0.0
Os Registros de Contêiner devem ter SKUs que dão suporte a Links Privados O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Pelo mapeamento de pontos de extremidade privados para seus Registros de Contêiner, em vez de todo o serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/acr/private-link. Audit, Deny, desabilitado 1.0.0
Os registros de contêiner não devem permitir acesso irrestrito à rede Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger seus Registros contra possíveis ameaças, permita o acesso somente de pontos de extremidade privados, endereços IP públicos ou intervalos de endereços específicos. Se o Registro não tiver regras de rede configuradas, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. Audit, Deny, desabilitado 2.0.0
Os registros de contêiner devem impedir a criação de regra de cache Desabilite a criação de regra de cache para o Registro de Contêiner do Azure para evitar efetuar pull por meio de pulls de cache. Saiba mais em: https://aka.ms/acr/cache. Audit, Deny, desabilitado 1.0.0
Os registros de contêiner devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para seus registros de contêiner, em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. Audit, desabilitado 1.0.1
O acesso à rede pública deve ser desabilitado para Registros de Contêiner A desabilitação do acesso à rede pública aprimora a segurança, garantindo que os Registros de Contêiner não sejam expostos na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de recursos do registro de contêiner. Saiba mais em: https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. Audit, Deny, desabilitado 1.0.0

Cosmos DB

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
As contas do Azure Cosmos DB devem ter regras de firewall As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para evitar o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra de IP definida com o filtro de rede virtual habilitado são consideradas em conformidade. As contas que desabilitam o acesso público também são consideradas em conformidade. Audit, Deny, desabilitado 2.0.0
As contas do Azure Cosmos DB não devem exceder o número máximo de dias permitidos desde a última regeneração de chave da conta. Regenere suas chaves no tempo especificado para manter seus dados mais protegidos. Audit, desabilitado 1.0.0
As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
Locais permitidos do Azure Cosmos DB Esta política permite que você restrinja os locais que sua organização pode especificar ao implantar recursos do Azure Cosmos DB. Use para impor seus requisitos de conformidade geográfica. [parameters('policyEffect')] 1.1.0
O acesso de gravação de metadados baseado na chave do Azure Cosmos DB deve ser desabilitado Esta política habilita verificar se todas as contas do Azure Cosmos DB desabilitam o acesso de gravação de metadados com base em chave. acrescentar 1.0.0
O Azure Cosmos DB deve desabilitar o acesso à rede pública A desabilitação do acesso à rede pública aprimora a segurança, garantindo que a conta do CosmosDB não seja exposta na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição da conta do CosmosDB. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Audit, Deny, desabilitado 1.0.0
A taxa de transferência do Azure Cosmos DB deve ser limitada Esta política habilita a restrição da taxa de transferência máxima que a sua organização pode especificar ao criar bancos de dados e contêineres do Azure Cosmos DB por meio do provedor de recursos. Ela bloqueia a criação de recursos de dimensionamento automático. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
Configurar contas de banco de dados do Cosmos DB para desabilitar a autenticação local Desabilite os métodos de autenticação local para que suas contas de banco de dados do Cosmos DB exijam identidades do Azure Active Directory exclusivamente para autenticação. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Modificar, Desabilitado 1.1.0
Configurar as contas do CosmosDB para desabilitar o acesso à rede pública Desabilite o acesso à rede pública para o seu recurso do CosmosDB para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Modificar, Desabilitado 1.0.1
Configurar as contas do CosmosDB para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver para a conta do CosmosDB. Saiba mais em: https://aka.ms/privatednszone. DeployIfNotExists, desabilitado 2.0.0
Configurar as contas do CosmosDB com pontos de extremidade privados Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Se você mapear os pontos de extremidade privados para a conta do CosmosDB, poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. DeployIfNotExists, desabilitado 1.0.0
As contas de banco de dados do Cosmos DB devem ter os métodos de autenticação local desabilitados Desabilitar os métodos de autenticação local aprimora a segurança, garantindo que as contas de banco de dados do Cosmos DB exijam identidades do Azure Active Directory exclusivamente para autenticação. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Audit, Deny, desabilitado 1.1.0
As contas do CosmosDB devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, desabilitado 1.0.0
Implantar a Proteção Avançada contra Ameaças em Contas do Cosmos DB Essa política habilita a Proteção Avançada contra Ameaças em contas do Cosmos DB. DeployIfNotExists, desabilitado 1.0.0

Provedor personalizado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implantar associações para um provedor personalizado Implanta um recurso de associação que associa os tipos de recursos selecionados ao provedor personalizado especificado. Essa implantação de política não dá suporte a tipos de recurso aninhados. deployIfNotExists 1.0.0

Data Box

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os trabalhos do Azure Data Box devem habilitar a criptografia dupla para dados inativos no dispositivo Habilite uma segunda camada de criptografia baseada em software para dados inativos no dispositivo. O dispositivo já está protegido por meio da criptografia AES de 256 bits para dados inativos. Essa opção adiciona uma segunda camada de criptografia de dados. Audit, Deny, desabilitado 1.0.0
Os trabalhos do Azure Data Box devem usar uma chave gerenciada pelo cliente para criptografar a senha de desbloqueio do dispositivo Use uma chave gerenciada pelo cliente para controlar a criptografia da senha de desbloqueio do dispositivo para o Azure Data Box. As chaves gerenciadas pelo cliente também ajudam a gerenciar o acesso à senha de desbloqueio do dispositivo pelo serviço Data Box para preparar o dispositivo e copiar dados de maneira automatizada. Os dados no próprio dispositivo já estão criptografados em repouso com a criptografia AES de 256 bits e a senha de desbloqueio do dispositivo é criptografada por padrão com uma chave gerenciada da Microsoft. Audit, Deny, desabilitado 1.0.0

Data Factory

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: pipelines do Azure Data Factory só devem se comunicar com domínios permitidos Para evitar a exfiltração do token de dados &, defina os domínios com os quais Azure Data Factory deve ter permissão para se comunicar. Observação: durante a versão prévia pública, a conformidade dessa política não é relatada, & para que a política seja aplicada ao Data Factory, habilite a funcionalidade de regras de saída no estúdio do ADF. Para obter mais informações, visite https://aka.ms/data-exfiltration-policy. Deny, Desabilitado 1.0.0 – versão prévia
Os Azure Data Factories devem ser criptografados com uma chave gerenciada pelo cliente Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Data Factory. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/adf-cmk. Audit, Deny, desabilitado 1.0.1
O runtime de integração do Azure Data Factory deve ter um limite para o número de núcleos Para gerenciar seus recursos e custos, limite o número de núcleos de um runtime de integração. Audit, Deny, desabilitado 1.0.0
O tipo de recurso do serviço vinculado do Azure Data Factory deve estar na lista de permitidos Defina a lista de permitidos dos tipos de serviço vinculado do Azure Data Factory. A restrição dos tipos de recursos permitidos permite o controle sobre o limite de movimentação de dados. Por exemplo, restrinja um escopo para permitir somente o Armazenamento de Blobs com o Data Lake Storage Gen1 e Gen2 para análise ou um escopo para permitir somente o acesso de SQL e Kusto para consultas em tempo real. Audit, Deny, desabilitado 1.1.0
Os serviços vinculados do Azure Data Factory devem usar o Key Vault para armazenamento de segredos Para garantir que os segredos (por exemplo, cadeias de conexão) sejam gerenciados com segurança, exija que os usuários forneçam segredos usando um Azure Key Vault em vez de especificá-los embutidos em serviços vinculados. Audit, Deny, desabilitado 1.0.0
Quando isto for compatível, os serviços vinculados do Azure Data Factory deverão usar a autenticação de identidade gerenciada atribuída pelo sistema O uso da identidade gerenciada atribuída pelo sistema ao se comunicar com armazenamentos de dados por meio de serviços vinculados evita o uso de credenciais menos protegidas, como senhas ou cadeias de conexão. Audit, Deny, desabilitado 2.1.0
O Azure Data Factory deve usar um repositório Git para controle do código-fonte Configure somente seu data factory de desenvolvimento com a integração do Git. As alterações no teste e na produção devem ser implantadas por meio de CI/CD e NÃO devem ter integração com o Git. NÃO aplique essa política em seus data factories de QA/Teste/Produção. Audit, Deny, desabilitado 1.0.1
O Azure Data Factory deve usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, desabilitado 1.0.0
Configurar data factories para desabilitar o acesso à rede pública Desabilite o acesso à rede pública no data factory para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. Modificar, Desabilitado 1.0.0
Configurar zonas DNS privadas para pontos de extremidade privados que se conectam ao Azure Data Factory Os registros de DNS privado permitem conexões privadas com pontos de extremidade privados. As conexões de ponto de extremidade privado permitem a comunicação segura habilitando a conectividade privada com o Azure Data Factory, sem a necessidade de endereços IP públicos na origem nem no destino. Para obter mais informações sobre pontos de extremidade privados e zonas DNS no Azure Data Factory, confira https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, desabilitado 1.0.0
Configurar pontos de extremidade privados para data factories Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Com o mapeamento dos pontos de extremidade privados para o Azure Data Factory, você poderá reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, desabilitado 1.1.0
O acesso à rede pública no Azure Data Factory deve ser desabilitado A desabilitação da propriedade de acesso à rede pública aprimora a segurança garantindo que o Azure Data Factory só possa ser acessado de um ponto de extremidade privado. Audit, Deny, desabilitado 1.0.0
Os runtimes de integração do SQL Server Integration Services no Azure Data Factory devem estar ingressados em uma rede virtual A implantação da Rede Virtual do Azure fornece segurança e isolamento aprimorados para seus runtimes de integração do SQL Server Integration Services no Azure Data Factory, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Audit, Deny, desabilitado 2.3.0

Data Lake

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Exigir a criptografia em contas do Data Lake Storage Essa política garantirá que a criptografia esteja habilitada em todas as contas do Data Lake Storage deny 1.0.0
Os logs de recurso no Azure Data Lake Storage devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os logs de recurso no Data Lake Analytics devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0

Virtualização de área de trabalho

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os hostpools da Área de Trabalho Virtual do Azure devem desabilitar o acesso à rede pública Desabilitar o acesso à rede pública melhora a segurança e mantém seus dados seguros, garantindo que o acesso ao serviço da Área de Trabalho Virtual do Azure não seja exposto à Internet pública. Saiba mais em: https://aka.ms/avdprivatelink. Audit, Deny, desabilitado 1.0.0
Os hostpools da Área de Trabalho Virtual do Azure devem desabilitar o acesso à rede pública somente em hosts da sessão Desabilitar o acesso à rede pública nos hosts da sessão do hostpool da Área de Trabalho Virtual do Azure, mas permitir o acesso público aos usuários finais melhora a segurança limitando a exposição à Internet pública. Saiba mais em: https://aka.ms/avdprivatelink. Audit, Deny, desabilitado 1.0.0
O serviço de Área de Trabalho Virtual do Azure deve usar o link privado Usar o Link Privado do Azure com seus recursos da Área de Trabalho Virtual do Azure pode melhorar a segurança e manter seus dados seguros. Saiba mais sobre links privados em: https://aka.ms/avdprivatelink. Audit, desabilitado 1.0.0
Os workspaces da Área de Trabalho Virtual do Azure devem desabilitar o acesso à rede pública Desabilitar o acesso à rede pública no recurso de workspace da Área de Trabalho Virtual do Azure impede que o feed seja acessível pela Internet pública. Permitir apenas o acesso à rede privada melhora a segurança e mantém seus dados seguros. Saiba mais em: https://aka.ms/avdprivatelink. Audit, Deny, desabilitado 1.0.0
Configurar os recursos do hostpool da Área de Trabalho Virtual do Azure para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas do recurso do Serviço da Área de Trabalho Virtual do Azure. Saiba mais em: https://aka.ms/privatednszone. DeployIfNotExists, desabilitado 1.0.0
Configure os hostpools da Área de Trabalho Virtual do Azure para desabilitar o acesso à rede pública Desabilite o acesso à rede pública para hosts de sessão e usuários finais em seu recurso de hostpool da Área de Trabalho Virtual do Azure para que ele não seja acessível pela Internet pública. Isso melhora a segurança e mantém seus dados seguros. Saiba mais em: https://aka.ms/avdprivatelink. Modificar, Desabilitado 1.0.0
Configure os hostpools da Área de Trabalho Virtual do Azure para desabilitar o acesso à rede pública somente para hosts da sessão Desabilite o acesso à rede pública nos hosts da sessão do hostpool da Área de Trabalho Virtual do Azure, mas permita o acesso público aos usuários finais. Isso permite que os usuários ainda acessem o serviço AVD, garantindo que o host da sessão só seja acessível por meio de rotas privadas. Saiba mais em: https://aka.ms/avdprivatelink. Modificar, Desabilitado 1.0.0
Configurar hostpools da Área de Trabalho Virtual do Azure com pontos de extremidade privados Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem usar um endereço IP público na origem, tampouco no destino. Ao mapear pontos de extremidade privados para seus recursos da Área de Trabalho Virtual do Azure, você pode melhorar a segurança e manter seus dados seguros. Saiba mais em: https://aka.ms/avdprivatelink. DeployIfNotExists, desabilitado 1.0.0
Configurar os recursos do workspace da Área de Trabalho Virtual do Azure para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas do recurso do Serviço da Área de Trabalho Virtual do Azure. Saiba mais em: https://aka.ms/privatednszone. DeployIfNotExists, desabilitado 1.0.0
Configure os workspaces da Área de Trabalho Virtual do Azure para desabilitar o acesso à rede pública Desabilite o acesso à rede pública no recurso de workspace da Área de Trabalho Virtual do Azure para que o feed não fique acessível pela Internet pública. Isso melhora a segurança e mantém seus dados seguros. Saiba mais em: https://aka.ms/avdprivatelink. Modificar, Desabilitado 1.0.0
Configurar workspaces da Área de Trabalho Virtual do Azure com pontos de extremidade privados Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem usar um endereço IP público na origem, tampouco no destino. Ao mapear pontos de extremidade privados para seus recursos da Área de Trabalho Virtual do Azure, você pode melhorar a segurança e manter seus dados seguros. Saiba mais em: https://aka.ms/avdprivatelink. DeployIfNotExists, desabilitado 1.0.0

ElasticSan

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O ElasticSan deve desabilitar o acesso à rede pública Desabilite o acesso à rede pública para o ElasticSan de modo que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Audit, Deny, desabilitado 1.0.0
O Grupo de Volumes ElasticSan deve usar chaves gerenciadas pelo cliente para criptografar dados inativos Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu VolumeGroup. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pela plataforma, mas as CMK normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada e de sua propriedade, com total controle e responsabilidade, incluindo rotação e gerenciamento. Audit, desabilitado 1.0.0
O Grupo de Volumes do ElasticSan deve usar pontos de extremidade privados Os pontos de extremidade privados permitem que o administrador conecte redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para o grupo de volumes, o administrador pode reduzir os riscos de vazamento de dados Audit, desabilitado 1.0.0

Grade de Eventos

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os domínios da Grade de Eventos do Azure devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/privateendpoints. Audit, Deny, desabilitado 1.0.0
Domínios da Grade de Eventos do Azure devem ter métodos de autenticação local desabilitados Desabilitar os métodos de autenticação local aprimora a segurança, garantindo que domínios da Grade de Eventos do Azure exijam identidades do Azure Active Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/aeg-disablelocalauth. Audit, Deny, desabilitado 1.0.0
Os domínios da Grade de Eventos do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Audit, desabilitado 1.0.2
O agente MQTT do namespace da Grade de Eventos do Azure deve usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu namespace de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/aeg-ns-privateendpoints. Audit, desabilitado 1.0.0
O agente de tópicos do namespace da Grade de Eventos do Azure deve usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu namespace de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/aeg-ns-privateendpoints. Audit, desabilitado 1.0.0
Os namespaces da Grade de Eventos do Azure devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/aeg-ns-privateendpoints. Audit, Deny, desabilitado 1.0.0
Os namespaces de parceiros da Grade de Eventos do Azure devem ter métodos de autenticação local desabilitados Desabilitar os métodos de autenticação local aprimora a segurança, garantindo que namespaces do parceiro da Grade de Eventos do Azure exijam identidades do Azure Active Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/aeg-disablelocalauth. Audit, Deny, desabilitado 1.0.0
Os tópicos da Grade de Eventos do Azure devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/privateendpoints. Audit, Deny, desabilitado 1.0.0
Os tópicos da Grade de Eventos do Azure devem ter métodos de autenticação local desabilitados Desabilitar os métodos de autenticação local aprimora a segurança, garantindo que tópicos da Grade de Eventos do Azure exijam identidades do Azure Active Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/aeg-disablelocalauth. Audit, Deny, desabilitado 1.0.0
Os tópicos da Grade de Eventos do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. Audit, desabilitado 1.0.2
Configurar os domínios da Grade de Eventos do Azure para desabilitar a autenticação local Desabilite os métodos de autenticação local para que os domínios da Grade de Eventos do Azure exijam de modo exclusivo as identidades do Azure Active Directory para executar uma autenticação. Saiba mais em: https://aka.ms/aeg-disablelocalauth. Modificar, Desabilitado 1.0.0
Configurar o Agente MQTT do namespace da Grade de Eventos do Azure com pontos de extremidade privados Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Por meio do mapeamento de pontos de extremidade privados para os seus recursos, eles estarão protegidos contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/aeg-ns-privateendpoints. DeployIfNotExists, desabilitado 1.0.0
Configurar namespaces da Grade de Eventos do Azure com pontos de extremidade privados Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Por meio do mapeamento de pontos de extremidade privados para os seus recursos, eles estarão protegidos contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/aeg-ns-privateendpoints. DeployIfNotExists, desabilitado 1.0.0
Configurar os namespaces de parceiros da Grade de Eventos do Azure para desabilitar a autenticação local Desabilite os métodos de autenticação local para que os namespaces do parceiro da Grade de Eventos do Azure exijam de modo exclusivo as identidades do Azure Active Directory para executar uma autenticação. Saiba mais em: https://aka.ms/aeg-disablelocalauth. Modificar, Desabilitado 1.0.0
Configure os tópicos da Grade de Eventos do Azure para desabilitar a autenticação local Desabilite os métodos de autenticação local para que os tópicos da Grade de Eventos do Azure exijam de modo exclusivo as identidades do Azure Active Directory para executar uma autenticação. Saiba mais em: https://aka.ms/aeg-disablelocalauth. Modificar, Desabilitado 1.0.0
Implantar – Configure domínios da Grade de Eventos do Azure para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Saiba mais em: https://aka.ms/privatednszone. deployIfNotExists, DeployIfNotExists, Desabilitado 1.1.0
Implantar – Configure domínios da Grade de Eventos do Azure com pontos de extremidade privados Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Por meio do mapeamento de pontos de extremidade privados para os seus recursos, eles estarão protegidos contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. DeployIfNotExists, desabilitado 1.0.0
Implantar – Configure tópicos da Grade de Eventos do Azure para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Saiba mais em: https://aka.ms/privatednszone. deployIfNotExists, DeployIfNotExists, Desabilitado 1.1.0
Implantar – Configure tópicos da Grade de Eventos do Azure com pontos de extremidade privados Os pontos de extremidade privados permitem que você conecte a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Por meio do mapeamento de pontos de extremidade privados para os seus recursos, eles estarão protegidos contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. DeployIfNotExists, desabilitado 1.0.0
Modificar – Configure domínios da Grade de Eventos do Azure para desabilitar o acesso à rede pública Desabilite o acesso à rede pública para o recurso da Grade de Eventos do Azure para que ele não possa ser acessado pela Internet pública. Isso ajudará a protegê-los contra riscos de perda de dados. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/privateendpoints. Modificar, Desabilitado 1.0.0
Modificar – Configure os tópicos da Grade de Eventos do Azure para desabilitar o acesso à rede pública Desabilite o acesso à rede pública para o recurso da Grade de Eventos do Azure para que ele não possa ser acessado pela Internet pública. Isso ajudará a protegê-los contra riscos de perda de dados. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://aka.ms/privateendpoints. Modificar, Desabilitado 1.0.0

Hub de evento

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Todas as regras de autorização, exceto a RootManageSharedAccessKey, devem ser removidas do namespace do Hub de Eventos Os clientes do Hub de Eventos não devem usar uma política de acesso no nível do namespace que forneça acesso a todas as filas e tópicos em um namespace. Para alinhar-se ao modelo de segurança com menos privilégios, você deve criar políticas de acesso no nível da entidade para que as filas e os tópicos forneçam acesso somente à entidade específica Audit, Deny, desabilitado 1.0.1
As regras de autorização na instância do Hub de Eventos devem ser definidas Auditar a existência de regras de autorização em entidades do Hub de Eventos para conceder acesso com privilégios mínimos AuditIfNotExists, desabilitado 1.0.0
Os namespaces do Hub de Eventos do Azure devem ter métodos de autenticação local desabilitados Desabilitar os métodos de autenticação local aprimora a segurança, garantindo que os namespaces do Hub de Eventos do Azure exijam identidades do Microsoft Entra ID exclusivamente para autenticação. Saiba mais em: https://aka.ms/disablelocalauth-eh. Audit, Deny, desabilitado 1.0.1
Configurar namespaces do Hub de Eventos do Azure para desabilitar a autenticação local Desabilite os métodos de autenticação local para que os namespaces do Hub de Eventos do Azure exijam de modo exclusivo as identidades do Microsoft Entra ID para executar uma autenticação. Saiba mais em: https://aka.ms/disablelocalauth-eh. Modificar, Desabilitado 1.0.1
Configurar os namespaces do Hub de Eventos para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver para namespaces do Hub de Eventos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, desabilitado 1.0.0
Configurar os namespaces do Hub de Eventos com pontos de extremidade privados Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Se você mapear os pontos de extremidade privados para os namespaces do Hub de Eventos, poderá reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, desabilitado 1.0.0
Os Namespaces do Hub de Eventos devem desativar o acesso à rede pública O Hub de Eventos do Azure deve ter o acesso à rede pública desabilitado. A desabilitação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service Audit, Deny, desabilitado 1.0.0
Os namespaces do Hub de Eventos devem ter a criptografia dupla habilitada A habilitação da criptografia dupla ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando a criptografia dupla é habilitada, os dados da conta de armazenamento são criptografados duas vezes, uma vez no nível de serviço e outro no nível de infraestrutura, por meio de dois algoritmos de criptografia diferentes e duas chaves distintas. Audit, Deny, desabilitado 1.0.0
Os namespaces do Hub de Eventos devem usar uma chave gerenciada pelo cliente para criptografia Os Hubs de Eventos do Azure dão suporte à opção de criptografar dados inativos com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite que você atribua, gire, desabilite e revogue o acesso às chaves que o Hub de Eventos usará para criptografar dados em seu namespace. Observe que o Hub de Eventos dá suporte apenas à criptografia com chaves gerenciadas pelo cliente para namespaces em clusters dedicados. Audit, desabilitado 1.0.0
Os namespaces do Hub de Eventos devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, desabilitado 1.0.0
Os logs de recurso no Hub de Eventos devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0

Fluid Relay

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Fluid Relay deve usar chaves gerenciadas pelo cliente para criptografar dados inativos Use chaves gerenciadas pelo cliente para gerenciar a criptografia em seu servidor Fluid Relay. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as CMK normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada e de sua propriedade, com total controle e responsabilidade, incluindo rotação e gerenciamento. Saiba mais em https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. Audit, desabilitado 1.0.0

Geral

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: não permitir a exclusão de tipos de recursos Essa política permite especificar os tipos de recursos que sua organização pode proteger contra exclusão acidental bloqueando chamadas de exclusão usando o efeito de ação de negação. DenyAction, Desabilitado 1.0.0 – versão prévia
Locais permitidos Esta política permite que você restrinja os locais que sua organização pode especificar ao implantar recursos. Use para impor seus requisitos de conformidade geográfica. Exclui grupos de recursos, Microsoft.AzureActiveDirectory/b2cDirectories e recursos que usam a região "global". deny 1.0.0
Localizações permitidas para grupos de recursos Esta política permite que você restrinja os locais em que sua organização pode criar grupos de recursos. Use para impor seus requisitos de conformidade geográfica. deny 1.0.0
Tipos de recursos permitidos Essa política permite especificar os tipos de recursos que sua organização pode implantar. Somente os tipos de recursos que dão suporte a "marcas" e "local" serão afetados por essa política. Para restringir todos os recursos, duplique essa política e altere o "modo" para "Todos". deny 1.0.0
O local do recurso de auditoria corresponde ao local do grupo de recursos Auditar se o local do recurso corresponde ao local do seu grupo de recursos auditoria 2.0.0
Auditoria o uso de funções personalizadas do RBAC Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças Audit, desabilitado 1.0.1
Configurar assinaturas para configurar a versão prévia dos recursos Essa política avalia a versão prévia dos recursos da assinatura existente. As assinaturas podem ser corrigidas para se registrarem em uma versão prévia de um novo recurso. As novas assinaturas não serão registradas automaticamente. AuditIfNotExists, DeployIfNotExists, desabilitado 1.0.1
Não permitir Recursos do M365 Bloqueie a criação de recursos do M365. Audit, Deny, desabilitado 1.0.0
Não permitir recursos do MCPP Bloqueie a criação de recursos do MCPP. Audit, Deny, desabilitado 1.0.0
Excluir recursos de custos de uso Esta política permite que você exclua recursos de custos de uso. Os custos de uso incluem coisas como armazenamento medido e recursos do Azure que são cobrados com base no uso. Audit, Deny, desabilitado 1.0.0
Tipos de recursos não permitidos Restrinja os tipos de recursos que poderão ser implantados em seu ambiente. Limitar os tipos de recursos poderá reduzir a complexidade e a superfície de ataque do ambiente, enquanto também ajuda a gerenciar custos. Os resultados de conformidade serão mostrados somente para recursos não compatíveis. Audit, Deny, desabilitado 2.0.0

Configuração de convidado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: adicionar identidade gerenciada atribuída pelo usuário para habilitar atribuições de Configuração de Convidado em máquinas virtuais Essa política adiciona uma identidade gerenciada atribuída pelo usuário a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado. Uma identidade gerenciada atribuída pelo usuário é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. AuditIfNotExists, DeployIfNotExists, desabilitado 2.1.0 – versão prévia
[Versão prévia]: configure o Windows Server para desabilitar os usuários locais. Cria uma atribuição de Configuração de Convidado para configurar a desabilitação de usuários locais no Windows Server. Isso garantirá que o Windows Server somente poderá ser acessado pela conta do AAD (Azure Active Directory) ou por uma lista de usuários explicitamente permitidos por essa política, melhorando a postura geral de segurança. DeployIfNotExists, desabilitado 1.2.0 – versão prévia
[Versão prévia]: as atualizações de segurança estendidas devem ser instaladas em computadores Windows Server 2012 Arc. Os computadores Windows Server 2012 Arc devem ter instalado todas as Atualizações de Segurança Estendidas lançadas pela Microsoft. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, acesse https://aka.ms/gcpol AuditIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: As máquinas Linux devem atender aos requisitos da linha de base de segurança do Azure para hosts Docker Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. O computador não está configurado corretamente para uma das recomendações na linha de base de segurança do Azure para hosts Docker. AuditIfNotExists, desabilitado 1.2.0 – versão prévia
[Versão prévia]: os computadores Linux devem atender aos requisitos de conformidade do STIG para a computação do Azure Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador não estiver configurado corretamente para uma das recomendações nos requisitos de conformidade do STIG para computação do Azure. A DISA (Agência de Sistemas de Informações de Defesa) fornece guias técnicos STIG (Guia de Implementação Técnica de Segurança) para proteger o sistema operacional de computação, conforme exigido pelo Departamento de Defesa (DoD). Para obter mais detalhes, acesse https://public.cyber.mil/stigs/. AuditIfNotExists, desabilitado 1.2.0 – versão prévia
[Versão prévia]: computadores do Linux com OMI instalado devem ter a versão 1.6.8-1 ou posterior Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Devido a uma correção de segurança incluída na versão 1.6.8-1 do pacote OMI para Linux, todos os computadores devem ser atualizados para a versão mais recente. Atualize aplicativos/pacotes que usam o OMI para resolver o problema. Para obter mais informações, consulte https://aka.ms/omiguidance. AuditIfNotExists, desabilitado 1.2.0 – versão prévia
[Prévia]: as máquinas virtuais do Linux devem habilitar o Azure Disk Encryption ou EncryptionAtHost. Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves de criptografia gerenciada pela plataforma; os caches de dados e discos temporários não são criptografados, e os dados não são criptografados durante o fluxo entre recursos de computação e de armazenamento. Use o Azure Disk Encryption ou o EncryptionAtHost para criptografar todos esses dados.Visite https://aka.ms/diskencryptioncomparison para comparar as ofertas de criptografia. Esta política requer dois pré-requisitos a serem implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 1.2.0 – versão prévia
[Versão prévia]: os computadores de computação Nexus devem atender à Linha de Base de Segurança Utiliza o agente de Configuração de Convidado do Azure Policy para auditoria. Essa política garante que os computadores sigam a linha de base de segurança de computação do Nexus, abrangendo várias recomendações projetadas para fortalecer computadores em relação a uma variedade de vulnerabilidades e configurações não seguras (somente Linux). AuditIfNotExists, desabilitado 1.1.0 – versão prévia
[Versão prévia]: os computadores Windows devem atender aos requisitos de conformidade do STIG para computação do Azure Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações nos requisitos de conformidade do STIG para computação do Azure. A DISA (Agência de Sistemas de Informações de Defesa) fornece guias técnicos STIG (Guia de Implementação Técnica de Segurança) para proteger o sistema operacional de computação, conforme exigido pelo Departamento de Defesa (DoD). Para obter mais detalhes, acesse https://public.cyber.mil/stigs/. AuditIfNotExists, desabilitado 1.0.0 – versão prévia
[Prévia]: as máquinas virtuais do Windows devem habilitar o Azure Disk Encryption ou o EncryptionAtHost. Por padrão, o sistema operacional e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves de criptografia gerenciada pela plataforma; os caches de dados e discos temporários não são criptografados, e os dados não são criptografados durante o fluxo entre recursos de computação e de armazenamento. Use o Azure Disk Encryption ou o EncryptionAtHost para criptografar todos esses dados.Visite https://aka.ms/diskencryptioncomparison para comparar as ofertas de criptografia. Esta política requer dois pré-requisitos a serem implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 1.1.0 – versão prévia
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Auditar os computadores Linux que permitem conexões remotas de contas sem senhas Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem conexões remotas de contas sem senhas AuditIfNotExists, desabilitado 3.1.0
Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 AuditIfNotExists, desabilitado 3.1.0
Auditar os computadores Linux que não têm os aplicativos especificados instalados Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o recurso Chef InSpec indicar que um ou mais dos pacotes fornecidos pelo parâmetro não estão instalados. AuditIfNotExists, desabilitado 4.2.0
Auditar os computadores Linux que têm contas sem senhas Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem contas sem senhas AuditIfNotExists, desabilitado 3.1.0
Auditar os computadores Linux que têm os aplicativos especificados instalados Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o recurso Chef InSpec indicar que um ou mais dos pacotes fornecidos pelo parâmetro estão instalados. AuditIfNotExists, desabilitado 4.2.0
Auditar computadores Windows que não têm membros especificados no Grupo de administradores Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o Grupo de administradores local não contiver um ou mais membros listados no parâmetro de política. auditIfNotExists 2.0.0
Auditar a conectividade de rede de computadores Windows Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se um status de conexão de rede para um IP e a porta TCP não corresponderem ao parâmetro de política. auditIfNotExists 2.0.0
Auditar computadores Windows nos quais a configuração DSC não está em conformidade Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o comando Get-DSCConfigurationStatus do Windows PowerShell retornar que a configuração DSC do computador não está em conformidade. auditIfNotExists 3.0.0
Auditar os computadores Windows nos quais o agente do Log Analytics não esteja conectado conforme o esperado Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o agente não estiver instalado e nem se ele estiver instalado, mas o objeto COM AgentConfigManager.MgmtSvcCfg retornar que ele está registrado em um workspace diferente da ID especificada no parâmetro de política. auditIfNotExists 2.0.0
Auditar computadores Windows nos quais os serviços especificados não estão instalados e 'Em execução' Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o resultado do comando Get-Service do Windows PowerShell não incluir o nome do serviço com o status correspondente, conforme especificado pelo parâmetro de política. auditIfNotExists 3.0.0
Auditar computadores Windows nos quais o Console Serial do Windows não está habilitado Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador não tiver o software do Console Serial instalado ou se o número da porta do EMS ou a taxa de transmissão não estiverem configurados com os mesmos valores que os dos parâmetros da política. auditIfNotExists 3.0.0
Auditar computadores Windows que permitem o reutilização das senhas após o número especificado de senhas exclusivas Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 AuditIfNotExists, desabilitado 2.1.0
Auditar os computadores Windows que não ingressaram no domínio especificado Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o valor da propriedade de Domínio na classe WMI win32_computersystem não corresponder ao valor no parâmetro de política. auditIfNotExists 2.0.0
Auditar os computadores Windows que não estão definidos para o fuso horário especificado Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o valor da propriedade StandardName na classe WMI Win32_TimeZone não corresponder ao fuso horário selecionado para o parâmetro de política. auditIfNotExists 3.0.0
Auditar os computadores Windows que contêm certificados que expiram dentro do número de dias especificado Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os certificados no repositório especificado tiverem uma data de validade fora do intervalo para o número de dias fornecido como parâmetro. A política também fornece a opção de verificar apenas certificados específicos ou excluir certificados específicos e se certificados expirados serão relatados. auditIfNotExists 2.0.0
Auditar os computadores Windows que não contêm os certificados especificados na Raiz Confiável Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o repositório de certificados Raiz Confiável do computador (Cert:\LocalMachine\Root) não contiver um ou mais certificados listados pelo parâmetro de política. auditIfNotExists 3.0.0
Auditar computadores Windows que não têm a idade máxima da senha definida como o número especificado de dias Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows não tiverem a idade máxima da senha definida como o número especificado de dias. O valor padrão para a idade máxima da senha é de 70 dias AuditIfNotExists, desabilitado 2.1.0
Auditar computadores Windows que não têm a idade mínima da senha definida como o número especificado de dias Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se computadores Windows não têm a idade mínima da senha definida como o número especificado de dias. O valor padrão para a idade mínima da senha é 1 dia AuditIfNotExists, desabilitado 2.1.0
Auditar os computadores Windows que não têm a configuração de complexidade de senha habilitada Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não têm a configuração de complexidade de senha habilitada AuditIfNotExists, desabilitado 2.0.0
Faça auditoria dos computadores Windows que não têm a política de execução do Windows PowerShell especificada Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o comando Get-ExecutionPolicy do Windows PowerShell retornar um valor diferente do que foi selecionado no parâmetro de política. AuditIfNotExists, desabilitado 3.0.0
Faça auditoria dos computadores Windows que não têm os módulos do Windows PowerShell especificados instalados Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se um módulo não estiver disponível em um local especificado pela variável de ambiente PSModulePath. AuditIfNotExists, desabilitado 3.0.0
Auditar os computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres. O valor padrão no comprimento mínimo da senha é de 14 caracteres AuditIfNotExists, desabilitado 2.1.0
Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não armazenam senhas usando a criptografia reversível AuditIfNotExists, desabilitado 2.0.0
Auditar os computadores Windows que não têm os aplicativos especificados instalados Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o nome do aplicativo não for encontrado em nenhum dos seguintes caminhos do Registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Auditar os computadores Windows que têm contas extras no Grupo de administradores Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o Grupo de administradores local contiver membros que não estejam listados no parâmetro de política. auditIfNotExists 2.0.0
Auditar os computadores Windows que não foram reiniciados dentro do número de dias especificado Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se a propriedade WMI LastBootUpTime na classe Win32_Operatingsystem estiver fora do intervalo de dias fornecido pelo parâmetro de política. auditIfNotExists 2.0.0
Auditar os computadores Windows que têm os aplicativos especificados instalados Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o nome do aplicativo for encontrado em algum dos seguintes caminhos do Registro: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Auditar computadores Windows que têm os membros especificados no Grupo de administradores Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o Grupo de administradores local contiver um ou mais membros listados no parâmetro de política. auditIfNotExists 2.0.0
Auditar as VMs do Windows com uma reinicialização pendente Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se o computador tiver uma reinicialização pendente por qualquer um dos seguintes motivos: serviço baseado em componentes, Windows Update, renomeação de arquivo pendente, renomeação de computador pendente, reinicialização pendente do Configuration Manager. Cada detecção tem um caminho do Registro exclusivo. auditIfNotExists 2.0.0
A autenticação para computadores Linux deve exigir chaves SSH Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure por SSH é com um par de chaves pública-privada, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, desabilitado 3.2.0
Configure o Linux Server para desabilitar usuários locais. Cria uma atribuição de Configuração de Convidado para configurar a desabilitação de usuários locais no Linux Server. Isso garante que os Linux Servers só possam ser acessados pela conta do AAD (Azure Active Directory) ou por uma lista de usuários explicitamente permitidos por essa política, aprimorando a postura geral de segurança. DeployIfNotExists, desabilitado 1.3.0-preview
Configurar protocolos de comunicação segura (TLS 1.1 ou TLS 1.2) em computadores Windows Cria uma atribuição de Configuração de Convidado para configurar a versão especificada do protocolo seguro (TLS 1.1 ou TLS 1.2) no computador Windows. DeployIfNotExists, desabilitado 1.0.1
Configurar o fuso horário nos computadores Windows. Esta política cria uma atribuição de Configuração de Convidado para definir o fuso horário especificado nas máquinas virtuais do Windows. deployIfNotExists 2.1.0
Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 3.1.0
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 1.2.0
Os computadores Linux devem ter o agente do Log Analytics instalado no Azure Arc Os computadores ficam fora de conformidade se o agente do Log Analytics não estiver instalado no servidor Linux habilitado para Azure Arc. AuditIfNotExists, desabilitado 1.1.0
Os computadores Linux devem atender aos requisitos da linha de base de segurança de computação do Azure Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. AuditIfNotExists, desabilitado 2.2.0
Os computadores Linux devem ter apenas contas locais que sejam permitidas Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Gerenciar contas de usuário usando o Azure Active Directory é uma melhor prática de gerenciamento de identidades. Reduzir contas de computador local ajuda a evitar a proliferação de identidades gerenciadas fora de um sistema central. Os computadores não serão compatíveis se existirem contas de usuário locais habilitadas e não listadas no parâmetro da política. AuditIfNotExists, desabilitado 2.2.0
Os métodos de autenticação local devem ser desativados em máquinas Linux Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os servidores Linux não tiverem métodos de autenticação local desabilitados. Isso garante que os Linux Servers só possam ser acessados pela conta do AAD (Azure Active Directory) ou por uma lista de usuários explicitamente permitidos por essa política, aprimorando a postura geral de segurança. AuditIfNotExists, desabilitado 1.2.0 – versão prévia
Os métodos de autenticação local devem ser desativados nos servidores Windows Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os servidores Windows não tiverem métodos de autenticação local desabilitados. Isso serve para validar que os Windows Servers só podem ser acessados pela conta do AAD (Azure Active Directory) ou por uma lista de usuários explicitamente permitidos por essa política, aprimorando a postura geral de segurança. AuditIfNotExists, desabilitado 1.0.0 – versão prévia
Os pontos de extremidade privados para atribuições de configuração de convidado devem ser habilitados As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada à configuração de convidado para máquinas virtuais. As máquinas virtuais não estarão em conformidade, a menos que tenham a marca 'EnablePrivateNetworkGC'. Essa marca impõe a comunicação segura por meio da conectividade privada com a configuração de convidado para máquinas virtuais. A conectividade privada limita o acesso ao tráfego proveniente somente de redes conhecidas e impede o acesso de todos os outros endereços IP, incluindo no Azure. Audit, Deny, desabilitado 1.1.0
O Microsoft Defender Exploit Guard deve estar habilitado nos computadores O Microsoft Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes que foram projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas encontrem um equilíbrio entre os requisitos de produtividade e o risco de segurança enfrentados (somente Windows). AuditIfNotExists, desabilitado 2.0.0
Os computadores Windows devem ser configurados para usar protocolos de comunicação seguros Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. AuditIfNotExists, desabilitado 4.1.1
Os computadores Windows devem configurar o Windows Defender para atualizar assinaturas de proteção em até um dia Para fornecer proteção adequada contra malwares recém-lançados, as assinaturas de proteção do Windows Defender precisam ser atualizadas regularmente para considerá-los. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. AuditIfNotExists, desabilitado 1.0.0
Os computadores Windows devem habilitar a proteção em tempo real do Windows Defender Os computadores Windows devem habilitar a proteção em tempo real no Windows Defender para fornecer proteção adequada contra malware recém-lançado. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. AuditIfNotExists, desabilitado 1.0.0
Os computadores Windows devem ter o agente do Log Analytics instalado no Azure Arc Os computadores ficam fora de conformidade se o agente do Log Analytics não estiver instalado no servidor Windows habilitado para Azure Arc. AuditIfNotExists, desabilitado 2.0.0
Os computadores Windows devem atender aos requisitos de 'Modelos Administrativos – Painel de Controle' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Modelos Administrativos – Painel de Controle' para personalização de entrada e prevenção de habilitação de telas de bloqueio. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Modelos Administrativos – MSS (Herdado)' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Modelos Administrativos – MSS (Herdado)' para logon automático, proteção de tela, comportamento de rede, DLL segura e log de eventos. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Modelos Administrativos – Rede' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Modelos Administrativos – Rede' para logons de convidado, conexões simultâneas, ponte de rede, ICS e resolução de nomes multicast. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Modelos Administrativos – Sistema' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Modelos Administrativos – Sistema' para as configurações que controlam a experiência administrativa e a Assistência Remota. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Contas' Os computadores Windows devem ter as configurações da Política de Grupo especificadas na categoria 'Opções de Segurança – Contas' para limitar o uso da conta local de senhas em branco e o status da conta convidado. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Auditoria' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Auditoria' para impor a subcategoria da política de auditoria e o desligamento se não for possível registrar em log as auditorias de segurança. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Dispositivos' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Dispositivos' para desencaixar sem fazer logon, instalar drivers de impressão e formatar/ejetar mídia. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Logon Interativo' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Logon Interativo' para exibir o nome do último usuário e exigir Ctrl-Alt-Del. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Cliente de Rede da Microsoft' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Cliente de Rede da Microsoft' para o cliente/servidor de rede da Microsoft e o SMB v1. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Servidor de Rede da Microsoft' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Servidor de Rede da Microsoft' para desabilitar o servidor SMB v1. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Acesso à Rede' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Acesso à Rede' para incluir o acesso a usuários anônimos, contas locais e acesso remoto ao Registro. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Segurança de Rede' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Segurança de Rede' para incluir o comportamento do Sistema Local, PKU2U, LAN Manager, cliente LDAP e NTLM SSP. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Console de recuperação' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Console de recuperação' para permitir a cópia de disquete e o acesso a todas as unidades e pastas. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Desligamento' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Desligamento' para permitir o desligamento sem fazer logon e limpar o arquivo de paginação de memória virtual. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Objetos do sistema' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Objetos do sistema' para não diferenciação de maiúsculas e minúsculas para subsistemas que não são Windows e permissões de objetos internos do sistema. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Configurações do sistema' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Configurações do sistema' para regras de certificado em executáveis para a política SRP e subsistemas opcionais. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Opções de Segurança – Controle de Conta de Usuário' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Opções de Segurança – Controle de Conta de Usuário' para o modo de administradores, o comportamento da solicitação de elevação e a virtualização de falhas de gravação de arquivo e no Registro. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Configurações de Segurança – Políticas de Conta' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Configurações de Segurança – Políticas de Conta' para histórico de senha, idade, comprimento, complexidade e armazenamento de senhas usando criptografia reversível. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Logon da Conta' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Logon da Conta' para auditoria da validação de credenciais e outros eventos de logon de conta. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Gerenciamento de Contas' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Gerenciamento de Contas' para auditoria de aplicativo, segurança e gerenciamento do grupo de usuários e outros eventos de gerenciamento. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Acompanhamento Detalhado' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Acompanhamento Detalhado' para auditoria de DPAPI, criação/encerramento de processos, eventos RPC e atividade PNP. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Logon/Logoff' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Logon-logoff' para auditoria de IPSec, política de rede, declarações, bloqueio de conta, associação de grupo e eventos de logon/logoff. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Acesso de Objeto' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Acesso a Objeto' para auditoria de arquivo, Registro, SAM, armazenamento, filtragem, kernel e outros tipos de sistema. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Alteração de Política' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Alteração de Política' para auditoria de alterações em políticas de auditoria do sistema. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Uso de Privilégios' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Uso de Privilégios' para auditoria do uso não confidencial e outro uso de privilégio. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Políticas de Auditoria do Sistema – Sistema' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Políticas de Auditoria do Sistema – Sistema' para auditoria de driver IPsec, integridade do sistema, extensão do sistema, alteração de estado e outros eventos do sistema. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Atribuição de Direitos do Usuário' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Atribuição de Direitos do Usuário' para permitir o logon local, o RDP, o acesso na rede e muitas outras atividades do usuário. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Componentes do Windows' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Componentes do Windows' para autenticação básica, tráfego não criptografado, contas Microsoft, telemetria, Cortana e outros comportamentos do Windows. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos de 'Propriedades do Firewall do Windows' Os computadores Windows devem ter as configurações de Política de Grupo especificadas na categoria 'Propriedades do Firewall do Windows' para estado do firewall, conexões, gerenciamento de regras e notificações. Essa política requer que os pré-requisitos de Configuração de Convidado tenham sido implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. AuditIfNotExists, desabilitado 3.0.0
Os computadores Windows devem atender aos requisitos da linha de base de segurança de computação do Azure Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se não estiverem configurados corretamente para uma das recomendações na linha de base de segurança de computação do Azure. AuditIfNotExists, desabilitado 2.0.0
Os computadores Windows devem ter apenas contas locais que sejam permitidas Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Não há suporte a essa definição no Windows Server 2012 ou 2012 R2. Gerenciar contas de usuário usando o Azure Active Directory é uma melhor prática de gerenciamento de identidades. Reduzir contas de computador local ajuda a evitar a proliferação de identidades gerenciadas fora de um sistema central. Os computadores não serão compatíveis se existirem contas de usuário locais habilitadas e não listadas no parâmetro da política. AuditIfNotExists, desabilitado 2.0.0
Os computadores Windows devem agendar o Windows Defender para executar uma verificação agendada todos os dias Para garantir a detecção de avisos de malware e minimizar o impacto em seu sistema, é recomendável que os computadores Windows com Windows Defender agendem uma verificação diária. Verifique se Windows Defender tem suporte, esteja pré-instalado no dispositivo e que os pré-requisitos de Configuração de Convidado estão implantados. A falha ao atender a esses requisitos pode levar a resultados de avaliação imprecisos. Saiba mais sobre a Configuração do Convidado em https://aka.ms/gcpol. AuditIfNotExists, desabilitado 1.2.0
Os computadores Windows devem usar o servidor NTP padrão Configure o 'time.windows.com' como o servidor NTP padrão para todos os computadores Windows a fim de garantir que os logs em todos os sistemas tenham relógios do sistema em sincronia. Essa política exige que os pré-requisitos da Configuração de Convidado tenham sido implantados no escopo da atribuição de política. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. AuditIfNotExists, desabilitado 1.0.0

HDInsight

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os clusters do Azure HDInsight devem ser injetados em uma rede virtual A injeção de clusters do Azure HDInsight em uma rede virtual desbloqueia recursos de segurança e rede avançados do HDInsight e fornece controle sobre sua configuração de segurança de rede. Auditoria, desabilitado, negação 1.0.0
Os clusters do Azure HDInsight devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos seus clusters do Azure HDInsight. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/hdi.cmk. Audit, Deny, desabilitado 1.0.1
Os clusters do Azure HDInsight devem usar criptografia no host para criptografar dados inativos A habilitação da criptografia no host ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando você habilita a criptografia no host, os dados armazenados no host da VM são criptografados em repouso e os fluxos são criptografados para o serviço de armazenamento. Audit, Deny, desabilitado 1.0.0
Os clusters do Azure HDInsight devem usar a criptografia em trânsito para criptografar a comunicação entre os nós de cluster do Azure HDInsight Os dados podem ser adulterados durante a transmissão entre os nós de cluster do Azure HDInsight. A habilitação da criptografia em trânsito resolve problemas de uso indevido e violação durante essa transmissão. Audit, Deny, desabilitado 1.0.0
O Azure HDInsight deve usar link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Mapeando os pontos de extremidade privados para clusters do Azure HDInsight, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/hdi.pl. AuditIfNotExists, desabilitado 1.0.0
Configurar clusters do Azure HDInsight para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas de workspaces dos clusters do Azure HDInsight. Saiba mais em: https://aka.ms/hdi.pl. DeployIfNotExists, desabilitado 1.0.0
Configurar clusters do Azure HDInsight com pontos de extremidade privados Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Mapeando os pontos de extremidade privados para clusters do Azure HDInsight, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/hdi.pl. DeployIfNotExists, desabilitado 1.0.0

Health Bot

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os Bots do Azure Health devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Use chaves gerenciadas pelo cliente (CMK) para gerenciar a criptografia dos dados restantes de seus healthbots. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas a CMK geralmente é exigida para atender aos padrões de conformidade regulatória. A CMK permite que os dados sejam criptografados com uma chave do Azure Key Vault criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://docs.microsoft.com/azure/health-bot/cmk Audit, desabilitado 1.0.0

Workspace dos Serviços de Dados de Saúde

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O workspace dos Serviços de Dados de Saúde do Azure deve usar um link privado O workspace dos Serviços de Dados de Saúde deve ter, no mínimo, uma conexão de ponto de extremidade privado aprovada. Os clientes em uma rede virtual podem acessar com segurança recursos que têm conexões de ponto de extremidade privado por meio de links privados. Para obter mais informações, visite: https://aka.ms/healthcareapisprivatelink. Audit, desabilitado 1.0.0

APIs de Serviços de Saúde

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O CORS não deve permitir que todos os domínios acessem o Serviço FHIR O CORS (Compartilhamento de Recursos entre Origens) não deve permitir que todos os domínios acessem o Serviço FHIR. Para proteger o Serviço FHIR, remova o acesso de todos os domínios e defina de modo explícito os domínios com permissão para se conectar. auditar, Auditar, desabilitado, Desabilitado 1.1.0

Internet das Coisas

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: o Hub IoT do Azure deve usar uma chave gerenciada pelo cliente para criptografar dados inativos A criptografia de dados inativos no Hub IoT com chave gerenciada pelo cliente adiciona uma segunda camada de criptografia sobre as chaves padrão gerenciadas pelo serviço, permite o controle pelo cliente das chaves e políticas de rotação personalizadas, bem como a capacidade de gerenciar o acesso aos dados por meio do controle de acesso à chave. As chaves gerenciadas pelo cliente precisam ser configuradas durante a criação do Hub IoT. Para obter mais informações sobre como configurar chaves gerenciadas pelo cliente, confira https://aka.ms/iotcmk. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os dados do Serviço de Provisionamento de Dispositivos do Hub IoT devem ser criptografados usando CMKs (chaves gerenciadas pelo cliente) Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do Serviço de Provisionamento de Dispositivos no Hub IoT. Os dados são automaticamente criptografados em repouso com chaves gerenciadas pelo serviço, mas as CMK (chaves gerenciada pelo cliente) normalmente são necessárias para atender aos padrões de conformidade regulatória. CMKs permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Saiba mais sobre a criptografia CMK em https://aka.ms/dps/CMK. Audit, Deny, desabilitado 1.0.0 – versão prévia
As contas de Atualização de Dispositivo do Azure devem usar a chave gerenciada pelo cliente para criptografar dados inativos A criptografia de dados inativos na Atualização de Dispositivo do Azure com chave gerenciada pelo cliente adiciona uma segunda camada de criptografia sobre as chaves padrão gerenciadas pelo serviço, permite o controle pelo cliente das chaves e políticas de rotação personalizadas, bem como a possibilidade de gerenciar o acesso aos dados por meio do controle de acesso à chave. Saiba mais em: https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption. Audit, Deny, desabilitado 1.0.0
As contas de Atualização de Dispositivo do Azure para Hub IoT devem usar link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para a Atualização de Dispositivo do Azure para contas do Hub IoT, os riscos de vazamento de dados são reduzidos. AuditIfNotExists, desabilitado 1.0.0
No Hub IoT do Azure, os métodos de autenticação local deverão estar desabilitados para APIs de Serviço Desabilitar os métodos de autenticação local aprimora a segurança, garantindo que o Hub IoT do Azure exija de modo exclusivo as identidades do Azure Active Directory para executar uma autenticação da API de Serviço. Saiba mais em: https://aka.ms/iothubdisablelocalauth. Audit, Deny, desabilitado 1.0.0
Configurar a Atualização de Dispositivo do Azure para contas do Hub IoT para desabilitar o acesso à rede pública A desabilitação da propriedade de acesso à rede pública aprimora a segurança, garantindo que a Atualização de Dispositivo para Hub IoT seja acessada somente de um ponto de extremidade privado. Essa política desabilita o acesso da rede pública nos recursos da Atualização de Dispositivo para Hub IoT. Modificar, Desabilitado 1.0.0
Configurar a Atualização de Dispositivo do Azure para contas do Hub IoT para usar zonas DNS privadas O DNS privado do Azure fornece um serviço DNS confiável e seguro para gerenciar e resolver nomes de domínio em uma rede virtual sem a necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução de DNS usando nomes de domínio personalizados para um ponto de extremidade privado. Esta política implanta uma zona DNS privada para a Atualização de Dispositivo para pontos de extremidade privados do Hub IoT. DeployIfNotExists, desabilitado 1.0.0
Configurar a Atualização de Dispositivo do Azure para contas do Hub IoT com ponto de extremidade privado Um ponto de extremidade privado é um endereço IP privado alocado dentro de uma rede virtual de propriedade do cliente por meio da qual um recurso do Azure pode ser acessado. Essa política implanta um ponto de extremidade privado para a Atualização de Dispositivo para Hub IoT para permitir que os serviços dentro de sua rede virtual alcancem esse recurso sem exigir que o tráfego seja enviado ao ponto de extremidade público da Atualização de Dispositivo para Hub IoT. DeployIfNotExists, desabilitado 1.1.0
Configurar o Hub IoT do Azure para desabilitar uma autenticação local Desabilite os métodos de autenticação local para que o Hub IoT do Azure exija de modo exclusivo as identidades do Azure Active Directory para executar uma autenticação. Saiba mais em: https://aka.ms/iothubdisablelocalauth. Modificar, Desabilitado 1.0.0
Configurar as instâncias de provisionamento de dispositivos no Hub IoT para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver para uma instância do Serviço de Provisionamento de Dispositivos no Hub IoT. Saiba mais em: https://aka.ms/iotdpsvnet. DeployIfNotExists, desabilitado 1.0.0
Configurar as instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT para desabilitar o acesso à rede pública Desabilite o acesso à rede pública para a instância de provisionamento de dispositivos do Hub IoT para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/iotdpsvnet. Modificar, Desabilitado 1.0.0
Configurar as instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT com pontos de extremidade privados Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. DeployIfNotExists, desabilitado 1.0.0
Implantar – configurar os Hubs IoT do Azure para usar zonas DNS privadas O DNS privado do Azure fornece um serviço DNS confiável e seguro para gerenciar e resolver nomes de domínio em uma rede virtual sem a necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução de DNS usando nomes de domínio personalizados para um ponto de extremidade privado. Esta política implanta uma zona DNS privada para pontos de extremidade privados do Hub IoT. deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado 1.1.0
Implantar – configurar os Hubs IoT do Azure com pontos de extremidade privados Um ponto de extremidade privado é um endereço IP privado alocado dentro de uma rede virtual de propriedade do cliente por meio da qual um recurso do Azure pode ser acessado. Essa política implanta um ponto de extremidade privado para o Hub IoT para permitir que os serviços dentro de sua rede virtual alcancem o Hub IoT sem exigir que o tráfego seja enviado ao ponto de extremidade público do Hub IoT. DeployIfNotExists, desabilitado 1.0.0
Implantar - Configurar o IoT Central para usar zonas DNS privadas O DNS privado do Azure fornece um serviço DNS confiável e seguro para gerenciar e resolver nomes de domínio em uma rede virtual sem a necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução de DNS usando nomes de domínio personalizados para um ponto de extremidade privado. Esta política implanta uma zona DNS privada para pontos de extremidade privados do IoT Central. DeployIfNotExists, desabilitado 1.0.0
Implantar - Configurar o IoT Central com pontos de extremidade privados Um ponto de extremidade privado é um endereço IP privado alocado dentro de uma rede virtual de propriedade do cliente por meio da qual um recurso do Azure pode ser acessado. Esta política implanta um ponto de extremidade privado para seu IoT Central para permitir que serviços dentro de sua rede virtual alcancem o IoT Central sem exigir que o tráfego seja enviado ao ponto de extremidade público do IoT Central. DeployIfNotExists, desabilitado 1.0.0
IoT Central deve usar link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu aplicativo IoT Central em vez de todo o serviço, você reduzirá seus riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/iotcentral-network-security-using-pe. Audit, Deny, desabilitado 1.0.0
As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública aprimora a segurança, garantindo que a instância do Serviço de Provisionamento de Dispositivos no Hub IoT não seja exposta na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição das instâncias de provisionamento de dispositivos do Hub IoT. Saiba mais em: https://aka.ms/iotdpsvnet. Audit, Deny, desabilitado 1.0.0
As instâncias do Serviço de Provisionamento de Dispositivos no Hub IoT devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Serviço de Provisionamento de Dispositivos no Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. Audit, desabilitado 1.0.0
Modificar – configurar os Hubs IoT do Azure para desabilitar o acesso à rede pública A desabilitação da propriedade de acesso à rede pública aprimora a segurança, garantindo que o Hub IoT do Azure seja acessado somente de um ponto de extremidade privado. Essa política desabilita o acesso à rede pública nos recursos do Hub IoT. Modificar, Desabilitado 1.0.0
Modificar - Configurar o IoT Central para desabilitar o acesso à rede pública Desabilitar a propriedade de acesso à rede pública melhora a segurança, garantindo que o IoT Central só possa ser acessado de um ponto de extremidade privado. Essa política desabilita o acesso à rede pública nos recursos do Hub IoT. Modificar, Desabilitado 1.0.0
O ponto de extremidade privado deve ser habilitado para o Hub IoT As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Hub IoT. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. Audit, desabilitado 1.0.0
O acesso à rede pública para a Atualização de Dispositivo do Azure para contas do Hub IoT deve ser desabilitado Desabilitar a propriedade de acesso à rede pública melhora a segurança, garantindo que a Atualização de Dispositivo do Azure para contas do Hub IoT só possa ser acessada de um ponto de extremidade privado. Audit, Deny, desabilitado 1.0.0
O acesso à rede pública no Hub IoT do Azure deve ser desabilitado A desabilitação da propriedade de acesso à rede pública aprimora a segurança, garantindo que o Hub IoT do Azure seja acessado somente de um ponto de extremidade privado. Audit, Deny, desabilitado 1.0.0
O acesso à rede pública deve ser desabilitado para o IoT Central Para melhorar a segurança do IoT Central, verifique se ele não está exposto à Internet pública e só pode ser acessado de um ponto de extremidade privado. Desabilite a propriedade de acesso à rede pública, conforme descrito em https://aka.ms/iotcentral-restrict-public-access. Essa opção desabilitará o acesso de todos os espaços de endereços IP públicos fora do intervalo de IP do Azure, bem como negará logons que correspondam a regras de firewall baseadas em IP ou rede virtual. Isso reduzirá riscos de vazamento de dados. Audit, Deny, desabilitado 1.0.0
Os logs de recurso no Hub IoT devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 3.1.0

Key Vault

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão Prévia]: as chaves do HSM gerenciado do Azure Key Vault devem ter uma data de expiração Para usar essa política na versão prévia, primeiro você deve seguir estas instruções em https://aka.ms/mhsmgovernance. As chaves de criptografia devem ter uma data de validade definida e não ser permanentes. As chaves válidas para sempre dão a um invasor potencial mais tempo para comprometer a chave. Uma prática de segurança recomendada é definir as datas de validade em chaves de criptografia. Audit, Deny, desabilitado 1.0.1 – versão prévia
[Versão Prévia]: as chaves do HSM gerenciado do Azure Key Vault devem ter um número maior de dias até a expiração do que o especificado Para usar essa política na versão prévia, primeiro você deve seguir estas instruções em https://aka.ms/mhsmgovernance. Se uma chave estiver muito próxima da validade, um atraso organizacional para fazer a rotação da chave poderá resultar em uma interrupção. A rotação das chaves deve ser feita em um número de dias especificado antes da validade para que haja tempo suficiente para reagir a uma falha. Audit, Deny, desabilitado 1.0.1 – versão prévia
[Versão Prévia]: as chaves do HSM gerenciado do Azure Key Vault que usam criptografia de curva elíptica devem ter os nomes de curva especificados Para usar essa política na versão prévia, primeiro você deve seguir estas instruções em https://aka.ms/mhsmgovernance. As chaves com suporte da criptografia de curva elíptica podem ter nomes de curva diferentes. Alguns aplicativos são compatíveis apenas com chaves de curva elíptica específicas. Imponha os tipos de chaves de curva elíptica que podem ser criados em seu ambiente. Audit, Deny, desabilitado 1.0.1 – versão prévia
[Versão Prévia]: as chaves do HSM gerenciado do Azure Key Vault que usam a criptografia RSA devem ter um tamanho mínimo de chave especificado Para usar essa política na versão prévia, primeiro você deve seguir estas instruções em https://aka.ms/mhsmgovernance. Defina o tamanho mínimo de chave permitido para uso com seus cofres de chaves. O uso de chaves RSA com tamanhos de chave pequenos não é uma prática segura e não atende a vários requisitos de certificação do setor. Audit, Deny, desabilitado 1.0.1 – versão prévia
[Versão prévia]: O HSM Gerenciado do Azure Key Vault deve desabilitar o acesso à rede pública Desabilite o acesso à rede pública para o seu HSM Gerenciado do Azure Key Vault de modo que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: O HSM Gerenciado do Azure Key Vault deve usar um link privado O link privado fornece um modo de conectar o HSM Gerenciado do Azure Key Vault aos recursos do Azure sem enviar tráfego pela Internet pública. O link privado fornece uma proteção avançada contra exfiltração dos dados. Saiba mais em: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link Audit, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os certificados devem ser emitidos por uma das autoridades de certificação não integrada especificada Gerenciar seus requisitos de conformidade organizacional especificando as autoridades de certificação personalizadas ou internas que podem emitir certificados no cofre de chaves. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: Configure o HSM Gerenciado do Azure Key Vault para desabilitar o acesso à rede pública Desabilite o acesso à rede pública para o seu HSM Gerenciado do Azure Key Vault de modo que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. Modificar, Desabilitado 2.0.0-preview
[Versão prévia]: Configurar o HSM Gerenciado do Azure Key Vault com pontos de extremidade privados Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Com o mapeamento dos pontos de extremidade privados para o HSM Gerenciado do Azure Key Vault, você poderá reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
O HSM Gerenciado do Azure Key Vault deve ter a proteção contra limpeza habilitada A exclusão mal-intencionada de um HSM Gerenciado do Azure Key Vault pode levar à perda permanente de dados. Um funcionário mal-intencionado na sua organização pode potencialmente excluir e limpar o HSM Gerenciado do Azure Key Vault. A proteção contra limpeza protege você contra ataques internos impondo um período de retenção obrigatório para o HSM Gerenciado do Azure Key Vault de exclusão temporária. Ninguém dentro da sua organização nem a Microsoft poderá limpar o HSM Gerenciado do Azure Key Vault durante o período de retenção de exclusão temporária. Audit, Deny, desabilitado 1.0.0
O Azure Key Vault deve desabilitar o acesso à rede pública Desabilite o acesso à rede pública para o seu cofre de chaves de modo que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/akvprivatelink. Audit, Deny, desabilitado 1.1.0
O Azure Key Vault deve ter o firewall habilitado Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IP público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, desabilitado 3.2.1
O Azure Key Vault deve usar o modelo de permissão RBAC Habilite o modelo de permissão RBAC em Key Vaults. Saiba mais em: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration Audit, Deny, desabilitado 1.0.1
Os Azure Key Vaults devem usar um link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o cofre de chaves, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Os certificados devem ser emitidos pela autoridade de certificação integrada especificada Gerenciar seus requisitos de conformidade organizacional especificando as autoridades de certificação integradas do Azure que podem emitir certificados no cofre de chaves, como Digicert ou GlobalSign. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 2.1.0
Os certificados devem ser emitidos pela autoridade de certificação não integrada especificada Gerenciar seus requisitos de conformidade organizacional especificando as autoridades de certificação personalizadas ou internas que podem emitir certificados no cofre de chaves. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 2.1.1
Os certificados devem ter os gatilhos de ação de tempo de vida especificados Gerenciar seus requisitos de conformidade organizacional especificando se uma ação de tempo de vida do certificado é disparada em um percentual específico do tempo de vida ou em um determinado número de dias antes da expiração. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 2.1.0
Os certificados devem ter o período máximo de validade especificado Gerenciar seus requisitos de conformidade organizacional especificando o período de tempo máximo em que um certificado permanece válido no cofre de chaves. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 2.2.1
Os certificados não devem expirar após o número de dias especificado Gerenciar os certificados que expirarão após um número especificado de dias para verificar se a organização tem tempo suficiente para mudar de certificado antes da expiração. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 2.1.1
Os certificados devem usar os tipos de chave permitidos Gerenciar seus requisitos de conformidade organizacional restringindo os tipos de chave permitidos para certificados. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 2.1.0
Os certificados que usam a criptografia de curva elíptica devem ter nomes de curva permitidos Gerenciar os nomes de curva elíptica permitidos para os Certificados ECC armazenados no cofre de chaves. Mais informações podem ser encontradas em https://aka.ms/akvpolicy. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 2.1.0
Os certificados que usam a criptografia RSA devem ter o tamanho mínimo de chave especificado Gerenciar seus requisitos de conformidade organizacional especificando um tamanho mínimo de chave para os certificados RSA armazenados no cofre de chaves. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 2.1.0
Configurar os Cofres de Chaves do Azure para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para que seja resolvida para o cofre de chaves. Saiba mais em: https://aka.ms/akvprivatelink. DeployIfNotExists, desabilitado 1.0.1
Configurar os Azure Key Vaults com pontos de extremidade privados Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Com o mapeamento dos pontos de extremidade privados para o cofre de chaves, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. DeployIfNotExists, desabilitado 1.0.1
Configurar cofres de chaves para habilitar o firewall Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IP público. Em seguida, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security Modificar, Desabilitado 1.1.1
Implantar – defina as configurações de diagnóstico do Azure Key Vault no workspace do Log Analytics Implanta as configurações de diagnóstico do Azure Key Vault para transmitir logs de recursos para um workspace do Log Analytics quando qualquer Key Vault que não tenha essas configurações de diagnóstico for criado ou atualizado. DeployIfNotExists, desabilitado 2.0.1
Implantar – Defina as configurações de diagnóstico para um Hub de Eventos a ser habilitado no HSM Gerenciado do Azure Key Vault Implanta as configurações de diagnóstico do HSM Gerenciado do Azure Key Vault que serão transmitidas para um Hub de Eventos regional quando qualquer HSM Gerenciado do Azure Key Vault que não tenha essas configurações de diagnóstico for criado ou atualizado. DeployIfNotExists, desabilitado 1.0.0
Aplicar as Configurações de Diagnóstico do Key Vault no Hub de Eventos Implanta as configurações de diagnóstico do Key Vault a serem transmitidas para um Hub de Eventos regional em qualquer Key Vault criado ou atualizado que não tenha essas configurações de diagnóstico. DeployIfNotExists, desabilitado 3.0.1
As chaves do Key Vault devem ter uma data de validade As chaves de criptografia devem ter uma data de validade definida e não ser permanentes. As chaves válidas para sempre dão a um invasor potencial mais tempo para comprometer a chave. Uma prática de segurança recomendada é definir as datas de validade em chaves de criptografia. Audit, Deny, desabilitado 1.0.2
Os segredos do Key Vault devem ter uma data de validade Os segredos devem ter uma data de validade definida e não ser permanentes. Os segredos são válidos para sempre dão a um invasor potencial mais tempo para comprometê-las. Uma prática de segurança recomendada é definir datas de validade nos segredos. Audit, Deny, desabilitado 1.0.2
Os cofres de chaves devem ter a proteção contra exclusão habilitadas A exclusão mal-intencionada de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados habilitando a proteção contra limpeza e a exclusão temporária. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização nem a Microsoft poderá limpar os cofres de chaves durante o período de retenção de exclusão temporária. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão temporária habilitada por padrão. Audit, Deny, desabilitado 2.1.0
Os cofres de chaves devem ter a exclusão temporária habilitada A exclusão de um cofre de chaves sem a exclusão temporária habilitada permanentemente exclui todos os segredos, as chaves e os certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão temporária permite recuperar um cofre de chaves excluído acidentalmente por um período de retenção configurável. Audit, Deny, desabilitado 3.0.0
As chaves devem contar com o suporte de um HSM (módulo de segurança de hardware) Um HSM é um módulo de segurança de hardware que armazena chaves. Um HSM fornece uma camada física de proteção para chaves de criptografia. A chave de criptografia não pode sair de um HSM físico, o que fornece um nível maior de segurança do que uma chave de software. Audit, Deny, desabilitado 1.0.1
As chaves devem ser do tipo de criptografia especificado, RSA ou EC Alguns aplicativos exigem o uso de chaves com suporte de um tipo de criptografia específico. Imponha um tipo de chave de criptografia específico, RSA ou EC, em seu ambiente. Audit, Deny, desabilitado 1.0.1
As chaves devem ter uma política de rotação garantindo que sua rotação seja agendada dentro do número especificado de dias após a criação. Gerencie seus requisitos de conformidade organizacional especificando o número máximo de dias necessários para a rotação da chave após a criação. Audit, desabilitado 1.0.0
As chaves devem ter um número maior de dias do que o especificado até a validade Se uma chave estiver muito próxima da validade, um atraso organizacional para fazer a rotação da chave poderá resultar em uma interrupção. A rotação das chaves deve ser feita em um número de dias especificado antes da validade para que haja tempo suficiente para reagir a uma falha. Audit, Deny, desabilitado 1.0.1
As chaves devem ter o período máximo de validade especificado Gerencie seus requisitos de conformidade organizacional especificando o período máximo em dias de validade de uma chave no cofre de chaves. Audit, Deny, desabilitado 1.0.1
As chaves não devem ficar ativas por mais tempo do que o número de dias especificado Especifique o número de dias pelos quais uma chave deve estar ativa. As chaves usadas por um longo período de tempo aumentam a probabilidade de um invasor comprometer a chave. Como uma boa prática de segurança, verifique se suas chaves não estão ativas por mais de dois anos. Audit, Deny, desabilitado 1.0.1
As chaves que usam a criptografia de curva elíptica devem ter os nomes de curva permitidos As chaves com suporte da criptografia de curva elíptica podem ter nomes de curva diferentes. Alguns aplicativos são compatíveis apenas com chaves de curva elíptica específicas. Imponha os tipos de chaves de curva elíptica que podem ser criados em seu ambiente. Audit, Deny, desabilitado 1.0.1
As chaves que usam a criptografia RSA devem ter o tamanho mínimo da chave especificado Defina o tamanho mínimo de chave permitido para uso com seus cofres de chaves. O uso de chaves RSA com tamanhos de chave pequenos não é uma prática segura e não atende a vários requisitos de certificação do setor. Audit, Deny, desabilitado 1.0.1
Os logs de recursos do HSM Gerenciado pelo Azure Key Vault devem estar habilitados Para recriar trilhas de atividade para fins de investigação quando ocorrer um incidente de segurança ou quando a sua rede estiver comprometida, audite habilitando logs de recursos em HSMs gerenciados. Siga as instruções aqui: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, desabilitado 1.1.0
Os logs de recurso no Key Vault devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os segredos devem ter o tipo de conteúdo definido Uma marca de tipo de conteúdo ajuda a identificar se um segredo é uma senha, uma cadeia de conexão etc. Segredos diferentes têm requisitos de rotação diferentes. A marca de tipo de conteúdo deve ser definida nos segredos. Audit, Deny, desabilitado 1.0.1
Os segredos devem ter um número maior de dias do que o especificado até a validade Se um segredo estiver muito próximo da validade, um atraso organizacional para fazer a rotação do segredo poderá resultar em uma interrupção. A rotação dos segredos deve ser feita em um número de dias especificado antes da validade para que haja tempo suficiente para reagir a uma falha. Audit, Deny, desabilitado 1.0.1
Os segredos devem ter o período máximo de validade especificado Gerencie seus requisitos de conformidade organizacional especificando o período máximo em dias de validade de um segredo no cofre de chaves. Audit, Deny, desabilitado 1.0.1
Os segredos não devem ficar ativos por mais tempo do que o número de dias especificado Se os seus segredos foram criados com uma data de ativação futura definida, verifique se eles não estão ativos há mais tempo do que a duração especificada. Audit, Deny, desabilitado 1.0.1

Kubernetes

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: [Integridade da Imagem] os clusters do Kubernetes só devem usar imagens assinadas por notação Use imagens assinadas por notação para garantir que as imagens venham de fontes confiáveis e não sejam modificadas maliciosamente. Para obter mais informações, visite https://aka.ms/aks/image-integrity Audit, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, desabilitado 6.0.0-preview
[Versão prévia]: não é possível editar nós individuais. Não é possível editar nós individuais. Os usuários não devem editar nós individuais. Edite pools de nós. Audit, Deny, desabilitado 1.1.0 – versão prévia
[Versão Prévia]: configurar os clusters do Kubernetes habilitados para Azure Arc para instalar a extensão do Microsoft Defender para Nuvem A extensão do Microsoft Defender para Nuvem no Azure Arc oferece proteção contra ameaças para os clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender para Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. DeployIfNotExists, desabilitado 7.1.0-preview
[Versão prévia]: Implementar a Integridade da Imagem no Serviço de Kubernetes do Azure Implantar clusters de Kubernetes do Azure e integridade de imagem e complementos de política. Para obter mais informações, visite https://aka.ms/aks/image-integrity DeployIfNotExists, desabilitado 1.0.5-preview
[Versão prévia]: os contêineres de cluster do Kubernetes só devem efetuar pull de imagens quando os segredos de pull de imagem estiverem presentes Restringir pulls de imagem de contêineres para impor a presença de ImagePullSecrets, garantindo acesso seguro e autorizado a imagens em um cluster do Kubernetes Audit, Deny, desabilitado 1.1.0 – versão prévia
[Versão prévia]: os serviços de cluster do Kubernetes devem usar seletores exclusivos Verifique se os serviços em um namespace têm seletores exclusivos. Essa política depende da replicação de dados do Gatekeeper e sincroniza todos os recursos de entrada no OPA. Antes de aplicar essa política, confirme se a sincronização de recursos de entrada não excederá sua capacidade de memória. Os parâmetros de política se aplicam a namespaces específicos, mas sincroniza todos os recursos desse tipo em todos os namespaces. Esta política está atualmente em versão prévia do AKS (Serviço de Kubernetes) Audit, Deny, desabilitado 1.1.0 – versão prévia
[Versão prévia]: o cluster do Kubernetes deve implementar Orçamentos precisos de Interrupção do Pod Impede que os clientes apliquem Orçamentos incorretos de Interrupção do Pod. Essa política depende da replicação de dados do Gatekeeper e todos os recursos de entrada com escopo para essa política serão sincronizados com o OPA. Verifique se os recursos de entrada que estão sendo sincronizados não sobrecarregarão sua capacidade de memória antes de atribuir essa política. Os parâmetros de política avaliarão apenas determinados namespaces, mas todos os recursos desse tipo em todos os namespaces serão sincronizados. Essa política está em versão prévia do AKS (Serviço de Kubernetes). Audit, Deny, desabilitado 1.1.0 – versão prévia
[Versão prévia]: os clusters do Kubernetes devem restringir a criação de um determinado tipo de recurso O tipo de recurso do Kubernetes fornecido não deve ser implantado em determinados namespaces. Audit, Deny, desabilitado 2.2.0-preview
[Versão prévia]: o conjunto de regras de antiafinidade é obrigatório Requer que as regras de afinidade sejam definidas. Audit, Deny, desabilitado 1.1.0 – versão prévia
[Versão prévia]: sem rótulos específicos do AKS Impede que os clientes apliquem rótulos específicos do AKS Audit, Deny, desabilitado 1.1.0 – versão prévia
[Versão prévia]: tintas reservadas do pool do sistema Restringe a contaminação de CriticalAddonsOnly apenas ao pool do sistema Audit, Deny, desabilitado 1.1.0 – versão prévia
Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada A extensão Azure Policy para Azure Arc fornece imposições em escala e proteções em seus clusters do Kubernetes habilitados para Arc de maneira centralizada e consistente. Saiba mais em https://aka.ms/akspolicydoc. AuditIfNotExists, desabilitado 1.1.0
Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão Malha de Serviço Aberto instalada A extensão Malha de Serviço Aberto fornece todos os recursos padrão de malha de serviço para segurança, gerenciamento de tráfego e observabilidade de serviços de aplicativos. Saiba mais aqui: https://aka.ms/arc-osm-doc DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão Strimzi Kafka Azure Policy instalada A extensão Strimzi Kafka permite que os operadores instalem o Kafka para criar pipelines de dados em tempo real e aplicativos de streaming com recursos de segurança e observabilidade. Saiba mais aqui: https://aka.ms/arc-strimzikafka-doc. DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Os Clusters do Kubernetes do Azure devem habilitar a Interface de Armazenamento de Contêiner (CSI) A CSI (Interface de Armazenamento de Contêiner) é um padrão para expor sistemas de blocos e de armazenamento de arquivos arbitrários a cargas de trabalho em contêineres no Serviço de Kubernetes do Azure. Para saber mais, https://aka.ms/aks-csi-driver Audit, desabilitado 1.0.0
Os clusters de Kubernetes do Azure devem habilitar o KMS (Serviço de Gerenciamento de Chaves) Use o KMS (Serviço de Gerenciamento de Chaves) para criptografar dados secretos inativos no etcd para a segurança de cluster do Kubernetes. Saiba mais em: https://aka.ms/aks/kmsetcdencryption. Audit, desabilitado 1.0.0
Os Clusters de Kubernetes do Azure devem usar CNI do Azure O CNI do Azure é um pré-requisito para alguns recursos do Serviço de Kubernetes do Azure, incluindo políticas de rede do Azure, pools de nós do Windows e complementos de nós virtuais. Saiba mais em: https://aka.ms/aks-azure-cni Audit, desabilitado 1.0.1
Os Clusters do Serviço de Kubernetes do Azure devem desabilitar a Invocação de Comando Desabilitar a invocação de comando pode aprimorar a segurança, evitando o bypass do acesso restrito à rede ou o controle de acesso baseado em função do Kubernetes Audit, desabilitado 1.0.1
Os Clusters do Serviço de Kubernetes do Azure devem habilitar a atualização automática do cluster A atualização automática do cluster do AKS pode garantir que seus clusters estejam atualizados e não percam os recursos ou patches mais recentes do AKS e do Kubernetes upstream. Saiba mais em: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. Audit, desabilitado 1.0.0
Os Clusters de Serviço de Kubernetes do Azure devem habilitar o Limpador de Imagens O Image Cleaner executa a identificação e remoção automáticas de imagens, o que reduz o risco de imagens obsoletas e reduz o tempo necessário para limpá-las. Saiba mais em: https://aka.ms/aks/image-cleaner. Audit, desabilitado 1.0.0
Os Clusters do Serviço de Kubernetes do Azure devem habilitar a integração do Microsoft Entra ID A integração do Microsoft Entra ID gerenciada pelo AKS pode controlar o acesso aos clusters configurando o RBAC (controle de acesso baseado em função) do Kubernetes com base na identidade do usuário ou na associação ao grupo de diretórios. Saiba mais em: https://aka.ms/aks-managed-aad. Audit, desabilitado 1.0.2
Os Clusters de Serviço de Kubernetes do Azure devem habilitar a atualização automática do sistema operacional do nó Atualizações de segurança do sistema operacional no nível do nó do AKS. Saiba mais em: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. Audit, desabilitado 1.0.0
Os clusters do Serviço de Kubernetes do Azure devem habilitar a identidade da carga de trabalho A identidade da carga de trabalho permite atribuir uma identidade exclusiva a cada Pod do Kubernetes e associá-la aos recursos protegidos do Azure AD, como o Azure Key Vault, permitindo o acesso seguro a esses recursos de dentro do Pod. Saiba mais em: https://aka.ms/aks/wi. Audit, desabilitado 1.0.0
Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado O Microsoft Defender para Contêineres fornece recursos de segurança para Kubernetes nativos de nuvem incluindo proteção de ambiente, proteção de cargas de trabalho e de tempo de execução. Quando você habilita o SecurityProfile.AzureDefender em seu cluster do Serviço de Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais sobre o Microsoft Defender para Contêineres em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Audit, desabilitado 2.0.1
Os clusters do Serviço de Kubernetes do Azure devem ter métodos de autenticação local desabilitados Desabilitar os métodos de autenticação local garante que os clusters do Serviço de Kubernetes do Azure exijam identidades do Azure Active Directory exclusivamente para autenticação, o que melhora a segurança. Saiba mais em: https://aka.ms/aks-disable-local-accounts. Audit, Deny, desabilitado 1.0.1
Os clusters do Serviço de Kubernetes do Azure devem usar identidades gerenciadas Use identidades gerenciadas para envolver entidades de serviço, simplificar o gerenciamento de cluster e evitar a complexidade necessária para entidades de serviço gerenciadas. Saiba mais em: https://aka.ms/aks-update-managed-identities Audit, desabilitado 1.0.1
Os Clusters Privados do Serviço de Kubernetes do Azure devem ser habilitados Habilite o recurso de cluster privado para o cluster do Serviço de Kubernetes do Azure para garantir que o tráfego de rede entre o servidor de API e os pools de nós permaneça somente na rede privada. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. Audit, Deny, desabilitado 1.0.1
O Complemento do Azure Policy para o AKS (serviço de Kubernetes) deve estar instalado e habilitado nos clusters O Complemento do Azure Policy para o AKS (serviço de Kubernetes) estende o Gatekeeper v3, um webhook do controlador de admissão para o OPA (Open Policy Agent), para aplicar as garantias e imposições em escala aos seus clusters de maneira centralizada e consistente. Audit, desabilitado 1.0.2
Os sistemas operacionais e os discos de dados nos clusters do Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente Criptografar o sistema operacional e os discos de dados usando chaves gerenciadas pelo cliente dá mais controle e flexibilidade no gerenciamento de chaves. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. Audit, Deny, desabilitado 1.0.1
Configure clusters Kubernetes habilitados para Azure Arc para instalar a extensão Azure Policy Implante a extensão Azure Policy para Azure Arc a fim de fornecer imposições em escala e proteger seus clusters do Kubernetes habilitados para Arc de maneira centralizada e consistente. Saiba mais em https://aka.ms/akspolicydoc. DeployIfNotExists, desabilitado 1.1.0
Configurar os clusters do Serviço de Kubernetes do Azure para habilitar o perfil do Defender O Microsoft Defender para Contêineres fornece recursos de segurança para Kubernetes de nuvem nativa incluindo proteção de ambiente, proteção de carga de trabalho e de tempo de execução. Quando você habilita o SecurityProfile.Defender no cluster do Serviço de Kubernetes do Azure, um agente é implantado no seu cluster para coletar dados de eventos de segurança. Saiba mais sobre o Microsoft Defender para Contêineres: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. DeployIfNotExists, desabilitado 4.0.4
Configurar a instalação da extensão Flux no cluster do Kubernetes Instalar a extensão flux no cluster do Kubernetes para habilitar a implantação de 'fluxconfigurations' no cluster DeployIfNotExists, desabilitado 1.0.0
Configurar clusters do Kubernetes com a configuração do Flux v2 usando a origem e os segredos do bucket no Key Vault Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do bucket definido. Essa definição requer um bucket SecretKey armazenado no Key Vault. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, desabilitado 1.0.0
Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git e o Certificado de Autoridade de Certificação HTTPS Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição requer um Certificado de Autoridade de Certificação HTTPS. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, desabilitado 1.0.1
Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos HTTPS Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição requer um segredo de chave HTTPS armazenado no Key Vault. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, desabilitado 1.0.0
Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos locais Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição requer segredos de autenticação locais armazenados no cluster do Kubernetes. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, desabilitado 1.0.0
Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git e segredos SSH Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição requer um segredo de chave privada SSH armazenado no Key Vault. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, desabilitado 1.0.0
Configurar clusters do Kubernetes com a configuração do Flux v2 usando o repositório Git público Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do repositório Git definido. Essa definição não exige segredos. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, desabilitado 1.0.0
Configurar clusters do Kubernetes com a origem especificada do bucket do Flux v2 usando segredos locais Implantar um 'fluxConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a fonte confiável das cargas de trabalho e configurações do bucket definido. Essa definição requer segredos de autenticação locais armazenados no cluster do Kubernetes. Para obter instruções, visite https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, desabilitado 1.0.0
Configurar os clusters do Kubernetes com a configuração do GitOps especificada usando segredos HTTPS Implanta um 'sourceControlConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a origem de realidade para cargas de trabalho e configurações do repositório git definido. Essa definição exige segredos de chave e de usuários HTTPS armazenados no Key Vault. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado 1.1.0
Configurar os clusters do Kubernetes com a configuração do GitOps especificada não usando nenhum segredo Implanta um 'sourceControlConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a origem de realidade para cargas de trabalho e configurações do repositório git definido. Essa definição não exige segredos. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado 1.1.0
Configurar os clusters do Kubernetes com a configuração do GitOps especificada usando segredos SSH Implanta um 'sourceControlConfiguration' nos clusters do Kubernetes para verificar se os clusters obtêm a origem de realidade para cargas de trabalho e configurações do repositório git definido. Essa definição requer um segredo de chave privada SSH no Key Vault. Para obter instruções, visite https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado 1.1.0
Configurar os clusters do Serviço de Kubernetes do Azure integrados ao Microsoft Entra ID com o Acesso necessário ao Grupo de Administradores Certifique-se de melhorar a segurança do cluster, regendo centralmente o acesso do Administrador aos clusters do AKS integrados do Microsoft Entra ID. DeployIfNotExists, desabilitado 2.0.4
Configurar a atualização automática do sistema operacional no Cluster de Kubernetes do Azure Use a atualização automática do sistema operacional do Node para controlar as atualizações de segurança do sistema operacional no nível do nó dos clusters do Serviço de Kubernetes do Azure (AKS). Para obter mais informações, acesse https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. DeployIfNotExists, desabilitado 1.0.1
Implantar – Defina as configurações de diagnóstico do Serviço de Kubernetes do Azure no workspace do Log Analytics Implanta as configurações de diagnóstico para que o Serviço de Kubernetes do Azure transmita logs de recursos para um workspace do Log Analytics. DeployIfNotExists, desabilitado 3.0.0
Implantar Complemento do Azure Policy para clusters do Serviço de Kubernetes do Azure Use o Complemento do Azure Policy para gerenciar e relatar o estado de conformidade de seus clusters do AKS (Serviço de Kubernetes do Azure). Para obter mais informações, consulte https://aka.ms/akspolicydoc. DeployIfNotExists, desabilitado 4.0.1
Implantar o Limpador de Imagens no Serviço de Kubernetes do Azure Implantar o Limpador de Imagens em clusters do Kubernetes do Azure. Para obter mais informações, visite https://aka.ms/aks/image-cleaner DeployIfNotExists, desabilitado 1.0.4
Implantar a Manutenção Planejada para agendar e controlar atualizações para seu cluster do AKS (Serviço de Kubernetes do Azure) A Manutenção Planejada permite agendar janelas de manutenção semanais para executar atualizações e minimizar o impacto na carga de trabalho. Depois de agendada, a atualização ocorre somente durante a janela selecionada. Saiba mais em: https://aka.ms/aks/planned-maintenance DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Desabilitar a Invocação de Comando nos clusters do Serviço de Kubernetes do Azure Desabilitar a invocação de comando pode aprimorar a segurança ao rejeitar acessos ao cluster para invocação de comando DeployIfNotExists, desabilitado 1.1.0
Verificar se os contêineres de cluster têm investigações de preparação ou atividade configuradas Essa política impõe que todos os pods tenham investigações de preparação e/ou atividade configuradas. Os tipos de investigação podem ser os seguintes: tcpSocket, httpGet e exec. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter instruções sobre como usar essa política, visite https://aka.ms/kubepolicydoc. Audit, Deny, desabilitado 3.2.0
Os limites de CPU e de recursos de memória do contêiner do cluster do Kubernetes não devem exceder os limites especificados Impor limites de recursos de memória e CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 9.2.0
Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host nem o namespace de IPC do host Impedir que os contêineres de pod compartilhem o namespace da ID do processo do host e o namespace do IPC do host em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 5.1.0
Os contêineres de cluster do Kubernetes não devem usar as interfaces de sysctl proibidas Os contêineres não devem usar as interfaces de sysctl proibidas em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.1.1
Os contêineres de cluster do Kubernetes devem usar somente os perfis do AppArmor permitidos Os contêineres devem usar somente os perfis do AppArmor permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 6.1.1
Os contêineres de cluster do Kubernetes devem usar somente as funcionalidades permitidas Restringir as funcionalidades para reduzir a superfície de ataque de contêineres em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 6.1.0
Os contêineres de cluster do Kubernetes devem usar somente as imagens permitidas Use imagens de Registros confiáveis para reduzir o risco de exposição do cluster do Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 9.2.0
Os contêineres de cluster do Kubernetes devem usar somente o ProcMountType permitido Os contêineres de pod só podem usar ProcMountTypes permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 8.1.1
Os contêineres do cluster do Kubernetes devem usar apeanas a política de pull permitida Restringir a política de pull de contêineres para impor que os contêineres usem apenas imagens permitidas em implantações Audit, Deny, desabilitado 3.1.0
Os contêineres de cluster do Kubernetes devem usar somente os perfis do seccomp permitidos Os contêineres de pod podem usar somente perfis do seccomp permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.1.1
Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura Execute contêineres com um sistema de arquivos raiz somente leitura para protegê-los contra alterações em runtime com binários mal-intencionados sendo adicionados a PATH em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 6.2.0
Os volumes FlexVolume do pod do cluster do Kubernetes devem usar somente os drivers permitidos Os volumes FlexVolume do pod devem usar somente os drivers permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 5.1.1
Os volumes de hostPath do pod do cluster do Kubernetes devem usar somente os caminhos do host permitidos Limite as montagens de volume de pod de HostPath aos caminhos de host permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 6.1.1
Os pods e os contêineres de cluster do Kubernetes devem ser executados somente com IDs de usuário e de grupo aprovadas Controle as IDs de usuário, de grupo primário, de grupo complementar e de grupo do sistema de arquivos que os pods e os contêineres podem usar para a execução em um Cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 6.1.1
Os pods e os contêineres do cluster do Kubernetes devem usar somente as opções de SELinux permitidas Os pods e os contêineres devem usar somente as opções de SELinux permitidas em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.1.1
Os pods do cluster do Kubernetes devem usar somente os tipos de volumes permitidos Os pods podem usar somente tipos de volume permitidos em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 5.1.1
Os pods do cluster do Kubernetes devem usar somente o intervalo de portas e a rede do host aprovados Restrinja o acesso do pod à rede do host e ao intervalo de portas de host permitido em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.4, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 6.1.0
Os pods no cluster do Kubernetes devem usar rótulos especificados Use rótulos especificados para identificar os pods em um cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.1.0
Os serviços de cluster do Kubernetes devem escutar somente em portas permitidas Restringir serviços para escutar somente nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 8.1.0
Os serviços de cluster do Kubernetes devem usar somente IPs externos permitidos Use IPs externos permitidos para evitar um potencial ataque (CVE-2020-8554) em um cluster do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 5.1.0
O cluster do Kubernetes não deve permitir contêineres privilegiados Não permita a criação de contêineres com privilégios no cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.1, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 9.1.0
O cluster do Kubernetes não deve usar pods naked Bloquear o uso de pods naked. Pods naked não serão reagendados em caso de falha do nó. Os pods devem ser gerenciados por Implantação, Replicset, Daemonset ou Trabalhos Audit, Deny, desabilitado 2.1.0
Os contêineres Windows do cluster do Kubernetes não devem sobrecarregar a CPU e a memória As solicitações de recurso de contêiner do Windows devem ser menores ou iguais ao limite de recursos ou não especificadas para evitar sobrecarga. Se a memória do Windows estiver provisionada em excesso, ela processará páginas em disco – o que pode reduzir o desempenho – em vez de encerrar o contêiner com falha de memória insuficiente Audit, Deny, desabilitado 2.1.0
Os contêineres do Windows do cluster de Kubernetes não devem ser executados como ContainerAdministrator Impeça o uso do ContainerAdministrator como o usuário para executar os processos de contêiner para pods ou contêineres do Windows. Essa recomendação destina-se a aprimorar a segurança dos nós do Windows. Para obter mais informações, consulte https://kubernetes.io/docs/concepts/windows/intro/. Audit, Deny, desabilitado 1.1.0
Os contêineres Windows do cluster do Kubernetes só devem ser executados com o usuário aprovado e o grupo de usuários de domínio Controle o usuário que os pods e contêineres do Windows podem usar para executar em um Cluster do Kubernetes. Essa recomendação faz parte das Políticas de Segurança de Pod ou nós do Windows que são destinados a aprimorar a segurança dos seus ambientes do Kubernetes. Audit, Deny, desabilitado 2.1.0
Os clusters do Kubernetes devem ser acessíveis somente via HTTPS O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Kubernetes habilitado para Azure Arc. Para obter mais informações, visite https://aka.ms/kubepolicydoc auditar, Auditar, negar, Negar, desabilitado, Desabilitado 8.1.0
Os clusters do Kubernetes devem desabilitar as credenciais de API montagem automática Desabilite as credenciais da API de montagem automática para evitar que um recurso Pod potencialmente comprometido execute comandos de API em clusters do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 4.1.0
Os clusters de Kubernetes devem garantir que a função de administrador do cluster seja usada somente quando necessário A função 'cluster-admin' fornece amplos poderes sobre o ambiente e deve ser usada somente onde e quando necessário. Audit, desabilitado 1.0.0
Os clusters do Kubernetes devem minimizar o uso curinga na função e na função de cluster Usar curingas ‘*’ pode ser um risco à segurança porque concede permissões amplas que podem não ser necessárias para uma função específica. Se uma função tiver muitas permissões, ela poderá ser usada indevidamente por um invasor ou um usuário comprometido para obter acesso não autorizado aos recursos do cluster. Audit, desabilitado 1.0.0
Os clusters do Kubernetes não devem permitir a elevação de privilégio de contêiner Não permita que os contêineres sejam executados com escalonamento de privilégios para a raiz em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.5, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 7.1.0
Os clusters do Kubernetes não devem permitir permissões de edição do ponto de extremidade de ClusterRole/system:aggregate-to-edit ClusterRole/system:aggregate-to-edit não deve permitir permissões de edição de ponto de extremidade devido a CVE-2021-25740, as permissões Endpoint e EndpointSlice permitem o encaminhamento entre namespaces, https://github.com/kubernetes/kubernetes/issues/103675. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. Audit, desabilitado 3.1.0
Os clusters do Kubernetes não devem conceder capacidades de segurança CAP_SYS_ADMIN Para reduzir a superfície de ataque dos seus contêineres, restrinja as funcionalidades CAP_SYS_ADMIN do Linux. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 5.1.0
Os clusters do Kubernetes não devem usar funcionalidades de segurança específicas Evite funcionalidades de segurança específicas em clusters do Kubernetes para evitar privilégios não concedidos no recurso Pod. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 5.1.0
Os clusters do Kubernetes não devem usar o namespace padrão Impeça o uso do namespace padrão em clusters do Kubernetes para proteger contra acesso não autorizado para tipos de recursos ConfigMap, Pod, Segredo, Serviço e ServiceAccount. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 4.1.0
Os clusters do Kubernetes devem usar o StorageClass do driver da Interface de Armazenamento de Contêiner (CSI) A CSI (Interface de Armazenamento de Contêiner) é um padrão para expor sistemas de blocos e de armazenamento de arquivos arbitrários a cargas de trabalho em contêineres no Kubernetes. O StorageClass do provisionador na árvore deve ser preterido desde a versão 1.21 do AKS. Para saber mais, https://aka.ms/aks-csi-driver Audit, Deny, desabilitado 2.2.0
Os clusters do Kubernetes devem usar balanceadores de carga internos Use balanceadores de carga internos para tornar um serviço do Kubernetes acessível somente a aplicativos em execução na mesma rede virtual que o cluster do Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 8.1.0
Os recursos do Kubernetes devem ter anotações obrigatórias Verifique se as anotações obrigatórias estão anexadas em um determinado tipo de recurso do Kubernetes para melhorar o gerenciamento de recursos dos recursos do Kubernetes. Essa política está em disponibilidade geral para o AKS (Serviço do Kubernetes) e em versão prévia para o Azure Arc habilitado para Kubernetes. Para obter mais informações, consulte https://aka.ms/kubepolicydoc. Audit, Deny, desabilitado 3.1.0
Os logs de recursos no Serviço de Kubernetes do Azure devem ser habilitados Os logs de recurso do Serviço de Kubernetes do Azure podem ajudar a recriar trilhas de atividades ao investigar incidentes de segurança. Habilite-o para garantir que os logs existam quando necessário AuditIfNotExists, desabilitado 1.0.0
Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço de Kubernetes do Azure devem ser criptografados no host Para aprimorar a segurança dos dados, os dados armazenados no host da VM (máquina virtual) de suas VMs dos nós do Serviço de Kubernetes do Azure devem ser criptografados em repouso. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. Audit, Deny, desabilitado 1.0.1

Lab Services

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Lab Services deve habilitar todas as opções de desligamento automático Esta política proporciona ajuda com o gerenciamento de custos, fazendo com que todas as opções de desligamento automático sejam habilitadas para um laboratório. Audit, Deny, desabilitado 1.1.0
O Lab Services não deve permitir máquinas virtuais modelo para laboratórios Esta política impede a criação e personalização de máquinas virtuais modelo para laboratórios gerenciados através do Lab Services. Audit, Deny, desabilitado 1.1.0
O Lab Services deve exigir um usuário não-administrador para os laboratórios Esta política exige a criação de contas de usuário não-administradores para os laboratórios gerenciados por meio do Lab Services. Audit, Deny, desabilitado 1.1.0
O Lab Services deve restringir os tamanhos permitidos de SKU de máquina virtual Essa política permite restringir determinadas SKUs de VM de computação para laboratórios gerenciados por meio do Lab Services. Isso restringirá determinados tamanhos de máquina virtual. Audit, Deny, desabilitado 1.1.0

Lighthouse

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Permitir que IDs do locatário de gerenciamento sejam integrados por meio do Azure Lighthouse Restringir as delegações do Azure Lighthouse a locatários de gerenciamento específicos aumenta a segurança, limitando quem pode gerenciar seus recursos do Azure. deny 1.0.1
Auditar a delegação de escopos a um locatário de gerenciamento Auditar a delegação de escopos a um locatário de gerenciamento por meio do Azure Lighthouse. Audit, desabilitado 1.0.0

Aplicativos Lógicos

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Ambiente de Serviço de Integração dos Aplicativos Lógicos deve ser criptografado com chaves gerenciadas pelo cliente Faça a implantação no Ambiente de Serviço de Integração para gerenciar a criptografia em repouso de dados de Aplicativos Lógicos usando chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Audit, Deny, desabilitado 1.0.0
Os Aplicativos Lógicos devem ser implantados no Ambiente de Serviço de Integração A implantação de Aplicativos Lógicos no Ambiente de Serviço de Integração em uma rede virtual desbloqueia os recursos avançados de segurança e de rede dos Aplicativos Lógicos e oferece maior controle sobre a configuração da rede. Saiba mais em: https://aka.ms/integration-service-environment. A implantação no Ambiente de Serviço de Integração também permite a criptografia com chaves gerenciadas pelo cliente, que fornece proteção de dados avançada, permitindo que você gerencie suas chaves de criptografia. Isso geralmente serve para atender aos requisitos de conformidade. Audit, Deny, desabilitado 1.0.0
Os logs de recurso nos Aplicativos Lógicos devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.1.0

Machine Learning

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: As implantações do Registro de Modelo do Azure Machine Learning são restritas, exceto pelo Registro permitido Implante apenas Modelos de Registro no Registro permitido e que não sejam restritos. Deny, Desabilitado 1.0.0 – versão prévia
A instância de Computação do Azure Machine Learning deve ter desligamento por ociosidade. O agendamento do desligamento por ociosidade reduz o custo desligando computações ociosas após um período de atividade pré-determinado. Audit, Deny, desabilitado 1.0.0
As instâncias de computação do Azure Machine Learning devem ser recriadas nobter as atualizações de software mais recentes Certifique-se de que as instâncias de computação do Azure Machine Learning sejam executadas no sistema operacional mais recente disponível. A segurança é melhorada e as vulnerabilidades reduzidas pela execução dos últimos patches de segurança. Para obter mais informações, visite https://aka.ms/azureml-ci-updates/. [parameters('effects')] 1.0.3
Os Computadores do Azure Machine Learning devem estar em uma rede virtual As Redes Virtuais do Azure fornecem segurança e isolamento aprimorados para seus Clusters e Instâncias de Computação do Azure Machine Learning, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Quando uma computação é configurada com uma rede virtual, ela não é endereçável publicamente e só pode ser acessada a partir de máquinas e aplicativos virtuais dentro da rede virtual. Audit, desabilitado 1.0.1
Os Computadores do Azure Machine Learning devem ter os métodos de autenticação local desabilitados A desativação dos métodos de autenticação local melhora a segurança, garantindo que os Computadores do Machine Learning exijam identidades do Azure Active Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/azure-ml-aad-policy. Audit, Deny, desabilitado 2.0.1
Os workspaces do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente Gerencie a criptografia em repouso dos dados do Workspace do Azure Machine Learning com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk. Audit, Deny, desabilitado 1.0.3
Os Workspaces do Azure Machine Learning devem desabilitar o acesso à rede pública A desativação do acesso à rede pública aumenta a segurança, garantindo que os Workspaces do Machine Learning não sejam expostos na Internet pública. Em vez disso, você pode controlar a exposição dos seus espaços de trabalho criando pontos de extremidade privados. Saiba mais em: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. Audit, Deny, desabilitado 2.0.1
Os espaços de trabalho do Azure Machine Learning devem habilitar o V1LegacyMode para suportar a compatibilidade com versões anteriores de isolamento de rede O Azure ML está fazendo uma transição para uma nova plataforma de API V2 no Azure Resource Manager e você pode controlar a versão da plataforma de API usando o parâmetro V1LegacyMode. Habilitar o parâmetro V1LegacyMode permitirá que você mantenha seus workspaces no mesmo isolamento de rede que v1, embora você não tenha o uso dos novos recursos V2. Recomendamos ativar o Modo Herdado V1 somente quando você quiser manter os dados do plano de controle do AzureML dentro de suas redes privadas. Saiba mais em: https://aka.ms/V1LegacyMode. Audit, Deny, desabilitado 1.0.0
Os workspaces do Azure Machine Learning devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para workspaces do Azure Machine Learning, os riscos de vazamento de dados serão reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, desabilitado 1.0.0
Os workspaces do Azure Machine Learning deverão usar uma identidade gerenciada e atribuída pelo usuário Gerencie o acesso ao workspace do Azure ML e aos recursos associados, ao Registro de Contêiner do Azure, ao Key Vault, ao Armazenamento e ao App Insights usando uma identidade gerenciada e atribuída pelo usuário. Por padrão, uma identidade gerenciada e atribuída pelo sistema será usada pelo workspace do Azure ML para acessar recursos associados. A identidade gerenciada e atribuída pelo usuário permite criar uma identidade como um recurso do Azure, bem como e manter o ciclo de vida dela. Saiba mais em https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. Audit, Deny, desabilitado 1.0.0
Configure os Computadores do Azure Machine Learning para desabilitar os métodos de autenticação local Desabilite os métodos de autenticação de local para que seus Computadores de Machine Learning exijam identidades do Microsoft Azure Active Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/azure-ml-aad-policy. Modificar, Desabilitado 2.0.1
Configurar um workspace do Azure Machine Learning para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas de workspaces do Azure Machine Learning. Saiba mais em: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. DeployIfNotExists, desabilitado 1.1.0
Configure os Workspaces do Azure Machine Learning para desativar o acesso à rede pública Desabilite o acesso à rede pública nos Workspaces do Azure Machine Learning para que seus espaços de trabalho não sejam acessíveis pela Internet pública. Isso ajuda a proteger os espaços de trabalho contra riscos de vazamento de dados. Em vez disso, você pode controlar a exposição dos seus espaços de trabalho criando pontos de extremidade privados. Saiba mais em: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. Modificar, Desabilitado 1.0.3
Configurar workspaces do Azure Machine Learning usando pontos de extremidade privados Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem usar um endereço IP público na origem, tampouco no destino. Ao mapear pontos de extremidade privados para seu workspace do Azure Machine Learning, será possível reduzir riscos de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. DeployIfNotExists, desabilitado 1.0.0
Configure as definições de diagnóstico dos Workspaces do Azure Machine Learning no Workspace do Log Analytics Implanta as configurações de diagnóstico para que os Workspaces do Azure Machine Learning transmitam logs de recursos para um Workspace do Log Analytics quando qualquer Workspace do Azure Machine Learning que não tenha essas configurações de diagnóstico for criado ou atualizado. DeployIfNotExists, desabilitado 1.0.1
Os logs de recursos nos Workspaces do Azure Machine Learning devem estar habilitados Os logs de recursos permitem a recriação de trilhas de atividades para uso em investigações quando ocorre um incidente de segurança ou quando sua rede é comprometida. AuditIfNotExists, desabilitado 1.0.1

Aplicativo gerenciado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
A definição de aplicativo para o Aplicativo Gerenciado deve usar a conta de armazenamento fornecida pelo cliente Use a sua conta de armazenamento para controlar os dados de definição de aplicativo quando ele for um requisito regulamentar ou de conformidade. É possível optar por armazenar a definição de aplicativo gerenciado em uma conta de armazenamento fornecida por você durante a criação, para que a localização dessa definição e o acesso a ela possam ser totalmente gerenciados por você para cumprir os requisitos de conformidade regulamentar. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
Implantar associações para um aplicativo gerenciado Implanta um recurso de associação que associa os tipos de recursos selecionados ao aplicativo gerenciado especificado. Essa implantação de política não dá suporte a tipos de recurso aninhados. deployIfNotExists 1.0.0

Grafana gerenciado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Espaço Gerenciado do Azure para Grafana deve usar o link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear os pontos de extremidade privados no Grafana Gerenciado, você pode reduzir os riscos de vazamento de dados. Audit, desabilitado 1.0.0
Os workspaces do Espaço Gerenciado do Azure para Grafana devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o workspace do Espaço Gerenciado do Azure para Grafana não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos workspaces. Audit, Deny, desabilitado 1.0.0
Configurar painéis do Espaço Gerenciado do Azure para Grafana com pontos de extremidade privados Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear os pontos de extremidade privados no Espaço Gerenciado do Azure para Grafana, você pode reduzir os riscos de vazamento de dados. DeployIfNotExists, desabilitado 1.0.0
Configure os workspaces do Espaço Gerenciado do Azure para Grafana para desabilitar o acesso à rede pública Desabilite o acesso à rede pública no seu workspace do Espaço Gerenciado do Azure para Grafana de modo que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Modificar, Desabilitado 1.0.0
Configurar os workspaces do Espaço Gerenciado do Azure para Grafana para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas de workspaces do Espaço Gerenciado do Azure para Grafana. DeployIfNotExists, desabilitado 1.0.0

Identidade Gerenciada

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: as credenciais federadas de identidade gerenciada do Kubernetes do Azure devem ser de fontes confiáveis Essa política limita a federeação com clusters do Kubernetes do Azure apenas a clusters de locatários aprovados, regiões aprovadas e uma lista de exceções específica de clusters adicionais. Auditoria, desabilitado, negação 1.0.0 – versão prévia
[Versão prévia]: as credenciais federadas de identidade gerenciada do GitHub devem ser de proprietários de repositórios confiáveis Essa política limita a federação com repositórios do GitHub apenas aos proprietários de repositórios aprovados. Auditoria, desabilitado, negação 1.0.1 – versão prévia
[Versão prévia]: as credenciais federadas de identidade gerenciada devem ser de tipos de emissor permitidos Essa política limita se as Identidades Gerenciadas podem usar credenciais federadas, quais tipos de emissor comuns são permitidos e fornece uma lista de exceções de emissor permitidas. Auditoria, desabilitado, negação 1.0.0 – versão prévia
[Versão Prévia]: Atribuir Identidade Gerenciada Atribuída pelo Usuário Interna a Conjuntos de Dimensionamento de Máquinas Virtuais Crie e atribua uma identidade gerenciada atribuída pelo usuário interna ou atribua uma identidade gerenciada atribuída pelo usuário previamente criada em escala a conjuntos de dimensionamento de máquinas virtuais. Para obter uma documentação mais detalhada, visite aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, desabilitado 1.0.6-preview
[Versão Prévia]: Atribuir Identidade Gerenciada Atribuída pelo Usuário Interna a Máquinas Virtuais Crie e atribua uma identidade gerenciada atribuída pelo usuário interna ou atribua uma identidade gerenciada atribuída pelo usuário previamente criada em escala a máquinas virtuais. Para obter uma documentação mais detalhada, visite aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, desabilitado 1.0.6-preview

Mapas

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O CORS não deve permitir que todos os recursos tenham acesso a sua conta de mapa. O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem sua conta de mapa. Permitir que apenas os domínios necessários interajam com conta de mapa. Desabilitado, Auditar, Negar 1.0.0

Serviços de Mídia

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
As contas dos Serviços de Mídia do Azure devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública aprimora a segurança, garantindo que os recursos dos Serviços de Mídia não sejam expostos na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos recursos dos Serviços de Mídia. Saiba mais em: https://aka.ms/mediaservicesprivatelinkdocs. Audit, Deny, desabilitado 1.0.0
As contas dos Serviços de Mídia do Azure devem usar uma API com suporte para Link Privado As contas dos Serviços de Mídia devem usar uma API com suporte para link privado. Audit, Deny, desabilitado 1.0.0
As contas dos Serviços de Mídia do Azure que permitem o acesso à API legacy v2 devem ser bloqueadas A API V2 herdada dos Serviços de Mídia permite solicitações que não podem ser gerenciadas usando o Azure Policy. Os recursos dos Serviços de Mídia criados usando a API 2020-05-01 ou posterior bloqueiam o acesso à API v2 herdada. Audit, Deny, desabilitado 1.0.0
As políticas de chave de conteúdo dos Serviços de Mídia do Azure devem usar autenticação de token As políticas de chave de conteúdo definem as condições que precisam ser atendidas para o acesso às chaves de conteúdo. Uma restrição de token garante que as chaves de conteúdo só possam ser acessadas por usuários que tenham tokens válidos de um serviço de autenticação, por exemplo, o Microsoft Entra ID. Audit, Deny, desabilitado 1.0.1
Os trabalhos dos Serviços de Mídia do Azure com entradas HTTPS devem limitar os URIs de entrada aos padrões de URI permitidos Restrinja as entradas HTTPS usadas pelos trabalhos dos Serviços de Mídia aos pontos de extremidade conhecidos. As entradas de pontos de extremidade HTTPS podem ser totalmente desabilitadas definindo uma lista vazia de padrões de entrada de trabalho permitidos. Quando as entradas de trabalho especificarem um 'baseUri', será feita a correspondência dos padrões com esse valor. Quando 'baseUri' não for definido, será feita a correspondência do padrão com a propriedade 'files'. Deny, Desabilitado 1.0.1
Os Serviços de Mídia do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Use chaves gerenciadas pelo cliente para gerenciar no restante de suas contas de Serviços de Mídia. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/mediaservicescmkdocs. Audit, Deny, desabilitado 1.0.0
Os Serviços de Mídia do Azure devem usar um link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Se você mapear os pontos de extremidade privados para os Serviços de Mídia, poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/mediaservicesprivatelinkdocs. AuditIfNotExists, desabilitado 1.0.0
Configurar Serviços de Mídia do Azure para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para que seja resolvida para as contas dos Serviços de Mídia. Saiba mais em: https://aka.ms/mediaservicesprivatelinkdocs. DeployIfNotExists, desabilitado 1.0.0
Configurar Serviços de Mídia do Azure com pontos de extremidade privados Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Se você mapear os pontos de extremidade privados para os Serviços de Mídia, poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/mediaservicesprivatelinkdocs. DeployIfNotExists, desabilitado 1.0.0

Migrar

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Configurar os recursos das Migrações para Azure para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para ser resolvida para o projeto de Migrações para Azure. Saiba mais em: https://aka.ms/privatednszone. DeployIfNotExists, desabilitado 1.0.0

Monitoramento

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: configurar computadores Linux habilitados para Azure Arc com agentes do Log Analytics conectados ao workspace do Log Analytics padrão Proteja seus computadores Linux habilitados para Azure Arc com as funcionalidades do Microsoft Defender para Nuvem, instalando os agentes do Log Analytics que enviam dados para um workspace padrão do Log Analytics criado pelo Microsoft Defender para Nuvem. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: configurar computadores Windows habilitados para Azure Arc com agentes do Log Analytics conectados ao workspace do Log Analytics padrão Proteja seus computadores Windows habilitados para Azure Arc com as funcionalidades do Microsoft Defender para Nuvem, instalando os agentes do Log Analytics que enviam dados para um workspace padrão do Log Analytics criado pelo Microsoft Defender para Nuvem. DeployIfNotExists, desabilitado 1.1.0 – versão prévia
[Versão prévia]: configurar a identidade gerenciada atribuída pelo sistema para permitir atribuições do Azure Monitor nas VMs Configure a identidade gerenciada atribuída ao sistema para máquinas virtuais hospedadas no Azure com suporte do Azure Monitor e que não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições do Azure Monitor e precisa ser adicionada a computadores antes de usar alguma extensão do Azure Monitor. As máquinas virtuais de destino devem estar em um local com suporte. Modificar, Desabilitado 6.0.0-preview
[Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas Relata máquinas virtuais como sem conformidade se a imagem da máquina virtual não estiver na lista definida e a extensão não está instalada. AuditIfNotExists, desabilitado 2.0.1 – versão prévia
[Pré-visualização]: a extensão do Log Analytics deve ser instalada nos computadores Linux do Azure Arc Esta política audita computadores Linux do Azure Arc se a extensão do Log Analytics não estiver instalada. AuditIfNotExists, desabilitado 1.0.1 – versão prévia
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nos computadores Windows do Azure Arc Esta política auditará os computadores Windows do Azure Arc se a extensão do Log Analytics não estiver instalada. AuditIfNotExists, desabilitado 1.0.1 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Linux A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desabilitado 1.0.2 – versão prévia
[Versão Prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado nas máquinas virtuais Windows A Central de Segurança usa o Microsoft Dependency Agent para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. AuditIfNotExists, desabilitado 1.0.2 – versão prévia
O log de atividades deve ser retido por pelo menos um ano Essa política auditará o log de atividades se a retenção não for definida para 365 dias ou para sempre (dias de retenção definidos como 0). AuditIfNotExists, desabilitado 1.0.0
Um alerta do log de atividades deve existir para Operações administrativas específicas Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados. AuditIfNotExists, desabilitado 1.0.0
Um alerta do log de atividades deve existir para Operações de política específicas Essa política audita Operações de política específicas sem alertas do log de atividades configurados. AuditIfNotExists, desabilitado 3.0.0
Um alerta do log de atividades deve existir para Operações de segurança específicas Essa política audita Operações de segurança específicas sem alertas do log de atividades configurados. AuditIfNotExists, desabilitado 1.0.0
Os componentes do Application Insights devem bloquear a ingestão de logs e a consulta de redes públicas Melhore a segurança do Application Insights bloqueando a ingestão de logs e a consulta de redes públicas. Somente redes conectadas de link privado poderão ingerir e consultar logs desse componente. Saiba mais em https://aka.ms/AzMonPrivateLink#configure-application-insights. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
Os componentes do Application Insights devem bloquear a ingestão fora do Azure Active Directory. Impor a ingestão de log para exigir a autenticação do Azure Active Directory evita logs não autenticados de um invasor, o que pode levar a um status incorreto, alertas falsos e logs incorretos armazenados no sistema. Negar, Auditar, Desabilitado 1.0.0
Os componentes do Application Insights com o Link Privado habilitado devem usar contas BYOS (traga seu próprio armazenamento) para o criador de perfil e o depurador. Para dar suporte a políticas de link privado e chave gerenciada pelo cliente, crie sua própria conta de armazenamento para o criador de perfil e o depurador. Saiba mais em https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage Negar, Auditar, Desabilitado 1.0.0
Auditar configuração de diagnóstico para tipos de recursos selecionados Auditar configuração de diagnóstico para tipos de recursos selecionado. Selecione apenas os tipos de recursos que dão suporte às configurações de diagnóstico. AuditIfNotExists 2.0.1
O Gateway de Aplicativo do Azure deve ter os logs de recursos habilitados Habilite os logs de recursos para o Gateway de Aplicativo do Azure (mais o WAF) e transmita-os para um workspace do Log Analytics. Obtenha visibilidade detalhada do tráfego da Web de entrada e das ações executadas para mitigar os ataques. AuditIfNotExists, desabilitado 1.0.0
O Azure Front Door deve ter os logs de recursos habilitados Habilite os logs de recursos para o Azure Front Door (mais o WAF) e transmita-os para um workspace do Log Analytics. Obtenha visibilidade detalhada do tráfego da Web de entrada e das ações executadas para mitigar os ataques. AuditIfNotExists, desabilitado 1.0.0
O Azure Front Door Standard ou Premium (Mais WAF) deve ter os logs de recursos habilitados Habilite os logs de recursos no Azure Front Door Standard ou Premium (mais o WAF) e transmita-os para um workspace do Log Analytics. Obtenha visibilidade detalhada do tráfego da Web de entrada e das ações executadas para mitigar os ataques. AuditIfNotExists, desabilitado 1.0.0
Os Alertas de Pesquisa de Logs do Azure no workspace do Log Analytics devem usar chaves gerenciadas pelo cliente Verifique se os alertas de pesquisa de logs do Azure estão implementando chaves gerenciadas pelo cliente, armazenando o texto da consulta usando a conta de armazenamento fornecida pelo cliente para o workspace do Log Analytics consultado. Para obter mais informações, visite https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. Auditoria, desabilitado, negação 1.0.0
O perfil de log do Azure Monitor deve coletar logs para as categorias "gravar", "excluir" e "ação" Essa política garante que um perfil de log colete logs para as categorias "gravar", "excluir" e "ação" AuditIfNotExists, desabilitado 1.0.0
Os clusters de Logs do Azure Monitor devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla) Para garantir que a criptografia de dados segura esteja habilitada no nível de serviço e no nível de infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster dedicado do Azure Monitor. Essa opção é habilitada por padrão quando há suporte na região, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
Os clusters de Logs do Azure Monitor devem ser criptografados com uma chave gerenciada pelo cliente Crie o cluster de logs do Azure Monitor com criptografia de chaves gerenciadas pelo cliente. Por padrão, os dados do log são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender à conformidade regulatória. A chave gerenciada pelo cliente no Azure Monitor oferece mais controle sobre o acesso aos dados, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
Os Logs do Azure Monitor para o Application Insights devem ser vinculados a um workspace do Log Analytics Vincule o componente Application Insights a um workspace do Log Analytics para criptografia de logs. Normalmente, as chaves gerenciadas pelo cliente são necessárias para atender à conformidade regulatória e obter mais controle sobre o acesso aos dados no Azure Monitor. Vincular o componente a um workspace do Log Analytics habilitado com uma chave gerenciada pelo cliente garante que os logs do Application Insights atendam a esse requisito de conformidade, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
O Escopo de Link Privado do Azure Monitor deve bloquear o acesso a recursos de link não privados O Link Privado do Azure permite que você conecte suas redes virtuais aos recursos do Azure por meio de um ponto de extremidade privado a um AMPLS (escopo de Link Privado do Azure Monitor). Os modos de Acesso de Link Privado são definidos nos AMPLS para controlar se as solicitações de ingestão e consulta das redes podem alcançar todos os recursos ou apenas recursos de Link Privado (para evitar a exfiltração de dados). Saiba mais sobre links privados em: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. Audit, Deny, desabilitado 1.0.0
O Escopo do Link Privado do Azure Monitor deve usar o link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Escopo de Link Privado do Azure Monitor, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. AuditIfNotExists, desabilitado 1.0.0
O Azure Monitor deve coletar os logs de atividades de todas as regiões Essa política audita o perfil de log do Azure Monitor que não exporta atividades de todas as regiões com suporte do Azure, incluindo global. AuditIfNotExists, desabilitado 2.0.0
A solução "Segurança e Auditoria" do Azure Monitor precisa ser implantada Essa política garante que a Segurança e Auditoria seja implantada. AuditIfNotExists, desabilitado 1.0.0
As assinaturas do Azure devem ter um perfil de log para o Log de Atividades Essa política verifica se um perfil de log está ativado para exportar logs de atividades. Ela audita se não há um perfil de log criado para exportar os logs para uma conta de armazenamento ou para um hub de eventos. AuditIfNotExists, desabilitado 1.0.0
Configurar logs de atividades do Azure para transmissão para o workspace especificado do Log Analytics Implanta as configurações de diagnóstico da atividade do Azure para transmitir logs de auditoria de assinaturas para um workspace do Log Analytics a fim de monitorar eventos no nível da assinatura DeployIfNotExists, desabilitado 1.0.0
Configurar os componentes do Azure Application Insights para desabilitar o acesso à rede pública para ingestão e consulta de log Desabilite a ingestão e a consulta de log de componentes no acesso à rede pública para melhorar a segurança. Somente redes conectadas de link privado poderão ingerir e consultar logs nesse workspace. Saiba mais em https://aka.ms/AzMonPrivateLink#configure-application-insights. Modificar, Desabilitado 1.1.0
Configurar os workspaces do Azure Log Analytics para desabilitar o acesso à rede pública para ingestão e consulta de log Melhore a segurança do workspace bloqueando a ingestão de logs e a consulta de redes públicas. Somente redes conectadas de link privado poderão ingerir e consultar logs nesse workspace. Saiba mais em https://aka.ms/AzMonPrivateLink#configure-log-analytics. Modificar, Desabilitado 1.1.0
Configurar Azure Monitor escopo de link privado para bloquear o acesso a recursos de link não privados O Link Privado do Azure permite que você conecte suas redes virtuais aos recursos do Azure por meio de um ponto de extremidade privado a um AMPLS (escopo de Link Privado do Azure Monitor). Os modos de Acesso de Link Privado são definidos nos AMPLS para controlar se as solicitações de ingestão e consulta das redes podem alcançar todos os recursos ou apenas recursos de Link Privado (para evitar a exfiltração de dados). Saiba mais sobre links privados em: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. Modificar, Desabilitado 1.0.0
Configurar o Escopo de Link Privado do Azure Monitor para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada é vinculada à rede virtual para resolver o escopo de link privado do Azure Monitor. Saiba mais em: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. DeployIfNotExists, desabilitado 1.0.0
Configurar os Escopos de Link Privado do Azure Monitor com pontos de extremidade privados Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Com o mapeamento dos pontos de extremidade privados para os Escopos de Link Privado do Azure Monitor, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. DeployIfNotExists, desabilitado 1.0.0
Configurar o Dependency Agent em servidores do Linux habilitados para Azure Arc Habilite os insights da VM em servidores e computadores conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do Dependency Agent. Os insights da VM usam o Dependency Agent para coletar métricas de rede e dados descobertos sobre os processos em execução no computador e em dependências de processo externo. Veja mais: https://aka.ms/vminsightsdocs. DeployIfNotExists, desabilitado 2.0.0
Configurar o Dependency Agent em servidores Linux habilitados para o Azure Arc com as configurações do Agente do Monitoramento do Azure Habilite os insights da VM em servidores e computadores conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do Dependency Agent com as configurações do Azure Monitoring Agent. Os insights da VM usam o Dependency Agent para coletar métricas de rede e dados descobertos sobre os processos em execução no computador e em dependências de processo externo. Veja mais: https://aka.ms/vminsightsdocs. DeployIfNotExists, desabilitado 1.1.2
Configurar o Dependency Agent em servidores do Windows habilitados para Azure Arc Habilite os insights da VM em servidores e computadores conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do Dependency Agent. Os insights da VM usam o Dependency Agent para coletar métricas de rede e dados descobertos sobre os processos em execução no computador e em dependências de processo externo. Veja mais: https://aka.ms/vminsightsdocs. DeployIfNotExists, desabilitado 2.0.0
Configure o Dependency Agent em servidores Windows habilitados para o Azure Arc com as configurações do Agente do Monitoramento do Azure Habilite os insights da VM em servidores e computadores conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do Dependency Agent com as configurações do Azure Monitoring Agent. Os insights da VM usam o Dependency Agent para coletar métricas de rede e dados descobertos sobre os processos em execução no computador e em dependências de processo externo. Veja mais: https://aka.ms/vminsightsdocs. DeployIfNotExists, desabilitado 1.1.2
Configurar Computadores Linux Arc para serem associados a uma Regra de Coleta de Dados ou a um Endpoint de Coleta de Dados Implante a associação para vincular computadores Linux do Arc à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais é atualizada ao longo do tempo de acordo com a expansão do suporte. DeployIfNotExists, desabilitado 2.1.0
Configurar máquinas virtuais habilitadas para Linux Arc a fim de executar o Agente do Azure Monitor Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais habilitadas para Linux Arc a fim de coletar dados de telemetria do sistema operacional convidado. Essa política instalará a extensão se a região tiver suporte. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 2.3.0
Configurar Computadores Linux para serem associados a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados Implante a associação para vincular máquinas virtuais do Linux, conjuntos de dimensionamento de máquinas virtuais e computadores Arc à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. DeployIfNotExists, desabilitado 6.1.0
Configurar Conjuntos de Dimensionamento de Máquinas Virtuais do Linux para serem associados a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados Implante a associação para vincular conjuntos de dimensionamento de máquinas virtuais do Linux à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. DeployIfNotExists, desabilitado 4.0.1
Configurar conjuntos de dimensionamento de máquinas Virtuais do Linux para executar o Agente do Azure Monitor com autenticação baseada em identidade gerenciada atribuída pelo sistema Automatize a implantação da extensão do Agente do Azure Monitor em seus conjuntos de dimensionamento de máquinas virtuais Linux para coletar dados de telemetria do sistema operacional convidado. Essa política instalará a extensão se o sistema operacional e a região tiverem suporte e a identidade gerenciada atribuída pelo sistema estiver habilitada, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 3.4.0
Configurar conjuntos de dimensionamento de máquinas virtuais do Linux para executar o Agente do Azure Monitor com autenticação baseada em identidade gerenciada atribuída pelo usuário Automatize a implantação da extensão do Agente do Azure Monitor em seus conjuntos de dimensionamento de máquinas virtuais Linux para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 3.5.0
Configurar Máquinas Virtuais do Linux para serem associadas a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados Implante a associação para vincular computadores virtuais do Linux à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. DeployIfNotExists, desabilitado 4.0.0
Configurar máquinas virtuais do Linux para executar o Agente do Azure Monitor com autenticação baseada em identidade gerenciada atribuída pelo sistema Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais Linux para coletar dados de telemetria do sistema operacional convidado. Essa política instalará a extensão se o sistema operacional e a região tiverem suporte e a identidade gerenciada atribuída pelo sistema estiver habilitada, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 3.4.0
Configurar máquinas virtuais do Linux para executar o Agente do Azure Monitor com autenticação baseada em identidade gerenciada atribuída pelo usuário Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais Linux para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 3.5.0
Configure a extensão do Log Analytics em servidores do Linux habilitados para o Azure Arc. Confira o aviso de preterição abaixo Habilite os insights da VM em servidores e computadores conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do Log Analytics. Os insights da VM usam o agente do Log Analytics para coletar os dados de desempenho do SO convidado e fornece insights sobre o desempenho dele. Veja mais: https://aka.ms/vminsightsdocs. Aviso de descontinuação: os agentes do Log Analytics estão em um processo de descontinuação e não contarão mais com suporte após 31 de agosto de 2024. Você precisa migrar para o 'agente do Azure Monitor' de substituição antes dessa data DeployIfNotExists, desabilitado 2.1.1
Configurar a extensão do Log Analytics em servidores do Windows habilitados para o Azure Arc Habilite os insights da VM em servidores e computadores conectados ao Azure por meio de servidores habilitados para Arc instalando a extensão de máquina virtual do Log Analytics. Os insights da VM usam o agente do Log Analytics para coletar os dados de desempenho do SO convidado e fornece insights sobre o desempenho dele. Veja mais: https://aka.ms/vminsightsdocs. Aviso de descontinuação: os agentes do Log Analytics estão em um processo de descontinuação e não contarão mais com suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. DeployIfNotExists, desabilitado 2.1.1
Configurar o workspace do Log Analytics e a conta de automação para centralização de logs e monitoramento Implante o grupo de recursos que contém o workspace do Log Analytics e a conta de automação vinculada para centralização de logs e monitoramento. A conta de automação é um pré-requisito para soluções como Atualizações e Controle de Alterações. DeployIfNotExists, AuditIfNotExists, Desabilitado 2.0.0
Configurar Computadores Windows Arc para serem associados a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados Implante a associação para vincular computadores Windows do Arc à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais é atualizada ao longo do tempo de acordo com a expansão do suporte. DeployIfNotExists, desabilitado 2.1.0
Configurar máquinas virtuais habilitadas para Windows Arc a fim de executar o Agente do Azure Monitor Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais habilitadas para Windows Arc a fim de coletar dados de telemetria do sistema operacional convidado. Essa política instalará a extensão se o sistema operacional e a região tiverem suporte e a identidade gerenciada atribuída pelo sistema estiver habilitada, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 2.3.0
Configurar as Computadores Windows para serem associados a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados Implante a associação para vincular máquinas virtuais do Windows, conjuntos de dimensionamento de máquinas virtuais e computadores Arc à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. DeployIfNotExists, desabilitado 4.2.0
Configurar Conjuntos de Dimensionamento de Máquinas Virtuais do Windows para serem associados a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados Implante a associação para vincular conjuntos de dimensionamento de máquinas virtuais do Windows à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. DeployIfNotExists, desabilitado 3.1.0
Configurar os conjuntos de dimensionamento de máquinas virtuais do Windows para executar o Agente do Azure Monitor usando a identidade gerenciada atribuída pelo sistema Automatize a implantação da extensão do Agente do Azure Monitor em seus conjuntos de dimensionamento de máquinas virtuais Windows para coletar dados de telemetria do sistema operacional convidado. Essa política instalará a extensão se o sistema operacional e a região tiverem suporte e a identidade gerenciada atribuída pelo sistema estiver habilitada, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 3.3.0
Configurar os conjuntos de dimensionamento de máquinas virtuais do Windows para executar o Agente do Azure Monitor com autenticação baseada em identidade gerenciada atribuída pelo usuário Automatize a implantação da extensão do Agente do Azure Monitor em seus conjuntos de dimensionamento de máquinas virtuais Windows para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 1.4.0
Configurar Máquinas Virtuais do Windows para serem associadas a uma Regra de Coleta de Dados ou a um Ponto de Extremidade de Coleta de Dados Implante a associação para vincular computadores virtuais do Windows à regra de coleta de dados especificada ou o ponto de extremidade de coleta de dados especificado. A lista de locais e imagens do sistema operacional é atualizada ao longo do tempo à medida em que aumenta o suporte. DeployIfNotExists, desabilitado 3.1.0
Configurar as máquinas virtuais do Windows para executar o Agente do Azure Monitor usando a identidade gerenciada atribuída pelo sistema Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais Windows para coletar dados de telemetria do sistema operacional convidado. Essa política instalará a extensão se o sistema operacional e a região tiverem suporte e a identidade gerenciada atribuída pelo sistema estiver habilitada, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 4.3.0
Configurar as máquinas virtuais do Windows para executar o Agente do Azure Monitor com autenticação baseada em identidade gerenciada atribuída pelo usuário Automatize a implantação da extensão do Agente do Azure Monitor em suas máquinas virtuais Windows para coletar dados de telemetria do sistema operacional convidado. Esta política instalará a extensão e configurará para usar a identidade gerenciada atribuída pelo usuário especificada, se o SO e a região forem compatíveis e, caso contrário, ignorará a instalação. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 1.4.0
O Dependency Agent deverá ser habilitado para obter imagens das máquinas virtuais listadas Relata máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. AuditIfNotExists, desabilitado 2.0.0
O Dependency Agent deverá ser habilitado em conjuntos de dimensionamento de máquinas virtuais para obter imagens das máquinas virtuais listadas Relata os conjuntos de dimensionamento de máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. AuditIfNotExists, desabilitado 2.0.0
Implantar – Configurar o Dependency Agent para ser habilitado em conjuntos de dimensionamento de máquinas virtuais do Windows Implante o Dependency Agent em conjuntos de dimensionamento de máquinas virtuais do Windows, caso a imagem da máquina virtual esteja na lista definida e o agente não esteja instalado. Caso o conjunto de dimensionamento upgradePolicy seja definido como Manual, será preciso aplicar uma extensão a todas as máquinas virtuais do conjunto, executando uma atualização delas. DeployIfNotExists, desabilitado 3.1.0
Implantar – Configurar o Dependency Agent para ser habilitado em máquinas virtuais do Windows Implante o Dependency Agent em máquinas virtuais do Windows, caso a imagem da máquina virtual esteja na lista definida e o agente não esteja instalado. DeployIfNotExists, desabilitado 3.1.0
Implantar – Defina as configurações de diagnóstico em um workspace do Log Analytics a ser habilitado no HSM gerenciado pelo Azure Key Vault Implanta as configurações de diagnóstico do HSM Gerenciado pelo Azure Key Vault a serem transmitidas para um workspace do Log Analytics regional quando qualquer HSM Gerenciado pelo Azure Key Vault, que não tenha essas configurações de diagnóstico, é criado ou atualizado. DeployIfNotExists, desabilitado 1.0.0
Implantar – Configure a extensão do Log Analytics para ser habilitada em conjuntos de dimensionamento de máquinas virtuais Windows Implante a extensão do Log Analytics nos conjuntos de dimensionamento de máquinas virtuais Windows se a imagem da máquina virtual estiver na lista definida e a extensão não estiver instalada. Caso o conjunto de dimensionamento upgradePolicy seja definido como Manual, será preciso aplicar uma extensão a todas as máquinas virtuais do conjunto, executando uma atualização delas. Aviso de descontinuação: os agentes do Log Analytics estão em um processo de descontinuação e não contarão mais com suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. DeployIfNotExists, desabilitado 3.1.0
Implantar - Configurar a extensão do Log Analytics para ser habilitada em máquinas virtuais Windows Implante a extensão do Log Analytics nas máquinas virtuais do Windows se a imagem da máquina virtual estiver na lista definida e a extensão não estiver instalada. Aviso de descontinuação: os agentes do Log Analytics estão em um processo de descontinuação e não contarão mais com suporte após 31 de agosto de 2024. Você deve migrar para o 'agente do Azure Monitor' de substituição antes dessa data. DeployIfNotExists, desabilitado 3.1.0
Implantar o Dependency Agent em conjuntos de dimensionamento de máquinas virtuais do Linux Implantar o Dependency Agent nos conjuntos de dimensionamento de máquinas virtuais do Linux se a imagem da VM (sistema operacional) estiver na lista definida e o agente não estiver instalado. Observação: se o conjunto de dimensionamento upgradePolicy for definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais no conjunto chamando a atualização nelas. Na CLI, isso seria az vmss update-instances. deployIfNotExists 5.0.0
Implante o Dependency Agent no conjuntos de dimensionamento de máquinas virtuais do Linux com as configurações do Agente de Monitoramento do Azure Implante o Dependency Agent no conjunto de dimensionamento de máquinas virtuais Linux com as configurações do Agente de Monitoramento do Azure se a Imagem da VM (OS) estiver na lista definida e o agente não estiver instalado. Observação: se o conjunto de dimensionamento upgradePolicy for definido como Manual, você precisará aplicar a extensão a todas as máquinas virtuais no conjunto chamando a atualização nelas. Na CLI, isso seria az vmss update-instances. DeployIfNotExists, desabilitado 3.1.1
Implantar o Dependency Agent nas máquinas virtuais do Linux Implante o Dependency Agent nas máquinas virtuais do Linux se a Imagem de VM (SO) estiver na lista definida e o agente não estiver instalado. deployIfNotExists 5.0.0
Implante o Dependency Agent em máquinas virtuais Linux com configurações do Agente de Monitoramento do Azure Implante o Dependency Agent em máquinas virtuais Linux com as configurações do Agente de Monitoramento do Azure se a Imagem da VM (OS) estiver na lista definida e o agente não estiver instalado. DeployIfNotExists, desabilitado 3.1.1
Implante o Dependency Agent a ser habilitado nos conjuntos de dimensionamento de máquinas virtuais do Windows com as configurações do Agente de Monitoramento do Azure Implante o Dependency Agent no conjunto de dimensionamento de máquinas virtuais do Windows com as configurações do Agente de Monitoramento do Azure se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. Caso o conjunto de dimensionamento upgradePolicy seja definido como Manual, será preciso aplicar uma extensão a todas as máquinas virtuais do conjunto, executando uma atualização delas. DeployIfNotExists, desabilitado 1.2.2
Implante o Dependency Agent para ser habilitado em máquinas virtuais do Windows com as configurações do Agente de Monitoramento do Azure Implante o Dependency Agent em máquinas virtuais do Windows com as configurações do Agente de Monitoramento do Azure se a imagem da máquina virtual estiver na lista definida e o agente não estiver instalado. DeployIfNotExists, desabilitado 1.2.2
Implantar as Configurações de Diagnóstico da Conta do Lote no Hub de Eventos Implanta as configurações de diagnóstico da Conta do Lote a serem transmitidas para um Hub de Eventos regional em qualquer Conta do Lote criada ou atualizada que não tenha essas configurações de diagnóstico. DeployIfNotExists, desabilitado 2.0.0
Implantar as Configurações de Diagnóstico para a Conta do Lote no workspace do Log Analytics Implanta as configurações de diagnóstico da Conta do Lote a serem transmitidas para um workspace do Log Analytics regional em qualquer Conta do Lote criada ou atualizada que não tenha essas configurações de diagnóstico. DeployIfNotExists, desabilitado 1.0.0
Implantar as Configurações de Diagnóstico do Data Lake Analytics no Hub de Eventos Implanta as configurações de diagnóstico do Data Lake Analytics a serem transmitidas para um Hub de Eventos regional em qualquer Data Lake Analytics criado ou atualizado que não tenha essas configurações de diagnóstico. DeployIfNotExists, desabilitado 2.0.0
Implantar as Configurações de Diagnóstico do Data Lake Analytics no workspace do Log Analytics Implanta as configurações de diagnóstico do Data Lake Analytics a serem transmitidas para um workspace do Log Analytics regional em qualquer Data Lake Analytics criado ou atualizado que não tenha essas configurações de diagnóstico. DeployIfNotExists, desabilitado 1.0.0
Implantar as Configurações de Diagnóstico do Data Lake Storage Gen1 no Hub de Eventos Implanta as configurações de diagnóstico do Data Lake Storage Gen1 a serem transmitidas para um Hub de Eventos regional em qualquer Data Lake Storage Gen1 criado ou atualizado que não tenha essas configurações de diagnóstico. DeployIfNotExists, desabilitado 2.0.0
Implantar as Configurações de Diagnóstico do Data Lake Storage Gen1 no workspace do Log Analytics Implanta as configurações de diagnóstico do Data Lake Storage Gen1 a serem transmitidas para um workspace do Log Analytics regional em qualquer Data Lake Storage Gen1 criado ou atualizado que não tenha essas configurações de diagnóstico. DeployIfNotExists, desabilitado 1.0.0
Implantar as Configurações de Diagnóstico do Hub de Eventos no Hub de Eventos Implanta as configurações de diagnóstico do Hub de Eventos a serem transmitidas para um Hub de Eventos regional em qualquer Hub de Eventos criado ou atualizado que não tenha essas configurações de diagnóstico. DeployIfNotExists, desabilitado 2.1.0
Implantar as Configurações de Diagnóstico do Hub de Eventos no workspace do Log Analytics Implanta as configurações de diagnóstico do Hub de Eventos a serem transmitidas para um workspace do Log Analytics regional em qualquer Hub de Eventos criado ou atualizado que não tenha essas configurações de diagnóstico. DeployIfNotExists, desabilitado 2.0.0
Implantar as configurações de diagnóstico do Key Vault no workspace do Log Analytics Implanta as configurações de diagnóstico do Key Vault a serem transmitidas para um workspace do Log Analytics regional em qualquer Key Vault criado ou atualizado que não tenha essas configurações de diagnóstico. DeployIfNotExists, desabilitado 3.0.0
Implantar as Configurações de Diagnóstico dos Aplicativos Lógicos no Hub de Eventos Implanta as configurações de diagnóstico dos Aplicativos Lógicos a serem transmitidas para um Hub de Eventos regional em quaisquer Aplicativos Lógicos criados ou atualizados que não tenham essas configurações de diagnóstico. DeployIfNotExists, desabilitado 2.0.0
Implantar as Configurações de Diagnóstico dos Aplicativos Lógicos ao workspace do Log Analytics Implanta as configurações de diagnóstico dos Aplicativos Lógicos a serem transmitidas para um workspace do Log Analytics regional em quaisquer Aplicativos Lógicos criados ou atualizados que não tenham essas configurações de diagnóstico. DeployIfNotExists, desabilitado 1.0.0
Implantar configurações de diagnóstico para Grupos de Segurança de Rede Essa política implanta automaticamente configurações de diagnóstico em grupos de segurança de rede. Uma conta de armazenamento com o nome "{storagePrefixParameter} {NSGLocation}" será criada automaticamente. deployIfNotExists 2.0.1
Implantar as Configurações de Diagnóstico dos Serviços de Pesquisa no Hub de Eventos Implanta as configurações de diagnóstico dos Serviços de Pesquisa a serem transmitidas para um Hub de Eventos regional em quaisquer dos Serviços de Pesquisa criados ou atualizados que não tenham essas configurações de diagnóstico. DeployIfNotExists, desabilitado 2.0.0
Implantar as Configurações de Diagnóstico dos Serviços de Pesquisa no workspace do Log Analytics Implanta as configurações de diagnóstico dos Serviços de Pesquisa a serem transmitidas para um workspace do Log Analytics regional em quaisquer Serviços de Pesquisa criados ou atualizados que não tenham essas configurações de diagnóstico. DeployIfNotExists, desabilitado 1.0.0
Implantar as Configurações de Diagnóstico do Barramento de Serviço no Hub de Eventos Implanta as configurações de diagnóstico do Barramento de Serviço a serem transmitidas para um Hub de Eventos regional em qualquer Barramento de Serviço criado ou atualizado que não tenha essas configurações de diagnóstico. DeployIfNotExists, desabilitado 2.0.0
Implantar as configurações de diagnóstico para Barramento de Serviço no workspace do Log Analytics Implanta as configurações de diagnóstico do Barramento de Serviço a serem transmitidas para um workspace do Log Analytics regional em qualquer Barramento de Serviço criado ou atualizado que não tenha essas configurações de diagnóstico. DeployIfNotExists, desabilitado 2.1.0
Implantar as Configurações de Diagnóstico do Stream Analytics no Hub de Eventos Implanta as configurações de diagnóstico do Stream Analytics a serem transmitidas para um Hub de Eventos regional em qualquer Stream Analytics criado ou atualizado que não tenha essas configurações de diagnóstico. DeployIfNotExists, desabilitado 2.0.0
Implantar as Configurações de Diagnóstico do Stream Analytics no workspace do Log Analytics Implanta as configurações de diagnóstico do Stream Analytics a serem transmitidas para um workspace do Log Analytics regional em qualquer Stream Analytics criado ou atualizado que não tenha essas configurações de diagnóstico. DeployIfNotExists, desabilitado 1.0.0
Implante a extensão do Log Analytics nos conjuntos de dimensionamento de máquinas virtuais do Linux. Confira o aviso de preterição abaixo Implantar a extensão do Log Analytics em conjuntos de dimensionamento de máquinas virtuais Linux se a imagem da VM (sistema operacional) estiver na lista definida e a extensão não estiver instalado. Observação: se o conjunto de dimensionamento upgradePolicy for definido como Manual, você precisará aplicar a extensão para todas as VMs no conjunto ao chamar o upgrade nelas. Na CLI, isso seria az vmss update-instances. Aviso de preterição: o agente do Log Analytics não terá suporte após 31 de agosto de 2024. Você precisa migrar para o 'agente do Azure Monitor' de substituição antes dessa data deployIfNotExists 3.0.0
Implante a extensão do Log Analytics para VMs do Linux. Confira o aviso de preterição abaixo Implante a extensão do Log Analytics nas VMs do Linux se a Imagem de VM (SO) estiver na lista definida e a extensão não estiver instalada. Aviso de descontinuação: os agentes do Log Analytics estão em um processo de descontinuação e não contarão mais com suporte após 31 de agosto de 2024. Você precisa migrar para o 'agente do Azure Monitor' de substituição antes dessa data deployIfNotExists 3.0.0
Habilitar o registro em log por grupo de categorias nos serviços do Gerenciamento de API (microsoft.apimanagement/service) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos serviços de Gerenciamento de API (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias nos serviços do Gerenciamento de API (microsoft.apimanagement/service) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para serviços do Gerenciamento de API (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias nos serviços do Gerenciamento de API (microsoft.apimanagement/service) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para serviços de Gerenciamento de API (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Configuração de Aplicativos (microsoft.appconfiguration/configurationstores) para o Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos na Configuração de Aplicativos (microsoft.appconfiguration/configurationstores). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para Configuração de Aplicativos (microsoft.appconfiguration/configurationstores) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Configuração de Aplicativos (microsoft.appconfiguration/configurationstores). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Configuração de Aplicativos (microsoft.appconfiguration/configurationstores) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Configuração de Aplicativos (microsoft.appconfiguration/configurationstores). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias do Serviço de Aplicativo (microsoft.web/sites) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics do Serviço de Aplicativo (microsoft.web/sites). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias do grupo de aplicativos (microsoft.desktopvirtualization/applicationgroups) para o Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics do grupo de aplicativos da Área de Trabalho Virtual do Azure (microsoft.desktopvirtualization/applicationgroups). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias do Application Insights (Microsoft.Insights/componentes) para o Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics do Application Insights (Microsoft.Insights/componentes). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para provedores de Atestado (microsoft.attestation/attestationproviders) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos provedores de Atestado (microsoft.attestation/attestationproviders). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para provedores de Atestado (microsoft.attestation/attestationproviders) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para provedores de Atestado (microsoft.attestation/attestationproviders). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para provedores de Atestado (microsoft.attestation/attestationproviders) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para provedores de Atestado (microsoft.attestation/attestationproviders). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Contas de Automação (microsoft.automation/automationaccounts) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nas Contas de Automação (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para Contas de Automação (microsoft.automation/automationaccounts) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Contas de Automação (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Contas de Automação (microsoft.automation/automationaccounts) para Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Contas de Automação (microsoft.apimanagement/service). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para nuvens Privadas da AVS (microsoft.avs/privateclouds) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nas nuvens Privadas da AVS (microsoft.avs/privateclouds). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para nuvens Privadas da AVS (microsoft.avs/privateclouds) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para nuvens Privadas da AVS (microsoft.avs/privateclouds). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para nuvens Privadas da AVS (microsoft.avs/privateclouds) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para nuvens Privadas da AVS (microsoft.avs/privateclouds). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para o Cache do Azure para Redis (microsoft.cache/redis) para o Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos do Cache do Azure para Redis (microsoft.cache/redis). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para o Cache do Azure para Redis (microsoft.cache/redis) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para o Cache do Azure para Redis (microsoft.cache/redis). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para o Cache do Azure para Redis (microsoft.cache/redis) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para o Cache do Azure para Redis (microsoft.cache/redis). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias do Azure Cosmos DB (microsoft.documentdb/databaseaccounts) para o Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics do Azure Cosmos DB (microsoft.documentdb/databaseaccounts). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para o Azure FarmBeats (microsoft.agfoodplatform/farmbeats) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos no Azure FarmBeats (microsoft.agfoodplatform/farmbeats). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para o Azure FarmBeats (microsoft.agfoodplatform/farmbeats) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para o Azure FarmBeats (microsoft.agfoodplatform/farmbeats). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para o Azure FarmBeats (microsoft.agfoodplatform/farmbeats) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para o Azure FarmBeats (microsoft.agfoodplatform/farmbeats). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias no Azure Machine Learning (microsoft.machinelearningservices/workspaces) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos no Azure Machine Learning (microsoft.machinelearningservices/workspaces). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias no Azure Machine Learning (microsoft.machinelearningservices/workspaces) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para o Azure Machine Learning (microsoft.machinelearningservices/workspaces). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias no Azure Machine Learning (microsoft.machinelearningservices/workspaces) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para o Azure Machine Learning (microsoft.machinelearningservices/workspaces). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Bastions (microsoft.network/bastionhosts) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos Bastions (microsoft.network/bastionhosts). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para Bastions (microsoft.network/bastionhosts) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Bastions (microsoft.network/bastionhosts). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Bastions (microsoft.network/bastionhosts) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Bastions (microsoft.network/bastionhosts). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos Serviços Cognitivos (microsoft.cognitiveservices/accounts). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Serviços Cognitivos (microsoft.cognitiveservices/accounts). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Serviços Cognitivos (microsoft.cognitiveservices/accounts) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Serviços Cognitivos (microsoft.cognitiveservices/accounts). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para registros de contêiner (microsoft.containerregistry/registries) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implementa uma configuração de diagnóstico usando um grupo de categorias para rotear os logs para um Hub de Eventos para Registros de Contêiner (microsoft.containerregistry/registries). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para Registros de contêiner (microsoft.containerregistry/registries) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implementa uma configuração de diagnóstico usando um grupo de categorias para rotear os logs para um workspace do Log Analytics para Registros de Contêiner (microsoft.containerregistry/registries). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para registros de contêiner (microsoft.containerregistry/registries) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implementa uma configuração de diagnóstico usando um grupo de categorias para rotear os logs para uma Conta de armazenamento para Registros de Contêiner (microsoft.containerregistry/registries). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Domínios da Grade de Eventos (microsoft.eventgrid/domains) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos Domínios da Grade de Eventos (microsoft.eventgrid/domains). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para Domínios da Grade de Eventos (microsoft.eventgrid/domains) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Domínios da Grade de Eventos (microsoft.eventgrid/domains). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Domínios da Grade de Eventos (microsoft.eventgrid/domains) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Domínios da Grade de Eventos (microsoft.eventgrid/domains). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Namespaces de Parceiros da Grade de Eventos (microsoft.eventgrid/partnernamespaces) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos Namespaces de Parceiros da Grade de Eventos (microsoft.eventgrid/partnernamespaces). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para Namespaces de Parceiros da Grade de Eventos (microsoft.eventgrid/partnernamespaces) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Namespaces de Parceiros da Grade de Eventos (microsoft.eventgrid/partnernamespaces). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Namespaces de Parceiros da Grade de Eventos (microsoft.eventgrid/partnernamespaces) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Namespaces de Parceiros da Grade de Eventos (microsoft.eventgrid/partnernamespaces). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Tópicos da Grade de Eventos (microsoft.eventgrid/topics) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos Tópicos da Grade de Eventos (microsoft.eventgrid/topics). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para Tópicos da Grade de Eventos (microsoft.eventgrid/topics) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Tópicos da Grade de Eventos (microsoft.eventgrid/topics). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Tópicos da Grade de Eventos (microsoft.eventgrid/topics) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Tópicos da Grade de Eventos (microsoft.eventgrid/topics). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Namespaces do Hubs de Eventos (microsoft.eventhub/namespaces) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos Namespaces de Hubs de Eventos (microsoft.eventhub/namespaces). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para Namespaces de Hubs de Eventos (microsoft.eventhub/namespaces) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Namespaces dos Hubs de Eventos (microsoft.eventhub/namespaces). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Namespaces dos Hubs de Eventos (microsoft.eventhub/namespaces) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Namespaces dos Hubs de Eventos (microsoft.eventhub/namespaces). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias do Firewall (microsoft.network/azurefirewalls) para o Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics do Firewall (microsoft.network/azurefirewalls). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para perfis do Front Door e da CDN (microsoft.cdn/profiles) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos perfis do Front Door e da CDN (microsoft.cdn/profiles). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para perfis do Front Door e da CDN (microsoft.cdn/profiles) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para perfis do Front Door e da CDN (microsoft.cdn/profiles). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para perfis do Front Door e da CDN (microsoft.cdn/profiles) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para perfis do Front Door e da CDN (microsoft.cdn/profiles). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para perfis do Front Door e da CDN (microsoft.network/frontdoors) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos perfis do Front Door e da CDN (microsoft.network/frontdoors). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para perfis do Front Door e CDN (microsoft.network/frontdoors) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para perfis do Front Door e CDN (microsoft.network/frontdoors). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para perfis do Front Door e da CDN (microsoft.network/frontdoors) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para perfis do Front Door e da CDN (microsoft.network/frontdoors). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias do Aplicativo de Funções (microsoft.web/sites) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics do Aplicativo de Funções (microsoft.web/sites). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias do Pool de host (microsoft.desktopvirtualization/hostpools) para o Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics do Pool de host da Área de Trabalho Virtual do Azure (microsoft.desktopvirtualization/hostpools). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias no Hub IoT (microsoft.devices/iothubs) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos no Hub IoT (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias do Hub IoT (microsoft.devices/iothubs) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para o Hub IoT (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias no Hub IoT (microsoft.devices/iothubs) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para o Hub IoT (microsoft.devices/iothubs). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Cofres de chaves (microsoft.keyvault/vaults) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos Cofres de Chaves (microsoft.keyvault/vaults). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para cofres de chaves (microsoft.keyvault/vaults) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Cofres de chaves (microsoft.keyvault/vaults). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Cofres de chaves (microsoft.keyvault/vaults) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para o Cofres de chaves (microsoft.keyvault/vaults). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para workspaces do Log Analytics (microsoft.operationalinsights/workspaces) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos workspaces do Log Analytics (microsoft.operationalinsights/workspaces). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para workspaces do Log Analytics (microsoft.operationalinsights/workspaces) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para workspaces do Log Analytics (microsoft.operationalinsights/workspaces). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para workspaces do Log Analytics (microsoft.operationalinsights/workspaces) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para o workspaces do Log Analytics (microsoft.operationalinsights/workspaces). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para HSMs Gerenciados (microsoft.keyvault/managedhsms) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos HSMs Gerenciados (microsoft.keyvault/managedhsms). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para HSMs Gerenciados (microsoft.keyvault/managedhsms) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para HSMs Gerenciados (microsoft.keyvault/managedhsms). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para HSMs Gerenciados (microsoft.keyvault/managedhsms) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para HSMs Gerenciados (microsoft.keyvault/managedhsms). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Serviços de Mídia (microsoft.media/mediaservices) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos Serviços de Mídia (microsoft.media/mediaservices). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para Serviços de Mídia (microsoft.media/mediaservices) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Serviços de Mídia (microsoft.media/mediaservices). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Serviços de Mídia (microsoft.media/mediaservices) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Serviços de Mídia (microsoft.media/mediaservices). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para contas do Microsoft Purview (microsoft.purview/accounts) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nas contas do Microsoft Purview (microsoft.purview/accounts). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para contas do Microsoft Purview (microsoft.purview/accounts) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para contas do Microsoft Purview (microsoft.purview/accounts). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para contas do Microsoft Purview (microsoft.purview/accounts) para Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para contas do Microsoft Purview (microsoft.purview/accounts). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para microsoft.network/p2svpngateways no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/p2svpngateways. DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para microsoft.network/p2svpngateways no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para microsoft.network/p2svpngateways. DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para microsoft.network/p2svpngateways no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/p2svpngateways. DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias do servidor flexível do PostgreSQL (microsoft.dbforpostgresql/flexibleservers) para o Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics do servidor flexível do Banco de Dados do Azure para PostgreSQL (microsoft.dbforpostgresql/flexibleservers). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para endereços IP Públicos (microsoft.network/publicipaddresses) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos Endereços IP Públicos (microsoft.network/publicipaddresses). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para endereços IP Públicos (microsoft.network/publicipaddresses) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Endereços IP Públicos (microsoft.network/publicipaddresses). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para endereços IP Públicos (microsoft.network/publicipaddresses) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Endereços IP Públicos (microsoft.network/publicipaddresses). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Namespaces do Barramento de Serviço (microsoft.servicebus/namespaces) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos Namespaces do Barramento de Serviço (microsoft.eventhub/namespaces). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para Namespaces do Barramento de Serviço (microsoft.servicebus/namespaces) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Namespaces do Barramento de Serviço (microsoft.servicebus/namespaces). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Namespaces do Barramento de Serviço (microsoft.servicebus/namespaces) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Namespaces do Barramento de Serviço (microsoft.servicebus/namespaces). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para SignalR (microsoft.signalrservice/signalr) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos do SignalR (microsoft.signalrservice/signalr). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para SignalR (microsoft.signalrservice/signalr) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para o SignalR (microsoft.signalrservice/signalr). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para SignalR (microsoft.signalrservice/signalr) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para o SignalR (microsoft.signalrservice/signalr). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para bancos de dados SQL (microsoft.sql/servers/databases) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos bancos de dados SQL (microsoft.sql/servers/databases). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para bancos de dados SQL (microsoft.sql/servers/databases) para o Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para bancos de dados SQL (microsoft.sql/servers/databases). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para bancos de dados SQL (microsoft.sql/servers/databases) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para bancos de dados SQL (microsoft.sql/servers/databases). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias de instâncias gerenciadas do SQL (microsoft.sql/managedinstances) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos de instâncias gerenciadas do SQL (microsoft.keyvault/managedhsms). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias de instâncias gerenciadas do SQL (microsoft.sql/managedinstances) do Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para instâncias gerenciadas do SQL (microsoft.keyvault/managedhsms). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias de instâncias gerenciadas do SQL (microsoft.sql/managedinstances) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para instâncias gerenciadas do SQL (microsoft.keyvault/managedhsms). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Analisadores de Vídeo (microsoft.media/videoanalyzers) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos no Analisador de Vídeo (microsoft.media/videoanalyzers). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para Analisadores de Vídeo (microsoft.media/videoanalyzers) do Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para o Analisador de Vídeo (microsoft.media/videoanalyzers). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Analisadores de Vídeo (microsoft.media/videoanalyzers) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Analisadores de Vídeo (microsoft.media/videoanalyzers). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para gateways de Rede Virtual (microsoft.network/virtualnetworkgateways) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos gateways de Rede Virtual (microsoft.network/virtualnetworkgateways). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para gateways de Rede Virtual (microsoft.network/virtualnetworkgateways) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para gateways de Rede Virtual (microsoft.network/virtualnetworkgateways). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para gateways de Rede Virtual (microsoft.network/virtualnetworkgateways) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para gateways de Rede Virtual (microsoft.network/virtualnetworkgateways). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias para Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias para Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias no Serviço Web PubSub (microsoft.signalrservice/webpubsub) no Hub de Eventos Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos do Serviço Web PubSub (microsoft.signalrservice/webpubsub). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.1.0
Habilitar o registro em log por grupo de categorias no Serviço Web PubSub (microsoft.signalrservice/webpubsub) no Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para o Serviço Web PubSub (microsoft.signalrservice/webpubsub). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias no Serviço Web PubSub (microsoft.signalrservice/webpubsub) no Armazenamento Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para o Serviço Web PubSub (microsoft.signalrservice/webpubsub). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
Habilitar o registro em log por grupo de categorias do Workspace (microsoft.desktopvirtualization/workspaces) para o Log Analytics Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics do Workspace da Área de Trabalho Virtual do Azure (microsoft.desktopvirtualization/workspaces). DeployIfNotExists, AuditIfNotExists, Desabilitado 1.0.0
As máquinas virtuais habilitadas para Linux Arc devem ter o Agente do Azure Monitor instalado As máquinas virtuais habilitadas para Linux Arc devem ser monitoradas e protegidas por meio do Agente do Azure Monitor implantado. O Agente do Azure Monitor coleta dados de telemetria do sistema operacional convidado. Esta política fará a auditoria de máquinas virtuais habilitadas para Arc em regiões com suporte. Saiba mais: https://aka.ms/AMAOverview. AuditIfNotExists, desabilitado 1.1.0
Os conjunto de dimensionamento de máquinas virtuais Linux devem ter o Agente do Azure Monitor instalado Os conjuntos de dimensionamento de máquinas virtuais Linux devem ser monitorados e protegidos por meio do Agente do Azure Monitor implantado. O Agente do Azure Monitor coleta dados de telemetria do sistema operacional convidado. Essa política fará a auditoria dos conjuntos de dimensionamento de máquinas virtuais com imagens do sistema operacional com suporte em regiões com suporte. Saiba mais: https://aka.ms/AMAOverview. AuditIfNotExists, desabilitado 3.1.0
As máquinas virtuais Linux devem ter o Agente do Azure Monitor instalado As máquinas virtuais Linux devem ser monitoradas e protegidas por meio do agente do Azure Monitor implantado. O Agente do Azure Monitor coleta dados de telemetria do sistema operacional convidado. Essa política fará a auditoria das máquinas virtuais com imagens do sistema operacional com suporte em regiões com suporte. Saiba mais: https://aka.ms/AMAOverview. AuditIfNotExists, desabilitado 3.1.0
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens da máquina virtual listadas Relata os conjuntos de dimensionamento de máquinas virtuais como sem conformidade quando a imagem da máquina virtual não está na lista definida e a extensão não está instalada. AuditIfNotExists, desabilitado 2.0.1
Os espaços de trabalho do Log Analytics devem bloquear a ingestão de logs e a consulta de redes públicas Melhore a segurança do workspace bloqueando a ingestão de logs e a consulta de redes públicas. Somente redes conectadas de link privado poderão ingerir e consultar logs nesse workspace. Saiba mais em https://aka.ms/AzMonPrivateLink#configure-log-analytics. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
Os workspaces do Log Analytics devem bloquear a ingestão fora do Azure Active Directory. Impor a ingestão de log para exigir a autenticação do Azure Active Directory evita logs não autenticados de um invasor, o que pode levar a um status incorreto, alertas falsos e logs incorretos armazenados no sistema. Negar, Auditar, Desabilitado 1.0.0
Os logs de recursos dos endereços IP públicos devem ser habilitados para a Proteção contra DDoS do Azure Habilite logs de recursos para endereços IP em configurações de diagnóstico para transmitir para um workspace do Log Analytics. Obtenha visibilidade detalhada do tráfego de ataque e das ações tomadas para atenuar DDoS por meio de notificações, relatórios e logs de fluxo. AuditIfNotExists, DeployIfNotExists, desabilitado 1.0.1
Os logs de recursos devem ser habilitados para Auditoria em recursos compatíveis Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. A existência de uma configuração de diagnóstico para o grupo de categorias Audit nos tipos de recursos selecionados garante que esses logs sejam habilitados e capturados. Os tipos de recursos aplicáveis são aqueles que dão suporte ao grupo de categorias "Auditoria". AuditIfNotExists, desabilitado 1.0.0
As consultas salvas no Azure Monitor devem ser salvas na conta de armazenamento do cliente para criptografia de logs Vincule a conta de armazenamento ao workspace do Log Analytics para proteger as consultas salvas com criptografia de conta de armazenamento. Normalmente, as chaves gerenciadas pelo cliente são necessárias para atender à conformidade regulatória e obter mais controle sobre o acesso às consultas salvas no Azure Monitor. Para obter mais detalhes sobre os itens acima, confira https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
A conta de armazenamento que possui o contêiner com os logs de atividade deve ser criptografada com BYOK Essa política auditará se a conta de armazenamento que possui o contêiner com logs de atividades estiver criptografada com BYOK. A política funcionará apenas se a conta de armazenamento estiver na mesma assinatura dos logs de atividades por design. Mais informações sobre a criptografia de Armazenamento do Microsoft Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok. AuditIfNotExists, desabilitado 1.0.0
A extensão herdada do Log Analytics não deve ser instalada nos servidores Linux habilitados para Azure Arc Impedir automaticamente a instalação do Agente do Log Analytics herdado como a etapa final da migração dos agentes herdados para o Agente do Azure Monitor. Depois que você desinstalar as extensões herdadas existentes, essa política negará todas as instalações futuras da extensão de agente herdada nos servidores do Linux habilitados para Azure Arc. Saiba mais: https://aka.ms/migratetoAMA Negar, Auditar, Desabilitado 1.0.0
A extensão herdada do Log Analytics não deve ser instalada nos servidores Windows habilitados para Azure Arc Impedir automaticamente a instalação do Agente do Log Analytics herdado como a etapa final da migração dos agentes herdados para o Agente do Azure Monitor. Depois que você desinstalar as extensões herdadas existentes, essa política negará todas as instalações futuras da extensão do agente herdado nos servidores do Windows habilitados para Azure Arc. Saiba mais: https://aka.ms/migratetoAMA Negar, Auditar, Desabilitado 1.0.0
A extensão herdada do Log Analytics não deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Linux Impedir automaticamente a instalação do Agente do Log Analytics herdado como a etapa final da migração dos agentes herdados para o Agente do Azure Monitor. Após você desinstalar as extensões herdadas existentes, essa política negará todas as instalações futuras da extensão do agente herdado nos conjuntos de dimensionamento de máquinas virtuais Linux. Saiba mais: https://aka.ms/migratetoAMA Negar, Auditar, Desabilitado 1.0.0
A extensão herdada do Log Analytics não deverá ser instalada em máquinas virtuais Linux Impedir automaticamente a instalação do Agente do Log Analytics herdado como a etapa final da migração dos agentes herdados para o Agente do Azure Monitor. Após você desinstalar as extensões herdadas existentes, essa política negará todas as instalações futuras da extensão do agente herdado em máquinas virtuais Linux. Saiba mais: https://aka.ms/migratetoAMA Negar, Auditar, Desabilitado 1.0.0
A extensão do Log Analytics herdada não deverá ser instalada nos conjuntos de dimensionamento de máquinas virtuais Impedir automaticamente a instalação do Agente do Log Analytics herdado como a etapa final da migração dos agentes herdados para o Agente do Azure Monitor. Após você desinstalar as extensões herdadas existentes, essa política negará todas as instalações futuras da extensão do agente herdado nos conjuntos de dimensionamento de máquinas virtuais do Windows. Saiba mais: https://aka.ms/migratetoAMA Negar, Auditar, Desabilitado 1.0.0
A extensão do Log Analytics herdada não deverá ser instalada em máquinas virtuais Impedir automaticamente a instalação do Agente do Log Analytics herdado como a etapa final da migração dos agentes herdados para o Agente do Azure Monitor. Depois que você desinstalar as extensões herdadas existentes, essa política negará todas as instalações futuras da extensão de agente herdada nas máquinas virtuais do Windows. Saiba mais: https://aka.ms/migratetoAMA Negar, Auditar, Desabilitado 1.0.0
A extensão do Log Analytics deve ser instalada em Conjuntos de Dimensionamento de Máquinas Virtuais Esta política audita os Conjuntos de Dimensionamento de Máquinas Virtuais do Windows ou do Linux nos quais a extensão do Log Analytics não está instalada. AuditIfNotExists, desabilitado 1.0.1
As máquinas virtuais devem estar conectadas a um workspace especificado Informa as máquinas virtuais como sem conformidade quando elas não estão sendo registradas no log do workspace do Log Analytics especificado na atribuição de política ou de iniciativa. AuditIfNotExists, desabilitado 1.1.0
As máquinas virtuais devem ter a extensão do Log Analytics instalada Esta política audita as máquinas virtuais do Windows ou do Linux nas quais a extensão do Log Analytics não está instalada. AuditIfNotExists, desabilitado 1.0.1
As máquinas virtuais habilitadas para Windows Arc devem ter o Agente do Azure Monitor instalado As máquinas virtuais habilitadas para Windows Arc devem ser monitoradas e protegidas por meio do Agente do Azure Monitor implantado. O Agente do Azure Monitor coleta dados de telemetria do sistema operacional convidado. As máquinas virtuais habilitadas para Windows Arc em regiões com suporte são monitoradas para a implantação do Agente do Azure Monitor. Saiba mais: https://aka.ms/AMAOverview. AuditIfNotExists, desabilitado 1.1.0
Os conjuntos de dimensionamento de máquinas virtuais Windows devem ter o Agente do Azure Monitor instalado Os conjuntos de dimensionamento de máquinas virtuais Windows devem ser monitorados e protegidos por meio do Agente do Azure Monitor implantado. O Agente do Azure Monitor coleta dados de telemetria do sistema operacional convidado. Os conjuntos de dimensionamento de máquinas virtuais com sistema operacional com suporte e em regiões com suporte são monitorados para a implantação do Agente do Azure Monitor. Saiba mais: https://aka.ms/AMAOverview. AuditIfNotExists, desabilitado 3.1.0
As máquinas virtuais Windows devem ter o Agente do Azure Monitor instalado As máquinas virtuais Windows devem ser monitoradas e protegidas por meio do Agente do Azure Monitor implantado. O Agente do Azure Monitor coleta dados de telemetria do sistema operacional convidado. As máquinas virtuais Windows com o sistema operacional com suporte e em regiões com suporte são monitoradas para a implantação do Agente do Azure Monitor. Saiba mais: https://aka.ms/AMAOverview. AuditIfNotExists, desabilitado 3.1.0
Pastas de trabalho devem ser salvas em contas de armazenamento controladas por você Com o BYOS (traga seu próprio armazenamento), suas pastas de trabalho são carregadas em uma conta de armazenamento controlada por você. Isso significa que você controla a política de criptografia em repouso, a política de gerenciamento de tempo de vida e o acesso à rede. No entanto, você será responsável pelos custos associados a essa conta de armazenamento. Para obter mais informações, visite https://aka.ms/workbooksByos negar, Negar, auditar, Auditar, desabilitado, Desabilitado 1.1.0

Rede

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de última geração. Proteja suas sub-redes de ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de última geração compatível AuditIfNotExists, desabilitado 3.0.0 – versão prévia
[Versão prévia]: o Registro de Contêiner deve usar um ponto de extremidade de serviço de rede virtual Esta política audita os Registros de Contêiner que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. Audit, desabilitado 1.0.0 – versão prévia
Uma política de IPsec ou IKE personalizada precisa ser aplicada a todas as conexões do gateway de rede virtual do Azure Essa política garante que todas as conexões de gateway de rede virtual do Azure usem uma política personalizada do protocolo Ipsec ou IKE. Algoritmos e forças de chave com suporte – https://aka.ms/AA62kb0 Audit, desabilitado 1.0.0
Todos os recursos de log de fluxo devem estar no estado habilitado Uma auditoria para recursos do log de fluxo a fim de verificar se o status dele está habilitado. Habilite logs de fluxo permite registrar informações sobre o tráfego IP que flui. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. Audit, desabilitado 1.0.1
Os aplicativos do Serviço de Aplicativo devem usar um ponto de extremidade de serviço de rede virtual Use pontos de extremidade de serviço de rede virtual para restringir o acesso ao seu aplicativo de sub-redes selecionadas de uma rede virtual do Azure. Para saber mais sobre pontos de extremidade de serviço do Serviço de Aplicativo, acesse https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, desabilitado 2.0.1
Configuração de logs de fluxo de auditoria para cada rede virtual Uma auditoria de rede virtual para verificar se os logs de fluxo foram configurados. Habilite logs de fluxo permite registrar informações sobre o tráfego IP que flui por meio da rede virtual. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. Audit, desabilitado 1.0.1
O Gateway de Aplicativo do Azure deve ser implantado com o WAF do Azure Requer que os recursos do Gateway de Aplicativo do Azure sejam implantados com o WAF do Azure. Audit, Deny, desabilitado 1.0.0
A política de firewall do Azure deve habilitar a inspeção de TLS dentro das regras do aplicativo A habilitação da inspeção do TLS é recomendada para que todas as regras de aplicativo detectem, alertem e mitiguem atividades mal-intencionadas em HTTPS. Para saber mais sobre a inspeção do TLS com o Firewall do Azure, visite https://aka.ms/fw-tlsinspect Audit, Deny, desabilitado 1.0.0
O Firewall do Azure Premium deve configurar um certificado intermediário válido para habilitar a inspeção TLS Configure um certificado intermediário válido e habilite a inspeção do TLS Premium do Firewall do Azure para detectar, alertar e mitigar as atividades mal-intencionadas em HTTPS. Para saber mais sobre a inspeção do TLS com o Firewall do Azure, visite https://aka.ms/fw-tlsinspect Audit, Deny, desabilitado 1.0.0
Os gateways de VPN do Azure não devem usar o SKU 'básico' Essa política garante que os gateways de VPN não usem o SKU "básico". Audit, desabilitado 1.0.0
O Firewall de Aplicativo Web do Azure em Gateway de Aplicativo do Azure deve ter a inspeção do corpo da solicitação habilitada Verifique se os Firewalls de Aplicativo Web associados a Gateways de Aplicativo do Azure têm a Inspeção do corpo da solicitação habilitada. Isso permite que o WAF inspecione as propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos, cookies ou URI HTTP. Audit, Deny, desabilitado 1.0.0
O Firewall de Aplicativo Web do Azure no Azure Front Door deve ter a inspeção do corpo da solicitação habilitada Verifique se os Firewalls de Aplicativo Web associados ao Azure Front Doors têm a inspeção do corpo da solicitação habilitada. Isso permite que o WAF inspecione as propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos, cookies ou URI HTTP. Audit, Deny, desabilitado 1.0.0
O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Audit, Deny, desabilitado 1.0.2
A Proteção contra Bots deve ser habilitada para o WAF do Gateway de Aplicativo do Azure Essa política garante que a proteção contra bots esteja habilitada em todas as políticas do WAF (firewall do Aplicativo Web) do Gateway de Aplicativo do Azure Audit, Deny, desabilitado 1.0.0
A Proteção contra Bots deve ser habilitada para o WAF do Azure Front Door Essa política garante que a proteção contra bots esteja habilitada em todas as políticas do WAF (firewall do Aplicativo Web) do Azure Front Door Audit, Deny, desabilitado 1.0.0
A lista de bypass do IDPS (Sistema de Detecção e Prevenção contra Intrusões) deve estar vazia na política de firewall Premium A lista de bypass do IDPS (Sistema de Detecção e Prevenção contra Intrusões) permite que você não filtre o tráfego para nenhum dos endereços IP, intervalos e sub-redes especificados na lista de bypass. No entanto, a habilitação do IDPS é recomendado para todos os fluxos de tráfego a fim de identificar melhor as ameaças conhecidas. Para saber mais sobre as assinaturas do IDPS (Sistema de Detecção e Prevenção contra Intrusões) com o Firewall do Azure Premium, acesse https://aka.ms/fw-idps-signature Audit, Deny, desabilitado 1.0.0
Defina as configurações de diagnóstico para Grupos de Segurança de Rede do Azure para o workspace do Log Analytics Implante configurações de diagnóstico para Grupos de Segurança de Rede do Azure para transmitir logs de recursos para um workspace do Log Analytics. DeployIfNotExists, desabilitado 1.0.0
Configurar grupos de segurança de rede para habilitar a análise de tráfego A análise de tráfego pode ser habilitada para todos os grupos de segurança de rede hospedados em uma região específica com as configurações fornecidas durante a criação da política. Se a política já tiver a análise de tráfego habilitada, ela não substituirá as configurações da análise. Os logs de fluxo também são habilitados para os grupos de segurança de rede que ainda não os têm. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. DeployIfNotExists, desabilitado 1.2.0
Configurar grupos de segurança de rede para usar o workspace específico, a conta de armazenamento e a política de retenção do log de fluxo para a análise de tráfego Se a política já tiver a análise de tráfego habilitada, a ela substituirá as configurações existentes da análise por aquelas fornecidas durante a criação da política. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. DeployIfNotExists, desabilitado 1.2.0
Configurar a rede virtual para habilitar o Log de Fluxo e a Análise de Tráfego A Análise de Tráfego e os Logs de fluxo podem ser habilitados para todas as redes virtuais hospedadas em uma região específica com as configurações fornecidas durante a criação da política. Essa política não substitui a configuração atual para redes virtuais que já têm esses recursos habilitados. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. DeployIfNotExists, desabilitado 1.1.1
Configurar redes virtuais para usar um workspace específico, conta de armazenamento e intervalo de retenção para logs de fluxo e Análise de Tráfego Se uma rede virtual já tiver a análise de tráfego habilitada, essa política substituirá suas configurações existentes pelas fornecidas durante a criação da política. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. DeployIfNotExists, desabilitado 1.1.1
O Cosmos DB deve usar um ponto de extremidade de serviço de rede virtual Microsoft Azure Cosmos DB Essa política audita os Cosmos DB que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. Audit, desabilitado 1.0.0
Implantar um recurso de log de fluxo com o grupo de segurança de rede de destino Configura o log de fluxo para um grupo de segurança de rede específico. Isso permitirá registrar informações sobre o tráfego IP que flui por meio de um grupo de segurança de rede. O log de fluxo ajuda a identificar um tráfego desconhecido ou indesejado, verificar o isolamento de rede e a conformidade com as regras de acesso corporativo e analisar fluxos de rede de IPs e interfaces de rede comprometidos. deployIfNotExists 1.1.0
Implantar um recurso de Log de Fluxo com as redes virtuais de destino Configura o log de fluxo para uma rede virtual específica. Isso permitirá registrar informações sobre o tráfego IP que flui por meio de uma rede virtual. O log de fluxo ajuda a identificar um tráfego desconhecido ou indesejado, verificar o isolamento de rede e a conformidade com as regras de acesso corporativo e analisar fluxos de rede de IPs e interfaces de rede comprometidos. DeployIfNotExists, desabilitado 1.1.1
Implantar o observador de rede quando redes virtuais são criadas Essa política cria um recurso de observador de rede em regiões com redes virtuais. Você precisa garantir a existência de um grupo de recursos chamado networkWatcherRG, que será usado para implantar instâncias do observador de rede. DeployIfNotExists 1.0.0
Habilite a regra limite de taxa para proteger contra ataques de DDoS no WAF do Azure Front Door A regra de limite de taxa do WAF (Firewall de Aplicativo Web do Azure) para o Azure Front Door controla o número de solicitações permitidas de um endereço IP de cliente específico para o aplicativo durante um limite de taxa. Audit, Deny, desabilitado 1.0.0
O Hub de Eventos deve usar um ponto de extremidade de serviço de rede virtual Essa política audita os Hubs de Eventos que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. AuditIfNotExists, desabilitado 1.0.0
A política de firewall Premium deve permitir que todas as regras de assinatura do IDPS monitorem todos os fluxos de tráfego de entrada e de saída A habilitação de todas as regras de assinatura do IDPS (Sistema de Detecção e Prevenção contra Intrusões) é recomendada para identificar melhor as ameaças conhecidas nos fluxos de tráfego. Para saber mais sobre as assinaturas do IDPS (Sistema de Detecção e Prevenção contra Intrusões) com o Firewall do Azure Premium, acesse https://aka.ms/fw-idps-signature Audit, Deny, desabilitado 1.0.0
A política de firewall Premium deve habilitar o IDPS (Sistema de Detecção e Prevenção contra Intrusões) A habilitação do IDPS (Sistema de Detecção e Prevenção contra Intrusões) permite que você monitore a rede em busca de atividades mal-intencionadas, registre informações sobre elas, relate-as e, opcionalmente, tente bloqueá-las. Para saber mais sobre o IDPS (Sistema de Detecção e Prevenção contra Intrusões) com o Firewall do Azure Premium, acesse https://aka.ms/fw-idps Audit, Deny, desabilitado 1.0.0
Os logs de fluxo deverão ser configurados para cada grupo de segurança de rede Uma auditoria de grupos de segurança de rede para verificar se os logs de fluxo foram configurados. Habilitar logs de fluxo permite registrar informações sobre o tráfego IP que flui por meio do grupo de segurança de rede. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. Audit, desabilitado 1.1.0
As sub-redes de gateway não devem ser configuradas com um grupo de segurança de rede Essa política negará se uma sub-rede de gateway estiver configurada com um grupo de segurança de rede. Atribuir um grupo de segurança de rede a uma sub-rede de gateway fará com que o gateway pare de funcionar. deny 1.0.0
O Key Vault deve usar um ponto de extremidade de serviço de rede virtual Essa política audita os Key Vaults que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. Audit, desabilitado 1.0.0
Migrar o WAF da Configuração do WAF para a Política do WAF no Gateway de Aplicativo Se você tem uma Configuração WAF, em vez de uma Política do WAF, convém mover para a nova política do WAF. No futuro, a política de firewall dará suporte a configurações de política do WAF, conjuntos de regras gerenciados, exclusões e grupos de regras desabilitados. Audit, Deny, desabilitado 1.0.0
Os adaptadores de rede devem desabilitar o encaminhamento IP Essa política nega as interfaces de rede que habilitaram o encaminhamento de IP. A configuração de encaminhamento de IP desabilita a verificação do Azure sobre a origem e o destino de uma interface de rede. Isso deve ser revisado pela equipe de segurança de rede. deny 1.0.0
As interfaces de rede não devem ter IPs públicos Essa política nega as interfaces de rede que são configuradas com qualquer IP público. Os endereços IP públicos permitem que os recursos da Internet se comuniquem internamente com os recursos do Azure e que os recursos do Azure se comuniquem externamente com a Internet. Isso deve ser revisado pela equipe de segurança de rede. deny 1.0.0
Os logs de fluxo do Observador de Rede devem ter a análise de tráfego habilitada A análise de tráfego analisa os logs de fluxo para fornecer insights sobre o fluxo de tráfego em sua nuvem do Azure. Ela pode ser usada para visualizar a atividade de rede em suas assinaturas do Azure e identificar pontos de acesso, identificar ameaças à segurança, entender os padrões de fluxo de tráfego, identificar configurações de rede incorretas e muito mais. Audit, desabilitado 1.0.1
O Observador de Rede deve ser habilitado O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. AuditIfNotExists, desabilitado 3.0.0
O SQL Server deve usar um ponto de extremidade de serviço de rede virtual Essa política audita os SQL Servers que não estão configurados para usar um ponto de extremidade de serviço de rede virtual. AuditIfNotExists, desabilitado 1.0.0
As Contas de Armazenamento devem usar um ponto de extremidade de serviço de rede virtual Essa política audita as Contas de Armazenamento que não estão configuradas para usar um ponto de extremidade de serviço de rede virtual. Audit, desabilitado 1.0.0
A assinatura deve configurar o Firewall do Azure Premium para fornecer uma camada adicional de proteção O Firewall do Azure Premium fornece proteção avançada contra ameaças que atende às necessidades de ambientes altamente confidenciais e regulamentados. Implante o Firewall do Azure Premium na sua assinatura e garanta que todo o tráfego de serviço fique protegido pelo Firewall do Azure Premium. Para saber mais sobre o Firewall do Azure Premium, acesse https://aka.ms/fw-premium AuditIfNotExists, desabilitado 1.0.0
As máquinas virtuais devem estar conectadas a uma rede virtual aprovada Essa política audita as máquinas virtuais que estão conectadas a uma rede virtual que não foi aprovada. Audit, Deny, desabilitado 1.0.0
As redes virtuais devem ser protegidas pela Proteção contra DDoS do Azure Proteja suas redes virtuais contra ataques volumétricos e de protocolo com a Proteção contra DDoS do Azure. Para obter mais informações, visite https://aka.ms/ddosprotectiondocs. Modify, Audit, desabilitado 1.0.1
As redes virtuais devem usar o gateway de rede virtual especificado Essa política audita as redes virtuais em que a rota padrão não aponta para o gateway de rede virtual especificado. AuditIfNotExists, desabilitado 1.0.0
Os gateways de VPN devem usar somente a autenticação do Azure AD (Active Directory) para usuários de ponto a site Desabilitar os métodos de autenticação local melhora a segurança, garantindo que os gateways de VPN usem apenas identidades do Azure Active Directory para a autenticação. Para saber mais sobre a autenticação do Azure AD, confira https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant Audit, Deny, desabilitado 1.0.0
O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. Audit, Deny, desabilitado 2.0.0
O WAF (Firewall de Aplicativo Web) deve habilitar todas as regras de firewall para o Gateway de Aplicativo Habilitar todas as regras do WAF (Firewall de Aplicativo Web) fortalece a segurança do aplicativo e protege seus aplicativos Web contra vulnerabilidades comuns. Para saber mais sobre o WAF (Firewall de Aplicativo Web) no Gateway de Aplicativo, acesse https://aka.ms/waf-ag Audit, Deny, desabilitado 1.0.1
O WAF (Firewall do Aplicativo Web) deve usar o modo especificado para Gateway de Aplicativo Exige que o uso do modo 'Detecção' ou 'Prevenção' esteja ativo em todas as políticas de Firewall do Aplicativo Web para Gateway de Aplicativo. Audit, Deny, desabilitado 1.0.0
O WAF (Firewall do Aplicativo Web) deve usar o modo especificado para o Azure Front Door Service Exige que o uso do modo 'Detecção' ou 'Prevenção' esteja ativo em todas as políticas de Firewall do Aplicativo Web para o Azure Front Door Service. Audit, Deny, desabilitado 1.0.0

Portal

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os painéis compartilhados não devem ter blocos de Markdown com um conteúdo embutido Não permita a criação de um painel compartilhado que tenha um conteúdo embutido em blocos de Markdown e imponha o armazenamento do conteúdo como um arquivo de Markdown hospedado online. Se você usar um conteúdo embutido no bloco de Markdown, não poderá gerenciar a criptografia do conteúdo. Ao configurar seu armazenamento, você poderá usar criptografia, criptografia dupla e, até mesmo, trazer suas chaves. A habilitação dessa política restringe os usuários de usar a versão 2020-09-01-preview ou superior da API REST dos painéis compartilhados. Audit, Deny, desabilitado 1.0.0

Resiliência

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: o Serviço de Gerenciamento de API deve ter Redundância de Zona O Serviço de Gerenciamento de API pode ser configurado para ter Redundância de Zona ou não. Um Serviço de Gerenciamento de API terá Redundância de Zona se seu nome de SKU for "Premium" e tiver pelo menos duas entradas em sua matriz de zonas. Esta política identifica os Serviços de Gerenciamento de API sem a redundância necessária para suportar uma interrupção de zona. Audit, Deny, desabilitado 1.0.1 – versão prévia
[Versão prévia]: Os planos do Serviço de Aplicativo devem ter redundância de zona Os Planos do Serviço de Aplicativo podem ser configurados para serem com redundância de zona ou não. Quando a propriedade 'zoneRedundant' é definida como 'false' para um Plano do Serviço de Aplicativo, isso significa que ela não está configurada para redundância de zona. Essa política identifica e impõe a configuração de Redundância de Zona para Planos do Serviço de Aplicativo. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: Os Gateways de Aplicativo devem ser Resilientes à Zona Os Gateways de Aplicativo podem ser configurados para serem Alinhados por Zona, Com Redundância de Zona ou nenhuma das opções. Os Gateways de Aplicativo que têm exatamente uma entrada na matriz de zonas são considerados Alinhados à Zona. Por outro lado, os Gateways de Aplicativo com 3 ou mais entradas na matriz de zonas são reconhecidas como Com Redundância de Zona. Essa política ajuda a identificar e impor essas configurações de resiliência. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: O Serviço de Pesquisa de IA do Azure deve ser Com Redundância de Zona O Serviço de Pesquisa de IA do Azure pode ser configurado para ser Com Redundância de Zona ou não. As zonas de disponibilidade são usadas quando você adiciona duas ou mais réplicas ao serviço de pesquisa. Cada réplica é colocada em uma zona de disponibilidade diferente dentro da região. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: o Cache do Azure para Redis Enterprise e Flash deve ter Redundância de Zona O Cache do Azure para Redis Enterprise e Flash pode ser configurado para ter Redundância de Zona ou não. As instâncias do Cache do Azure para Redis Enterprise e Flash com menos de três entradas na matriz de zonas não têm Redundância de Zona. Essa política identifica as instâncias do Cache do Azure para Redis Enterprise e Flash sem a redundância necessária para suportar uma interrupção de zona. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: o Cache do Azure para Redis deve ter Redundância de Zona O Cache do Azure para Redis pode ser configurado para ter Redundância de Zona ou não. As instâncias do Cache do Azure para Redis com menos de duas entradas na matriz de zonas não têm Redundância de Zona. Essa política identifica as instâncias do Cache do Azure para Redis sem a redundância necessária para suportar uma interrupção de zona. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os clusters do Azure Data Explorer devem ter redundância de zona Os clusters do Azure Data Explorer podem ser configurados para terem redundância de zona ou não. Um Cluster do Azure Data Explorer é considerado com redundância de zona se tiver pelo menos duas entradas em sua matriz de zonas. Essa política ajuda a garantir que os clusters do Azure Data Explorer tenham redundância de zona. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: O Servidor Flexível do Banco de Dados do Azure para MySQL deve ser Resiliente à Zona O Servidor Flexível do Banco de Dados do Azure para MySQL pode ser configurado para ser Alinhado à Zona, Com Redundância de Zona ou nenhuma das opções. O Servidor MySQL que tem um servidor em espera selecionado na mesma zona para alta disponibilidade é considerado Alinhado à Zona. Por outro lado, o Servidor MySQL que tem um servidor em espera selecionado para estar em uma zona diferente para alta disponibilidade é reconhecido como Com Redundância de Zona. Essa política ajuda a identificar e impor essas configurações de resiliência. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: O Servidor Flexível do Banco de Dados do Azure para PostgreSQL deve ser Resiliente à Zona O Servidor Flexível do Banco de Dados do Azure para PostgreSQL pode ser configurado para ser Alinhado à Zona, Com Redundância de Zona ou nenhuma das opções. O Servidor PostgreSQL que tem um servidor em espera selecionado na mesma zona para alta disponibilidade é considerado Alinhado à Zona. Por outro lado, o Servidor PostgreSQL que tem um servidor em espera selecionado para estar em uma zona diferente para alta disponibilidade é reconhecido como Com Redundância de Zona. Essa política ajuda a identificar e impor essas configurações de resiliência. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: O Azure HDInsight deve ser Alinhado à Zona O Azure HDInsight pode ser configurado para ser Alinhado à Zona ou não. O Azure HDInsight que tem exatamente uma entrada em sua matriz de zonas é considerado Alinhado à Zona. Esta política garante que um cluster do Azure HDInsight esteja configurado para operar em uma única zona de disponibilidade. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: Clusters Gerenciados do Serviço de Kubernetes do Azure devem ter redundância de zona Os Clusters Gerenciados do Serviço de Kubernetes do Azure podem ser configurados para serem com redundância de zona ou não. A política verifica os pools de nós no cluster e garante que as zonas de disponibilidade estejam definidas para todos os pools de nós. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: o Espaço Gerenciado do Azure para Grafana deve ser com redundância de zona O Espaço Gerenciado do Azure para Grafana pode ser configurado para ser com redundância de zona ou não. Uma instância do Espaço Gerenciado do Azure para Grafana é com redundância de zona. Sua propriedade 'zoneRedundancy' está definida como 'Enabled'. A imposição dessa política ajuda a garantir que o Espaço Gerenciado do Azure para Grafana esteja configurado adequadamente para resiliência de zona, reduzindo o risco de tempo de inatividade durante interrupções de zona. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: O Backup e o Site Recovery devem ser Com Redundância de Zona O Backup e o Site Recovery podem ser configurados para serem Com Redundância de Zona ou não. O Backup e o Site Recovery serão Com Redundância de Zona se a propriedade ''standardTierStorageRedundancy'' estiver definida como ''ZoneRedundant''. A imposição dessa política ajuda a garantir que o Backup e o Site Recovery sejam configurados adequadamente para resiliência de zona, reduzindo o risco de tempo de inatividade durante as interrupções de zona. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: Os Cofres de Backup devem ser Com Redundância de Zona Os Cofres de Backup podem ser configurados para serem Com Redundância de Zona ou não. Os Cofres de Backup serão Com Redundância de Zona se o tipo de configurações de armazenamento for definido como ''ZoneRedundant'' e forem considerados resilientes. Os Cofres de Backup com Redundância Geográfica ou Com Redundância Local não são considerados resilientes. A imposição dessa política ajuda a garantir que os Cofres de Backup estejam configurados adequadamente para resiliência de zona, reduzindo o risco de tempo de inatividade durante as interrupções de zona. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: O Aplicativo de Contêiner deve ser Com Redundância de Zona O Aplicativo de Contêiner pode ser configurado para ser Com Redundância de Zona ou não. Um Aplicativo de Contêiner será Com Redundância de Zona se a propriedade ''ZoneRedundant' do ambiente gerenciado estiver definida como true. Essa política identifica o Aplicativo de Contêiner sem a redundância necessária para suportar uma interrupção de zona. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: As Instâncias de Contêiner devem ser Alinhadas à Zona As Instâncias de Contêiner podem ser configuradas para serem Alinhadas à Zona ou não. Elas serão consideradas Alinhadas à Zona se tiverem apenas uma entrada na matriz de zonas. Essa política garante que elas estejam configuradas para operar em uma única zona de disponibilidade. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: o Registro de Contêiner deve ser com redundância de zona O Registro de Contêiner pode ser configurado para ser Com Redundância de Zona ou não. Quando a propriedade zoneRedundancy para um Registro de Contêiner é definida como 'Desabilitada', significa que o registro não é Com Redundância de Zona. A imposição dessa política ajuda a garantir que o Registro de Contêiner esteja configurado adequadamente para resiliência de zona, reduzindo o risco de tempo de inatividade durante interrupções de zona. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: as Contas de Banco de Dados do Cosmos devem ser com redundância de zona As Contas de Banco de Dados do Cosmos podem ser configuradas para serem com redundância de zona ou não. Caso 'enableMultipleWriteLocations' seja definido como 'true', todos os locais deverão ter uma propriedade 'isZoneRedundant' e devem ser definidos como 'true'. Caso 'enableMultipleWriteLocations' seja definido como 'false', o local primário ('failoverPriority' definido como 0) deverá ter uma propriedade 'isZoneRedundant' e ele deverá ser definido como 'true'. A imposição dessa política garante que as Contas de Banco de Dados do Cosmos estejam configuradas adequadamente para redundância de zona. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os Hubs de Eventos devem ter redundância de zona Os Hubs de Eventos podem ser configurados para ser com redundância de zona ou não. Os Hubs de Eventos serão com redundância de zona se a propriedade 'zoneRedundant' estiver definida como 'true'. A imposição dessa política ajuda a garantir que os Hubs de Eventos estejam configurados adequadamente para resiliência de zona, reduzindo o risco de tempo de inatividade durante interrupções de zona. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: Os Firewalls devem ser Resilientes à Zona Os firewalls podem ser configurados para serem Alinhados à Zona, Com Redundância de Zona ou nenhuma das opções. Os Firewalls que têm exatamente uma entrada em sua matriz de zonas são considerados Alinhados à Zona. Por outro lado, firewalls com 3 ou mais entradas em sua matriz de zonas são reconhecidos como Com Redundância de Zona. Essa política ajuda a identificar e impor essas configurações de resiliência. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: Os Balanceadores de Carga devem ser Resilientes à Zona Balanceadores de carga com um SKU diferente de Basic herdam a resiliência dos endereços IP públicos em seu front-end. Quando combinada com a política "Endereços IP públicos devem ser resilientes à zona", essa abordagem garante a redundância necessária para suportar uma interrupção de zona. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os discos gerenciados devem ser com resiliência de zona Os discos gerenciados podem ser configurados para ser alinhados à zona, ter redundância de zona ou nenhum dos dois. Os discos gerenciados com exatamente uma atribuição de zona são alinhados à zona. Os discos gerenciados com um nome de sku que termina em ZRS são com redundância de zona. Essa política ajuda a identificar e impor essas configurações de resiliência para Discos Gerenciados. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: O gateway da NAT deve ser Alinhado à Zona O gateway da NAT pode ser configurado para ser Alinhado à Zona ou não. O gateway da NAT que tem exatamente uma entrada em sua matriz de zonas é considerado Alinhado à Zona. Essa política garante que um gateway da NAT esteja configurado para operar em uma única zona de disponibilidade. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os endereços IP públicos devem ser com resiliência de zona Os endereços IP públicos podem ser configurados para serem alinhados à zona, com redundância de zona ou nenhum dos dois. Os endereços IP públicos que são regionais, com exatamente uma entrada na matriz de zonas, são considerados Alinhados à Zona. Por outro lado, os endereços IP públicos que são regionais, com três ou mais entradas na matriz de zonas, são reconhecidos como Com Redundância de Zona. Essa política ajuda a identificar e impor essas configurações de resiliência. Audit, Deny, desabilitado 1.1.0 – versão prévia
[Versão prévia]: Os prefixos IP públicos devem ser com resiliência de zona Prefixos de IP públicos podem ser configurados para serem alinhados a Zona, com redundância de zona ou nenhum dos dois. Prefixos de IP públicos que têm exatamente uma entrada na matriz de zonas são considerados alinhados à zona. Por outro lado, prefixos IP públicos com 3 ou mais entradas em sua matriz de zonas são reconhecidos como com redundância de zona. Essa política ajuda a identificar e impor essas configurações de resiliência. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: o Barramento de Serviço deve ser com redundância de zona O Barramento de Serviço pode ser configurado para ser Com Redundância de Zona ou não. Quando a propriedade 'zoneRedundant' é definida como 'false' para um Barramento de Serviço, isso significa que ela não está configurada para redundância de zona. Essa política identifica e impõe a configuração de Redundância de Zona para instâncias do Barramento de Serviço. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: Os clusters do Service Fabric devem ter redundância de zona Os Clusters do Service Fabric podem ser configurados para serem com redundância de zona ou não. Clusters Servicefabric cujo nodeType não tem multipleAvailabilityZones definidos como true não são com redundância de zona. Esta política identifica os Clusters Servicefabric sem a redundância necessária para suportar uma interrupção de zona. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: bancos de dados SQL devem ter redundância de zona O Banco de Dados SQL pode ser configurado para ser com redundância de zona ou não. Bancos de dados com a configuração 'zoneRedundant' definida como 'false' não são configurados para redundância de zona. Essa política ajuda a identificar bancos de dados SQL que precisam de configuração de redundância de zona para aprimorar a disponibilidade e a resiliência no Azure. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os pools de bancos de dados elásticos do SQL devem ter redundância de zona Os pools de banco de dados elástico do SQL podem ser configurados para serem com redundância de zona ou não. Os pools de banco de dados elástico do SQL são com redundância de zona se a propriedade 'zoneRedundant' estiver definida como 'true'. A imposição dessa política ajuda a garantir que os Hubs de Eventos estejam configurados adequadamente para resiliência de zona, reduzindo o risco de tempo de inatividade durante interrupções de zona. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: instâncias gerenciadas de SQL devem ter redundância de zona As Instâncias Gerenciadas de SQL podem ser configuradas para serem com redundância de zona ou não. As instâncias com a configuração 'zoneRedundant' definida como 'false' não são configuradas para redundância de zona. Essa política ajuda a identificar as instâncias gerenciadas do SQL que precisam de configuração de redundância de zona para aprimorar a disponibilidade e a resiliência no Azure. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: as contas de armazenamento devem ser com redundância de zona As contas de armazenamento podem ser configuradas para serem com redundância de zona ou não. Se o nome do SKU de uma conta de armazenamento não terminar com 'ZRS' ou seu tipo for 'Armazenamento', ela não será uma conta de armazenamento com redundância de zona. Essa política garante que suas contas de armazenamento usem a configuração com redundância de zona. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os Conjuntos de Dimensionamento de Máquinas Virtuais devem ter Resiliência de zona Os Conjuntos de Dimensionamento de Máquinas Virtuais podem ser configurados para ser Alinhados à Zona, ter Redundância de Zona ou nenhum dos dois. Os Conjuntos de Dimensionamento de Máquinas Virtuais que têm exatamente uma entrada na matriz de zonas são considerados Alinhados à Zona. Por outro lado, Conjuntos de Dimensionamento de Máquinas Virtuais com 3 ou mais entradas em sua matriz de zonas e uma capacidade de pelo menos 3 são reconhecidos como tendo Redundância de zona. Essa política ajuda a identificar e impor essas configurações de resiliência. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: as máquinas virtuais devem ser Alinhadas à zona As máquinas virtuais podem ser configuradas para serem Alinhadas à zona ou não. Elas serão consideradas Alinhadas à Zona se tiverem apenas uma entrada na matriz de zonas. Essa política garante que elas estejam configuradas para operar em uma única zona de disponibilidade. Audit, Deny, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os gateways de rede virtual devem ter redundância de zona Os gateways de rede virtual podem ser configurados para serem com redundância de zona ou não. Os gateways de rede virtual cujo nome ou camada de SKU não termina com 'AZ' não são com redundância de zona. Essa política identifica gateways de rede virtual sem a redundância necessária para suportar uma interrupção de zona. Audit, Deny, desabilitado 1.0.0 – versão prévia
Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O serviço Azure Cognitive Search deve usar um SKU que dê suporte a link privado Com os SKUs compatíveis do Azure Cognitive Search, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o serviço Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, desabilitado 1.0.0
Os serviços do Azure Cognitive Search devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o serviço Azure Cognitive Search não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do serviço Azure Cognitive Search. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, desabilitado 1.0.0
É preciso desabilitar os métodos de autenticação locais para os serviços do Azure Cognitive Search Desabilitar os métodos de autenticação local aumenta a segurança, garantindo que os serviços do Azure Cognitive Search exijam identidades do Azure Active Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/azure-cognitive-search/rbac. Observe que, embora o parâmetro para desabilitar a autenticação local ainda esteja em versão prévia, o efeito de negar essa política pode resultar em funcionalidade limitada do portal do Azure Cognitive Search, pois alguns recursos do Portal usam a API em disponibilidade geral que não dá suporte ao parâmetro. Audit, Deny, desabilitado 1.0.0
Os serviços do Azure Cognitive Search devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Habilitar a criptografia de dados inativos usando uma chave gerenciada pelo cliente nos serviços do Azure Cognitive Search fornece controle extra sobre a chave usada para criptografar dados inativos. Esse recurso geralmente é aplicável aos clientes que têm requisitos de conformidade especiais para o gerenciamento das chaves de criptografia de dados usando um cofre de chaves. Audit, Deny, desabilitado 1.0.0
Os serviços do Azure Cognitive Search devem usar link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Cognitive Search, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, desabilitado 1.0.0
Configurar os serviços do Azure Cognitive Search para desabilitar a autenticação local Desabilite os métodos de autenticação local para que seus serviços do Azure Cognitive Search exijam identidades do Azure Active Directory de modo exclusivo para autenticação. Saiba mais em: https://aka.ms/azure-cognitive-search/rbac. Modificar, Desabilitado 1.0.0
Configurar os serviços do Azure Cognitive Search para desabilitar o acesso à rede pública Desabilite o acesso à rede pública para o seu serviço Azure Cognitive Search para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Modificar, Desabilitado 1.0.0
Configurar os serviços do Azure Cognitive Search para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada vincula-se à rede virtual para resolver para o serviço Azure Cognitive Search. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. DeployIfNotExists, desabilitado 1.0.0
Configurar os serviços do Azure Cognitive Search com pontos de extremidade privados Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Ao mapear pontos de extremidade privados para seu serviço do Azure Cognitive Search, será possível reduzir riscos de vazamento de dados. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. DeployIfNotExists, desabilitado 1.0.0
Os logs de recurso nos serviços de pesquisa devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0

Central de Segurança

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: o agente de Segurança do Azure deve ser instalado nos seus computadores Linux do Arc Instale o agente de Segurança do Azure nos seus computadores Linux do Arc para monitorar os computadores em busca de configurações e vulnerabilidades. Os resultados das avaliações podem ser vistos e gerenciados na Central de Segurança do Azure. AuditIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: o agente de Segurança do Azure deve ser instalado nos seus conjuntos de dimensionamento de máquinas virtuais do Linux Instale o agente de Segurança do Azure nos conjuntos de dimensionamento de máquinas virtuais do Linux para monitorar as configurações de segurança e as vulnerabilidades de seus computadores. Os resultados das avaliações podem ser vistos e gerenciados na Central de Segurança do Azure. AuditIfNotExists, desabilitado 2.0.0-preview
[Versão prévia]: o agente de Segurança do Azure deve ser instalado nas suas máquinas virtuais do Linux Instale o agente de Segurança do Azure em suas máquinas virtuais Linux para monitorar as configurações de segurança e as vulnerabilidades de seus computadores. Os resultados das avaliações podem ser vistos e gerenciados na Central de Segurança do Azure. AuditIfNotExists, desabilitado 2.0.0-preview
[Versão prévia]: o agente de Segurança do Azure deve ser instalado nos seus computadores Windows do Arc Instale o agente de Segurança do Azure nos seus computadores Windows do Arc para monitorar os computadores em busca de configurações e vulnerabilidades. Os resultados das avaliações podem ser vistos e gerenciados na Central de Segurança do Azure. AuditIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: o agente de Segurança do Azure deve ser instalado nos seus conjuntos de dimensionamento de máquinas virtuais do Windows Instale o agente de Segurança do Azure em seus conjuntos de dimensionamento de máquinas virtuais do Windows para monitorar as configurações e as vulnerabilidades de segurança de seus computadores. Os resultados das avaliações podem ser vistos e gerenciados na Central de Segurança do Azure. AuditIfNotExists, desabilitado 2.1.0 – versão prévia
[Versão prévia]: o agente de Segurança do Azure deve ser instalado nas suas máquinas virtuais do Windows Instale o agente de segurança do Azure em suas máquinas virtuais do Windows para monitorar as configurações de segurança e as vulnerabilidades de seus computadores. Os resultados das avaliações podem ser vistos e gerenciados na Central de Segurança do Azure. AuditIfNotExists, desabilitado 2.1.0 – versão prévia
[Versão prévia]: a extensão ChangeTracking deve ser instalada em seu computador Linux do Arc Instale a extensão ChangeTracking nos computadores Linux do Arc para habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente de Monitoramento do Azure. AuditIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: a extensão ChangeTracking deve ser instalada em sua máquina virtual Linux Instale a extensão ChangeTracking em máquinas virtuais do Linux para habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente de Monitoramento do Azure. AuditIfNotExists, desabilitado 2.0.0-preview
[Versão prévia]: a extensão ChangeTracking deve ser instalada em seus conjuntos de dimensionamento de máquinas virtuais do Linux Instale a extensão ChangeTracking em conjuntos de dimensionamento de máquinas virtuais do Linux para habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente de Monitoramento do Azure. AuditIfNotExists, desabilitado 2.0.0-preview
[Versão prévia]: a extensão ChangeTracking deve ser instalada em seu computador Windows do Arc Instale a extensão ChangeTracking nos computadores Windows do Arc para habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente de Monitoramento do Azure. AuditIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: a extensão ChangeTracking deve ser instalada em sua máquina virtual do Windows Instale a extensão ChangeTracking em máquinas virtuais do Windows para habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente de Monitoramento do Azure. AuditIfNotExists, desabilitado 2.0.0-preview
[Versão prévia]: a extensão ChangeTracking deve ser instalada em seus conjuntos de dimensionamento de máquinas virtuais do Windows Instale a extensão ChangeTracking em conjuntos de dimensionamento de máquinas virtuais do Windows para habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente de Monitoramento do Azure. AuditIfNotExists, desabilitado 2.0.0-preview
[Versão prévia]: configurar o Azure Defender para SQL Agent na máquina virtual Configure computadores Windows para instalarem automaticamente o Azure Defender para SQL Agent em que o agente do Azure Monitor está instalado. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e um workspace do Log Analytics na mesma região que a do computador. As máquinas virtuais de destino devem estar em um local com suporte. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: configurar a Extensão ChangeTracking para computadores Linux do Arc Configure computadores Linux do Arc para instalar automaticamente a extensão ChangeTracking a fim de habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente do Azure Monitor. DeployIfNotExists, desabilitado 2.0.0-preview
[Versão prévia]: configurar a extensão ChangeTracking para conjuntos de dimensionamento de máquinas virtuais do Linux Configure conjuntos de dimensionamento de máquinas virtuais do Linux para instalar automaticamente a extensão ChangeTracking a fim de habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente do Azure Monitor. DeployIfNotExists, desabilitado 2.0.0-preview
[Versão prévia]: configurar a extensão ChangeTracking para máquinas virtuais do Linux Configure máquinas virtuais do Linux para instalar automaticamente a extensão ChangeTracking a fim de habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente do Azure Monitor. DeployIfNotExists, desabilitado 2.0.0-preview
[Versão prévia]: configurar a Extensão ChangeTracking para computadores Windows do Arc Configure computadores Windows do Arc para instalar automaticamente a extensão ChangeTracking a fim de habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente do Azure Monitor. DeployIfNotExists, desabilitado 2.0.0-preview
[Versão prévia]: configurar a Extensão ChangeTracking para conjuntos de dimensionamento de máquinas virtuais do Windows Configure conjuntos de dimensionamento de máquinas virtuais Windows para instalar automaticamente a extensão ChangeTracking a fim de habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente do Azure Monitor. DeployIfNotExists, desabilitado 2.0.0-preview
[Versão prévia]: configurar a Extensão ChangeTracking para máquinas virtuais do Windows Configure máquinas virtuais do Windows para instalar automaticamente a extensão ChangeTracking a fim de habilitar o FIM (monitoramento de integridade do arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, Registros do Windows, softwares de aplicativo, arquivos do sistema Linux e muito mais, verificando alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e em locais com suporte do Agente do Azure Monitor. DeployIfNotExists, desabilitado 2.0.0-preview
[Versão prévia]: configurar os computadores Linux do Arc compatíveis para instalar automaticamente o agente de Segurança do Azure Configure os computadores Linux do Arc compatíveis para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Os computadores Linux do Arc de destino precisam estar em uma localização com suporte. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: configurar os conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis para instalar automaticamente o agente de Segurança do Azure Configure as máquinas virtuais do Linux compatíveis para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas virtuais de destino devem estar em um local com suporte. DeployIfNotExists, desabilitado 2.0.0-preview
[Versão prévia]: configurar os conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis para instalar automaticamente a extensão de Atestado de Convidado Configure os conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis para instalar automaticamente a extensão Atestado de Convidado a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. DeployIfNotExists, desabilitado 6.1.0 – versão prévia
[Versão prévia]: configurar máquinas virtuais do Linux compatíveis para habilitar a Inicialização Segura automaticamente Configure as máquinas virtuais do Linux compatíveis para habilitar automaticamente a Inicialização Segura a fim de atenuar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Depois que ele for habilitado, somente os carregadores de inicialização, o kernel e os drivers de kernel poderão ser executados. DeployIfNotExists, desabilitado Versão prévia do 5.0.0
[Versão prévia]: configurar as máquinas virtuais do Linux compatíveis para instalar automaticamente o agente de Segurança do Azure Configure as máquinas virtuais do Linux compatíveis para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas virtuais de destino devem estar em um local com suporte. DeployIfNotExists, desabilitado 7.0.0-preview
[Versão prévia]: configurar as máquinas virtuais do Linux compatíveis para instalar automaticamente a extensão Atestado de Convidado Configure as máquinas virtuais do Linux compatíveis para instalar automaticamente a extensão Atestado de Convidado a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. DeployIfNotExists, desabilitado 7.1.0-preview
[Versão prévia]: configurar máquinas virtuais com suporte para habilitar vTPM automaticamente Configure máquinas virtuais compatíveis para habilitar automaticamente o vTPM a fim de facilitar a Inicialização Medida e outros recursos de segurança do sistema operacional que exigem um TPM. Depois que ele for habilitado, o vTPM pode ser usado para atestar a integridade da inicialização. DeployIfNotExists, desabilitado 2.0.0-preview
[Versão prévia]: configurar os computadores Windows do Arc com suporte para instalar automaticamente o agente de Segurança do Azure Configure os computadores Windows do Arc com suporte para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Os computadores Windows do Arc de destino precisam estar em uma localização com suporte. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: configurar computadores Windows com suporte para instalar automaticamente o agente de segurança do Azure Configurar computadores Windows com suporte para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas virtuais de destino devem estar em um local com suporte. DeployIfNotExists, desabilitado 5.1.0-preview
[Versão prévia]: configurar os conjuntos de dimensionamento de máquinas virtuais do Windows compatíveis para instalar automaticamente o agente de Segurança do Azure Configurar os conjuntos de dimensionamento de máquinas virtuais do Windows compatíveis para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Os Windows de escala de máquina virtual de destino devem estar em um local com suporte. DeployIfNotExists, desabilitado 2.1.0 – versão prévia
[Versão prévia]: configurar os conjuntos de dimensionamento de máquinas virtuais do Windows compatíveis para instalar automaticamente a extensão Atestado de Convidado Configure os conjuntos de dimensionamento de máquinas virtuais do Windows compatíveis para instalar automaticamente a extensão Atestado de Convidado a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. DeployIfNotExists, desabilitado 4.1.0 – versão prévia
[Versão prévia]: configurar máquinas virtuais do Windows com suporte para habilitar a Inicialização Segura automaticamente Configure as máquinas virtuais do Windows compatíveis para habilitar automaticamente a Inicialização Segura a fim de atenuar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Depois que ele for habilitado, somente os carregadores de inicialização, o kernel e os drivers de kernel poderão ser executados. DeployIfNotExists, desabilitado 3.0.0 – versão prévia
[Versão prévia]: configurar as máquinas virtuais do Windows compatíveis para instalar automaticamente a extensão Atestado de Convidado Configure as máquinas virtuais do Windows compatíveis para instalar automaticamente a extensão Atestado de Convidado a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. DeployIfNotExists, desabilitado 5.1.0-preview
[Versão prévia]: configurar VMs criadas com imagens da Galeria de Imagens Compartilhadas para instalar a extensão Atestado de Convidado Configure as máquinas virtuais criadas com as imagens da Galeria de Imagens Compartilhadas para instalar automaticamente a extensão Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. DeployIfNotExists, desabilitado 2.0.0-preview
[Versão prévia]: configurar VMSS criados com imagens da Galeria de Imagens Compartilhadas para instalar a extensão de Atestado de Convidado Configure os VMSS criados com as imagens da Galeria de Imagens Compartilhadas para instalar automaticamente a extensão Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. A integridade da inicialização é atestada por meio do atestado remoto. DeployIfNotExists, desabilitado 2.1.0 – versão prévia
[Versão prévia]: implantar o agente do Microsoft Defender para Ponto de Extremidade em computadores híbridos do Linux Implanta o agente do Microsoft Defender para Ponto de Extremidade em máquinas híbridas do Linux DeployIfNotExists, AuditIfNotExists, Desabilitado 2.0.1 – versão prévia
[Versão prévia]: implantar o agente do Microsoft Defender para Ponto de Extremidade para máquinas virtuais do Linux Implanta o agente do Microsoft Defender para Ponto de Extremidade em imagens de VM do Linux aplicáveis. DeployIfNotExists, AuditIfNotExists, Desabilitado 3.0.0 – versão prévia
[Versão prévia]: implantar o agente do Microsoft Defender para Ponto de Extremidade em computadores do Azure Arc do Windows Implanta o Microsoft Defender para Ponto de Extremidade em computadores do Azure Arc do Windows. DeployIfNotExists, AuditIfNotExists, Desabilitado 2.0.1 – versão prévia
[Versão prévia]: implantar o agente do Microsoft Defender para Ponto de Extremidade em máquinas virtuais do Windows Implanta o Microsoft Defender para Ponto de Extremidade em imagens de VM do Windows aplicáveis. DeployIfNotExists, AuditIfNotExists, Desabilitado 2.0.1 – versão prévia
[Versão prévia]: a extensão Atestado de Convidado deve ser instalada nas máquinas virtuais do Linux compatíveis Instale a extensão Atestado de Convidado em máquinas virtuais do Linux compatíveis a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica às máquinas virtuais do Linux Confidenciais e de Início Confiável. AuditIfNotExists, desabilitado 6.0.0-preview
[Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais do Linux compatíveis a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica aos conjuntos de dimensionamento de máquinas virtuais de início confiável e Linux Confidencial. AuditIfNotExists, desabilitado 5.1.0-preview
[Versão prévia]: a extensão Atestado de Convidado deve ser instalada em máquinas virtuais do Windows compatíveis Instale a extensão Atestado de Convidado em máquinas virtuais compatíveis a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica às máquinas virtuais do Windows Confidenciais e de Início Confiável. AuditIfNotExists, desabilitado 4.0.0 – versão prévia
[Versão prévia]: a extensão Atestado de Convidado deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais do Windows compatíveis Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais compatíveis a fim de permitir que a Central de Segurança do Azure ateste e monitore de maneira proativa a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica aos conjuntos de dimensionamento de máquinas virtuais de início confiável e Windows Confidencial. AuditIfNotExists, desabilitado 3.1.0 – versão prévia
[Versão prévia]: as máquinas virtuais do Linux devem usar somente componentes de inicialização confiáveis e assinados Todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) devem ser assinados por fornecedores confiáveis. O Defender para Nuvem identificou componentes de inicialização de sistema operacional não confiáveis em um ou mais de seus computadores Linux. Para proteger seus computadores contra componentes potencialmente mal-intencionados, adicione-os à lista de permissão ou remova os componentes identificados. AuditIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: as máquinas virtuais do Linux devem usar a Inicialização Segura Para proteger contra a instalação de rootkits baseados em malware e kits de inicialização, habilite a Inicialização Segura em máquinas virtuais do Linux compatíveis. A Inicialização segura garante que somente os drivers e sistemas operacionais assinados tenham permissão para serem executados. Essa avaliação só se aplica a máquinas virtuais do Linux com o agente do Azure Monitor instalado. AuditIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os computadores devem ter portas fechadas que possam expor vetores de ataque Os termos de uso do Azure proíbem o uso de serviços do Azure de maneiras que possam danificar, desabilitar, sobrecarregar ou prejudicar qualquer servidor da Microsoft ou a rede. As portas expostas identificadas por essa recomendação precisam ser fechadas para a manutenção da sua segurança. Para cada porta identificada, a recomendação também fornece uma explicação da ameaça potencial. AuditIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: a Inicialização Segura deve estar habilitada em máquinas virtuais Windows compatíveis Habilite a Inicialização Segura nas máquinas virtuais do Windows compatíveis para atenuar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Depois que ele for habilitado, somente os carregadores de inicialização, o kernel e os drivers de kernel poderão ser executados. Essa avaliação se aplica às máquinas virtuais do Windows Confidenciais e de Início Confiável. Audit, desabilitado 4.0.0 – versão prévia
[Versão prévia]: as atualizações do sistema devem ser instaladas nos computadores (da plataforma Centro de Atualizações) As atualizações de sistema, segurança e críticas estão ausentes em seus computadores. As atualizações de software geralmente incluem patches críticos para brechas de segurança. Essas brechas costumam ser exploradas em ataques de malware, portanto, é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger seus computadores, siga as etapas de correção. AuditIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: o status de atestado de convidado de máquinas virtuais deve ser íntegro O atestado de convidado é executado enviando um TCGLog (log confiável) para um servidor de atestado. O servidor usa esses logs para determinar se os componentes de inicialização são confiáveis. Essa avaliação destina-se a detectar comprometimentos da cadeia de inicialização que podem ser o resultado de uma infecção do kit de inicialização ou do rootkit. Essa avaliação só se aplica a máquinas virtuais habilitadas para Início Confiável que têm a extensão de Atestado de Convidado instalada. AuditIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: o vTPM deve estar habilitado nas máquinas virtuais compatíveis Habilite o dispositivo TPM virtual em máquinas virtuais compatíveis para facilitar Inicialização Medida e outros recursos de segurança do sistema operacional que exigem um TPM. Depois que ele for habilitado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para início confiável. Audit, desabilitado 2.0.0-preview
Um máximo de três proprietários deve ser designado para sua assinatura Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. AuditIfNotExists, desabilitado 3.0.0
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. AuditIfNotExists, desabilitado 3.0.0
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Os controles de aplicativos adaptáveis para definir aplicativos seguros devem estar habilitados nos computadores Permita que os controles de aplicativos definam a lista de aplicativos considerados seguros em execução nos seus computadores e alertem você quando outros aplicativos forem executados. Isso ajuda a proteger seus computadores contra malware. Para simplificar o processo de configuração e manutenção de suas regras, a Central de Segurança usa o machine learning para analisar os aplicativos em execução em cada computador e sugerir a lista de aplicativos considerados seguros. AuditIfNotExists, desabilitado 3.0.0
As recomendações da proteção de rede adaptável devem ser aplicadas nas máquinas virtuais para a Internet A Central de Segurança do Azure analisa os padrões de tráfego das máquinas virtuais para a Internet e fornece recomendações de regra do Grupo de Segurança de Rede que reduzem a possível superfície de ataque AuditIfNotExists, desabilitado 3.0.0
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. AuditIfNotExists, desabilitado 3.0.0
As regras da lista de permissões na política de controles de aplicativos adaptáveis devem ser atualizadas Monitore as alterações no comportamento dos grupos de computadores configurados para auditoria pelos controles de aplicativos adaptáveis da Central de Segurança do Azure. A Central de Segurança usa o machine learning para analisar os processos em execução em seus computadores e sugerir uma lista de aplicativos considerados seguros. Eles são apresentados como aplicativos recomendados para permitir as políticas de controle de aplicativos adaptáveis. AuditIfNotExists, desabilitado 3.0.0
Os pontos de extremidade de API no Gerenciamento de API do Azure devem ser autenticados Os pontos de extremidade de API publicados no Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Às vezes, os mecanismos de autenticação são implementados incorretamente ou estão ausentes. Isso permite que os invasores explorem falhas de implementação e acessem dados. Saiba mais sobre a ameaça de API OWASP para autenticação de usuário quebrada aqui: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication AuditIfNotExists, desabilitado 1.0.1
Os pontos de extremidade de API que não são usados devem ser desabilitados e removidos do serviço de Gerenciamento de API do Azure Como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço de Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco de segurança para sua organização. Podem ser APIs que deveriam ter sido preteridas do serviço de Gerenciamento de API do Azure, mas que podem ter sido acidentalmente deixadas ativas. Normalmente, essas APIs não recebem a cobertura de segurança mais atualizada. AuditIfNotExists, desabilitado 1.0.1
Os intervalos de IP autorizados devem ser definidos nos Serviços do Kubernetes Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes permitindo acesso à API somente aos endereços IP em intervalos específicos. Recomendamos limitar o acesso aos intervalos de IP autorizados para garantir que somente os aplicativos de redes permitidas possam acessar o cluster. Audit, desabilitado 2.0.1
O provisionamento automático do agente do Log Analytics deve ser habilitado na sua assinatura Para monitorar as vulnerabilidades e ameaças à segurança, a Central de Segurança do Azure coleta dados de suas máquinas virtuais do Azure. Os dados são coletados pelo agente do Log Analytics, anteriormente conhecido como MMA (Microsoft Monitoring Agent), que lê várias configurações e logs de eventos relacionados à segurança do computador e copia os dados para o seu workspace do Log Analytics para análise. É recomendável habilitar o provisionamento automático para implantar automaticamente o agente em todas as VMs do Azure com suporte e nas VMs que forem criadas. AuditIfNotExists, desabilitado 1.0.1
A Proteção contra DDoS do Azure deve ser habilitada A Proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que seja parte de um gateway de aplicativo com um IP público. AuditIfNotExists, desabilitado 3.0.1
O Azure Defender para o Serviço de Aplicativo deve estar habilitado O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para Key Vault deve estar habilitado O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para bancos de dados relacionais de código aberto deve ser habilitado O Azure Defender para bancos de dados relacionais de código aberto detecta atividades anômalas, indicando tentativas incomuns e possivelmente prejudiciais de acesso ou exploração de bancos de dados. Saiba mais sobre os recursos do Azure Defender para bancos de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: a habilitação deste plano resultará em encargos de proteção de seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center AuditIfNotExists, desabilitado 1.0.0
O Azure Defender para Resource Manager deve ser habilitado O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. AuditIfNotExists, desabilitado 1.0.0
O Azure Defender para servidores deve estar habilitado O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. AuditIfNotExists, desabilitado 1.0.3
O Azure Defender para servidores SQL em computadores deve estar habilitado O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. AuditIfNotExists, desabilitado 1.0.2
O Azure Defender para SQL deve ser habilitado para servidores flexíveis do PostgreSQL desprotegidos Auditar os servidores flexíveis do PostgreSQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 1.0.0
As imagens de contêiner do registro do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. AuditIfNotExists, desabilitado 1.0.1
As imagens de contêiner de registro do Azure devem ter as vulnerabilidades resolvidas (da plataforma Qualys) A avaliação de vulnerabilidade de imagem de contêiner examina o Registro em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. AuditIfNotExists, desabilitado 2.0.2
O controle de acesso baseado em função do Azure (RBAC) deve ser usado nos serviços Kubernetes Para fornecer filtragem granular sobre as ações que os utilizadores podem executar, utilize o Azure Role-Based Access Control (RBAC) para gerir permissões em clusters de serviço Kubernetes e configurar políticas de autorização relevantes. Audit, desabilitado 1.0.3
As imagens de contêiner em execução do Azure devem ter as vulnerabilidades resolvidas (da plataforma Gerenciamento de Vulnerabilidades do Microsoft Defender) A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para aprimorar sua postura de segurança, reduzindo de forma significativa a superfície de ataque das suas cargas de trabalho conteinerizadas. AuditIfNotExists, desabilitado 1.0.1
As imagens de contêiner em execução no Azure devem ter as vulnerabilidades resolvidas (da plataforma Qualys) A avaliação de vulnerabilidade de imagem de contêiner examina as imagens de contêiner em execução em seus clusters Kubernetes em busca de vulnerabilidades de segurança e expõe as descobertas detalhadas para cada imagem. Resolver as vulnerabilidades pode melhorar muito a postura de segurança dos seus contêineres e protegê-los contra ataques. AuditIfNotExists, desabilitado 1.0.3
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ser configuradas com segurança Proteja suas instâncias de função dos Serviços de Nuvem (suporte estendido) contra ataques, garantindo que elas não sejam expostas a vulnerabilidades do sistema operacional. AuditIfNotExists, desabilitado 1.0.0
As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ter uma solução de proteção de ponto de extremidade instalada Proteja suas instâncias de função dos Serviços de Nuvem (suporte estendido) contra ameaças e vulnerabilidades, garantindo que uma solução de proteção de ponto de extremidade seja instalada nelas. AuditIfNotExists, desabilitado 1.0.0
As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ter atualizações do sistema instaladas Proteja suas instâncias de função dos Serviços de Nuvem (suporte estendido), garantindo que as mais recentes atualizações críticas e de segurança sejam instaladas nelas. AuditIfNotExists, desabilitado 1.0.0
Configurar a Proteção Avançada contra Ameaças como habilitada no banco de dados do Azure para servidores flexíveis PostgreSQL Habilite a Proteção Avançada contra Ameaças nos seus bancos de dados do Azure para que os servidores flexíveis PostgreSQL detectem atividades anômalas que indiquem tentativas incomuns e possivelmente prejudiciais no sentido de acessar ou explorar bancos de dados. DeployIfNotExists, desabilitado 1.1.0
Configurar SQL Servers habilitados para Arc para instalar automaticamente o Agente do Azure Monitor Automatize a implantação da extensão do Agente do Azure Monitor nos SQL Servers habilitados para Arc do Windows. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 1.3.0
Configurar os SQL Servers habilitados para Arc para instalar automaticamente o Microsoft Defender para SQL Configure os SQL Servers habilitados para Arc do Windows para instalar automaticamente o agente do Microsoft Defender para SQL. O Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas personalizadas de reforço de proteção (recomendações). DeployIfNotExists, desabilitado 1.2.0
Configurar os SQL Servers habilitados para Arc para instalar automaticamente o Microsoft Defender para SQL e a DCR com um workspace do Log Analytics O Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas personalizadas de reforço de proteção (recomendações). Crie um grupo de recursos, uma regra de coleta de dados e um workspace do Log Analytics na mesma região do computador. DeployIfNotExists, desabilitado 1.3.0
Configurar os SQL Servers habilitados para Arc para instalar automaticamente o Microsoft Defender para SQL e a DCR com um workspace do Log Analytics definido pelo usuário O Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas personalizadas de reforço de proteção (recomendações). Crie um grupo de recursos e uma regra de coleta de dados na mesma região do workspace do Log Analytics definido pelo usuário. DeployIfNotExists, desabilitado 1.4.0
Configurar SQL Servers habilitados para o Arc com Associação de Regra de Coleta de Dados à DCR do Microsoft Defender para SQL Configure a associação entre os SQL Servers habilitados para Arc e a DCR do Microsoft Defender para SQL. A exclusão dessa associação interromperá a detecção de vulnerabilidades de segurança desse SQL Server habilitado para Arc. DeployIfNotExists, desabilitado 1.1.0
Configurar SQL Servers habilitados para o Arc com Associação de Regra de Coleta de Dados à DCR do Microsoft Defender para SQL definida pelo usuário Configure a associação entre os SQL Servers habilitados para Arc e a DCR do Microsoft Defender para SQL definida pelo usuário. A exclusão dessa associação interromperá a detecção de vulnerabilidades de segurança desse SQL Server habilitado para Arc. DeployIfNotExists, desabilitado 1.2.0
Configurar o Azure Defender para habilitar o Serviço de Aplicativo O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. DeployIfNotExists, desabilitado 1.0.1
Configurar o Azure Defender para habilitar o banco de dados SQL do Azure O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. DeployIfNotExists, desabilitado 1.0.1
Configurar o Azure Defender para que bancos de dados relacionais de código aberto sejam habilitados O Azure Defender para bancos de dados relacionais de código aberto detecta atividades anômalas, indicando tentativas incomuns e possivelmente prejudiciais de acesso ou exploração de bancos de dados. Saiba mais sobre os recursos do Azure Defender para bancos de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: a habilitação deste plano resultará em encargos de proteção de seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center DeployIfNotExists, desabilitado 1.0.0
Configurar o Azure Defender para habilitar o Resource Manager O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. DeployIfNotExists, desabilitado 1.1.0
Configurar o Azure Defender para habilitar os servidores O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. DeployIfNotExists, desabilitado 1.0.1
Configurar o Azure Defender para habilitar servidores SQL em computadores O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. DeployIfNotExists, desabilitado 1.0.1
Configurar o Microsoft Defender básico para o Armazenamento que esteja habilitado (somente Monitoramento de Atividades) O Microsoft Defender para Armazenamento é uma camada nativa do Azure de inteligência de segurança que detecta possíveis ameaças às suas contas de armazenamento. Essa política habilitará os recursos básicos do Defender para Armazenamento (Monitoramento de Atividades). Para habilitar a proteção completa, que também inclui a Verificação de Software Mal-intencionado no upload e a Detecção de Ameaças a Dados Confidenciais, use a política de habilitação completa: aka.ms/DefenderForStoragePolicy. Para saber mais sobre as funcionalidades e benefícios do Defender para Armazenamento, visite aka.ms/DefenderForStorage. DeployIfNotExists, desabilitado 1.1.0
Configurar os computadores para receber um provedor de avaliação de vulnerabilidade O Azure Defender inclui uma verificação de vulnerabilidades para seus computadores sem custo adicional. Você não precisa de uma licença do Qualys nem de uma conta do Qualys: tudo é tratado diretamente na Central de Segurança. Quando você habilita essa política, o Azure Defender implanta automaticamente o agente de avaliação de vulnerabilidade do Qualys em todos os computadores compatíveis que ainda não o instalaram. DeployIfNotExists, desabilitado 4.0.0
Configurar o plano do Microsoft Defender CSPM O GPSN (gerenciamento da postura de segurança na nuvem) do Defender oferece funcionalidades de postura aprimoradas e um novo grafo de segurança de nuvem inteligente para ajudar a identificar, priorizar e reduzir riscos. O GPSN do Defender está disponível além das funcionalidades básicas gratuitas de postura de segurança ativadas por padrão no Defender para Nuvem. DeployIfNotExists, desabilitado 1.0.0
Configurar o GPSN do Microsoft Defender como habilitado O GPSN (gerenciamento da postura de segurança na nuvem) do Defender oferece funcionalidades de postura aprimoradas e um novo grafo de segurança de nuvem inteligente para ajudar a identificar, priorizar e reduzir riscos. O GPSN do Defender está disponível além das funcionalidades básicas gratuitas de postura de segurança ativadas por padrão no Defender para Nuvem. DeployIfNotExists, desabilitado 1.0.2
Configurar o Microsoft Defender para o Azure Cosmos DB a ser habilitado O Microsoft Defender para Azure Cosmos DB é uma camada de segurança nativa do Azure que detecta qualquer tentativa de explorar bancos de dados nas suas contas do Azure Cosmos DB. O Defender para Azure Cosmos DB detecta possíveis injeções de SQL, atores mal-intencionados conhecidos com base na Inteligência contra Ameaças da Microsoft, padrões de acesso suspeitos e exploração potencial do banco de dados por meio de identidades comprometidas ou de funcionários mal-intencionados. DeployIfNotExists, desabilitado 1.0.0
Configurar o plano do Microsoft Defender para contêineres Novos recursos estão sendo adicionados continuamente ao plano do Defender para contêineres, o que pode exigir a habilitação explícita do usuário. Use essa política para garantir que todos os novos recursos sejam habilitados. DeployIfNotExists, desabilitado 1.0.0
Configurar para que o Microsoft Defender para Contêineres seja habilitado O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. DeployIfNotExists, desabilitado 1.0.1
Definir as configurações de integração do Microsoft Defender para Ponto de Extremidade com o Microsoft Defender para Nuvem (WDATP_EXCLUDE_LINUX...) Define as configurações de integração do Microsoft Defender para Ponto de Extremidade, no Microsoft Defender para Nuvem (também conhecido como WDATP_EXCLUDE_LINUX_...), para habilitar o provisionamento automático do MDE para servidores Linux. A configuração WDATP deve ser ativada para que essa configuração seja aplicada. Confira: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpointpara obter mais informações. DeployIfNotExists, desabilitado 1.0.0
Definir as configurações de integração do Microsoft Defender para Ponto de Extremidade com o Microsoft Defender para Nuvem (WDATP_UNIFIED_SOLUTION) Define as configurações de integração do Microsoft Defender para Ponto de Extremidade, no Microsoft Defender para Nuvem (também conhecido como WDATP_UNIFIED_SOLUTION), para habilitar o provisionamento automático do Agente Unificado do MDE para Windows Server 2012R2 e 2016. A configuração WDATP deve ser ativada para que essa configuração seja aplicada. Confira: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpointpara obter mais informações. DeployIfNotExists, desabilitado 1.0.0
Definir as configurações de integração do Microsoft Defender para Ponto de Extremidade com o Microsoft Defender para Nuvem (WDATP) Define as configurações de integração do Microsoft Defender para Ponto de Extremidade, no Microsoft Defender para Nuvem (também conhecido como WDATP), para computadores de nível inferior do Windows integrados ao MDE via MMA e provisionamento automático de MDE no Windows Server 2019, Área de Trabalho Virtual do Windows e versões superiores. Deve ser ativado para que as outras configurações (WDATP_UNIFIED etc.) funcionem. Confira: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpointpara obter mais informações. DeployIfNotExists, desabilitado 1.0.0
Configurar o plano do Microsoft Defender para Key Vault O Microsoft Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do cofre de chaves. DeployIfNotExists, desabilitado 1.1.0
Configurar o plano do Microsoft Defender para servidores Novos recursos estão sendo adicionados continuamente ao Defender para servidores, o que pode exigir a habilitação explícita do usuário. Use essa política para garantir que todos os novos recursos sejam habilitados. DeployIfNotExists, desabilitado 1.0.0
Configurar o Microsoft Defender para SQL para ser habilitado em workspaces do Azure Synapse Habilite o Microsoft Defender para SQL nos workspaces do Azure Synapse para detectar atividades anômalas que indiquem tentativas incomuns e possivelmente prejudiciais de acessar ou explorar bancos de dados SQL. DeployIfNotExists, desabilitado 1.0.0
Configure o Microsoft Defender para Armazenamento (Clássico) para que esteja habilitado O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. DeployIfNotExists, desabilitado 1.0.2
Configure o Microsoft Defender for Storage para que esteja habilitado O Microsoft Defender para Armazenamento é uma camada nativa do Azure de inteligência de segurança que detecta possíveis ameaças às suas contas de armazenamento. Essa política habilitará todos os recursos do Defender para Armazenamento: Monitoramento de Atividades, Verificação de Software Mal-intencionado e Detecção de Ameaças a Dados Confidenciais. Para saber mais sobre as funcionalidades e benefícios do Defender para Armazenamento, visite aka.ms/DefenderForStorage. DeployIfNotExists, desabilitado 1.1.0
Configurar as Máquinas Virtuais do SQL para instalar automaticamente o Agente do Azure Monitor Automatize a implantação da extensão do Agente do Azure Monitor nas suas Máquinas Virtuais do SQL do Windows. Saiba mais: https://aka.ms/AMAOverview. DeployIfNotExists, desabilitado 1.3.0
Configurar as Máquinas Virtuais do SQL para instalar automaticamente o Microsoft Defender para SQL Configure as Máquinas Virtuais do SQL do Windows para instalar automaticamente a extensão Microsoft Defender para SQL. O Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas personalizadas de reforço de proteção (recomendações). DeployIfNotExists, desabilitado 1.3.0
Configurar as Máquinas Virtuais do SQL para instalar automaticamente o Microsoft Defender para SQL e a DCR com um workspace do Log Analytics O Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas personalizadas de reforço de proteção (recomendações). Crie um grupo de recursos, uma regra de coleta de dados e um workspace do Log Analytics na mesma região do computador. DeployIfNotExists, desabilitado 1.4.0
Configurar as Máquinas Virtuais do SQL para instalar automaticamente o Microsoft Defender para SQL e a DCR com um workspace do LA definido pelo usuário O Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas personalizadas de reforço de proteção (recomendações). Crie um grupo de recursos e uma regra de coleta de dados na mesma região do workspace do Log Analytics definido pelo usuário. DeployIfNotExists, desabilitado 1.4.0
Configurar o Microsoft Defender do SQL para o workspace do Log Analytics O Microsoft Defender para SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas personalizadas de reforço de proteção (recomendações). Crie um grupo de recursos e um workspace do Log Analytics na mesma região do computador. DeployIfNotExists, desabilitado 1.2.0
Criar e atribuir uma identidade gerenciada interna atribuída pelo usuário Crie e atribua identidades gerenciadas integradas atribuídas pelo usuário às máquinas virtuais do SQL em larga escala. AuditIfNotExists, DeployIfNotExists, desabilitado 1.4.0
Implantar – Configurar regras de supressão para alertas da Central de Segurança do Azure Suprime os alertas da Central de Segurança do Azure para reduzir o excesso de alertas implantando regras de supressão no grupo de gerenciamento ou na assinatura. deployIfNotExists 1.0.0
Implante a exportação para o Hub de Eventos como um serviço confiável para os dados do Microsoft Defender para Nuvem Habilite a exportação para o Hub de Eventos como um serviço confiável de dados do Microsoft Defender para Nuvem. Essa política implanta uma exportação para o Hub de Eventos como uma configuração de serviço confiável com suas condições e o Hub de Eventos de destino no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. DeployIfNotExists, desabilitado 1.0.0
Implantar a exportação para o Hub de Eventos para dados do Microsoft Defender para Nuvem Habilitar a exportação para o Hub de Eventos de dados do Microsoft Defender para Nuvem. Esta política implanta uma configuração de exportação para o Hub de Eventos com suas condições e o Hub de Eventos de destino no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. deployIfNotExists 4.2.0
Implantar exportação para o workspace do Log Analytics para dados do Microsoft Defender para Nuvem Habilitar a exportação para o workspace do Log Analytics de dados do Microsoft Defender para Nuvem. Esta política implanta uma configuração de exportação para o workspace do Log Analytics com suas condições e workspace de destino no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. deployIfNotExists 4.1.0
Implantar a Automação de Fluxo de Trabalho para alertas do Microsoft Defender para Nuvem Habilitar a automação de alertas do Microsoft Defender para Nuvem. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. deployIfNotExists 5.0.1
Implantar a Automação de Fluxo de Trabalho para recomendações do Microsoft Defender para Nuvem Habilitar a automação de recomendações do Microsoft Defender para Nuvem. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. deployIfNotExists 5.0.1
Implantar a Automação de Fluxo de Trabalho para conformidade regulatória do Microsoft Defender para Nuvem Habilitar a automação de conformidade regulatória do Microsoft Defender para Nuvem. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. deployIfNotExists 5.0.1
A notificação por email para alertas de severidade alta deve ser habilitada Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. AuditIfNotExists, desabilitado 1.0.1
A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. AuditIfNotExists, desabilitado 2.0.0
Habilitar o Microsoft Defender para Nuvem em sua assinatura Identifica assinaturas existentes que não são monitoradas pelo Microsoft Defender para Nuvem e as protege com os recursos gratuitos do Defender para Nuvem. As assinaturas já monitoradas serão consideradas em conformidade. Para registrar assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição relevante que não esteja em conformidade e crie uma tarefa de correção. deployIfNotExists 1.0.1
Habilitar o provisionamento automático da Central de Segurança do agente do Log Analytics em suas assinaturas com o workspace personalizado. Permitir que a Central de Segurança provisione automaticamente o agente do Log Analytics em suas assinaturas para monitorar e coletar dados de segurança usando um workspace personalizado. DeployIfNotExists, desabilitado 1.0.0
Habilitar o provisionamento automático da Central de Segurança do agente do Log Analytics em suas assinaturas com o workspace padrão. Permitir que a Central de Segurança provisione automaticamente o agente do Log Analytics em suas assinaturas para monitorar e coletar dados de segurança usando um workspace padrão da ASC. DeployIfNotExists, desabilitado 1.0.0
Os problemas de integridade do Endpoint protection devem ser resolvidos nos seus computadores Resolva problemas de integridade da proteção de ponto de extremidade em suas máquinas virtuais para protegê-las contra ameaças e vulnerabilidades mais recentes. As soluções de proteção de ponto de extremidade compatíveis com a Central de Segurança do Azure estão documentadas aqui: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A avaliação da proteção de ponto de extremidade está documentada aqui: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, desabilitado 1.0.0
O Endpoint Protection deve ser instalado nos computadores Para proteger seus computadores contra ameaças e vulnerabilidades, instale uma solução de proteção de ponto de extremidade com suporte. AuditIfNotExists, desabilitado 1.0.0
A solução de proteção de ponto de extremidade deve ser instalada nos conjuntos de dimensionamento de máquinas virtuais Faça a auditoria da existência de uma solução de proteção de ponto de extremidade e da sua integridade nos seus conjuntos de dimensionamento de máquinas virtuais, para protegê-los contra ameaças e vulnerabilidades. AuditIfNotExists, desabilitado 3.0.0
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
A extensão de Configuração de Convidado deve ser instalada nos seus computadores Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como 'O Windows Exploit Guard deve estar habilitado'. Saiba mais em https://aka.ms/gcpol. AuditIfNotExists, desabilitado 1.0.3
As máquinas virtuais para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais contra possíveis ameaças, restringindo o acesso a elas com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desabilitado 3.0.0
O encaminhamento IP na máquina virtual deve ser desabilitado A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. AuditIfNotExists, desabilitado 3.0.0
Os Serviços de Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes Atualize o cluster do serviço de Kubernetes para a última versão do Kubernetes a fim de fornecer proteção contra as vulnerabilidades conhecidas na versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões do Kubernetes 1.11.9 e posterior, 1.12.7 e posterior, 1.13.5 e posterior e 1.14.0 e posterior Audit, desabilitado 1.0.2
O agente do Log Analytics deve ser instalado nas suas instâncias de função dos Serviços de Nuvem (suporte estendido) A Central de Segurança coleta dados das instâncias de função dos Serviços de Nuvem (suporte estendido) para monitorar vulnerabilidades e ameaças à segurança. AuditIfNotExists, desabilitado 2.0.0
O agente do Log Analytics deve ser instalado na máquina virtual para o monitoramento da Central de Segurança do Azure Esta política auditará VMs (máquinas virtuais) do Windows/Linux se não estiver instalado o agente do Log Analytics que a Central de Segurança usa para monitorar vulnerabilidades e ameaças à segurança AuditIfNotExists, desabilitado 1.0.0
O agente do Log Analytics deve ser instalado em seus conjuntos de dimensionamento de máquinas virtuais para o monitoramento da Central de Segurança do Azure A Central de Segurança coleta dados de suas VMs (máquinas virtuais) do Azure a fim de monitorar as vulnerabilidades e ameaças à segurança. AuditIfNotExists, desabilitado 1.0.0
Os computadores devem ter as descobertas secretas resolvidas Audita máquinas virtuais para detectar se elas contêm descobertas secretas das soluções de verificação do segredo em suas máquinas virtuais. AuditIfNotExists, desabilitado 1.0.2
As portas de gerenciamento de máquinas virtuais devem ser protegidas com o controle de acesso à rede just-in-time O possível acesso JIT (Just In Time) da rede será monitorado pela Central de Segurança do Azure como recomendação AuditIfNotExists, desabilitado 3.0.0
Portas de gerenciamento devem ser fechadas nas máquinas virtuais As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Estes ataques tentam obter credenciais por força bruta para obter acesso de administrador à máquina. AuditIfNotExists, desabilitado 3.0.0
O GPSN do Microsoft Defender deve estar habilitado O GPSN (gerenciamento da postura de segurança na nuvem) do Defender oferece funcionalidades de postura aprimoradas e um novo grafo de segurança de nuvem inteligente para ajudar a identificar, priorizar e reduzir riscos. O GPSN do Defender está disponível além das funcionalidades básicas gratuitas de postura de segurança ativadas por padrão no Defender para Nuvem. AuditIfNotExists, desabilitado 1.0.0
O Microsoft Defender para APIs deve estar habilitado O Microsoft Defender para APIs traz uma nova cobertura de descoberta, proteção, detecção e resposta para monitorar ataques comuns e configurações incorretas de segurança baseados em API. AuditIfNotExists, desabilitado 1.0.3
O Microsoft Defender para Azure Cosmos DB deve estar habilitado O Microsoft Defender para Azure Cosmos DB é uma camada de segurança nativa do Azure que detecta qualquer tentativa de explorar bancos de dados nas suas contas do Azure Cosmos DB. O Defender para Azure Cosmos DB detecta possíveis injeções de SQL, atores mal-intencionados conhecidos com base na Inteligência contra Ameaças da Microsoft, padrões de acesso suspeitos e exploração potencial do banco de dados por meio de identidades comprometidas ou de funcionários mal-intencionados. AuditIfNotExists, desabilitado 1.0.0
O Microsoft Defender para Contêineres deve estar habilitado O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. AuditIfNotExists, desabilitado 1.0.0
O Microsoft Defender para SQL deve ser habilitado nos workspaces do Azure Synapse desprotegidos Habilite o Defender para SQL para proteger os workspaces do Azure Synapse. O Defender para SQL monitora o SQL do Synapse para detectar atividades anômalas que indiquem tentativas incomuns e possivelmente prejudiciais de acessar ou explorar bancos de dados. AuditIfNotExists, desabilitado 1.0.0
O status do Microsoft Defender para SQL deve ser protegido para SQL Servers habilitados para Arc O Microsoft Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL, descobrir e classificar dados confidenciais. Uma vez habilitado, o status de proteção indica que o recurso é monitorado ativamente. Mesmo quando o Defender está habilitado, várias definições de configuração devem ser validadas no agente, no computador, no workspace e no SQL Server para garantir a proteção ativa. Audit, desabilitado 1.0.1
O Microsoft Defender para Armazenamento deve estar habilitado O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. AuditIfNotExists, desabilitado 1.0.0
Monitorar o Endpoint Protection ausente na Central de Segurança do Azure Servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações AuditIfNotExists, desabilitado 3.0.0
Máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede Proteja suas máquinas virtuais não voltadas para a Internet contra possíveis ameaças, restringindo o acesso com um NSG (grupo de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc AuditIfNotExists, desabilitado 3.0.0
O tipo de preço Standard da Central de Segurança deve ser selecionado O tipo de preço standard habilita a detecção de ameaças para redes e máquinas virtuais, fornecendo inteligência contra ameaças, detecção de anomalias e análise de comportamento na Central de Segurança do Azure Audit, desabilitado 1.1.0
Configurar assinaturas para fazer a transição para uma solução alternativa de avaliação de vulnerabilidade O Microsoft Defender para nuvem oferece varredura de vulnerabilidades para suas máquinas sem custo adicional. A ativação dessa política fará com que o Defender para Nuvem propague automaticamente as descobertas da solução integrada de gerenciamento de vulnerabilidades do Microsoft Defender para todos os computadores compatíveis. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 4.1.0
O provisionamento automático direcionado ao SQL Server deve ser habilitado para servidores SQL no plano de computadores Para garantir que as VMs do SQL e os SQL Servers habilitados para Arc estejam protegidos, verifique se o Agente de Monitoramento do Azure direcionado ao SQL está configurado para implantar automaticamente. Isso também é necessário se você já configurou o provisionamento automático do Microsoft Monitoring Agent, pois esse componente está sendo preterido. Saiba mais: https://aka.ms/SQLAMAMigration AuditIfNotExists, desabilitado 1.0.0
Os servidores SQL em computadores devem ter as descobertas de vulnerabilidade resolvidas A avaliação de vulnerabilidades do SQL examina o banco de dados em busca de vulnerabilidades de segurança e expõe os desvios das melhores práticas como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança de seu banco de dados. AuditIfNotExists, desabilitado 1.0.0
As sub-redes devem ser associadas a um Grupo de Segurança de Rede Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. AuditIfNotExists, desabilitado 3.0.0
As assinaturas devem ter um endereço de email de contato para problemas de segurança Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. AuditIfNotExists, desabilitado 1.0.1
As atualizações do sistema nos conjuntos de dimensionamento de máquinas virtuais devem ser instaladas Faça uma auditoria para verificar se faltam atualizações de segurança do sistema e atualizações críticas que devem ser instaladas para garantir que os seus conjuntos de dimensionamento de máquinas virtuais Windows e Linux estejam seguros. AuditIfNotExists, desabilitado 3.0.0
As atualizações do sistema devem ser instaladas em suas máquinas A falta de atualizações do sistema de segurança em seus servidores será monitorada pela Central de Segurança do Azure como recomendações AuditIfNotExists, desabilitado 4.0.0
Deve haver mais de um proprietário atribuído à sua assinatura Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. AuditIfNotExists, desabilitado 3.0.0
As máquinas virtuais devem criptografar discos temporários, caches e fluxos de dados entre os recursos de Computação e Armazenamento Por padrão, o SO e os discos de dados de uma máquina virtual são criptografados em repouso usando chaves gerenciadas pela plataforma. Os discos temporários, os caches de dados e os dados que fluem entre a computação e o armazenamento não são criptografados. Desconsidere essa recomendação se: 1. estiver usando a criptografia no host ou 2. a criptografia do lado do servidor no Managed Disks atender aos seus requisitos de segurança. Saiba mais em: Criptografia do servidor do Armazenamento em Disco do Azure: https://aka.ms/disksse,Diferentes ofertas de criptografia de disco: https://aka.ms/diskencryptioncomparison AuditIfNotExists, desabilitado 2.0.3
A extensão de Configuração de Convidado das máquinas virtuais deve ser implantada com a identidade gerenciada atribuída ao sistema A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no escopo desta política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída ao sistema. Saiba mais em https://aka.ms/gcpol AuditIfNotExists, desabilitado 1.0.1
As vulnerabilidades nas configurações de segurança do contêiner devem ser corrigidas Audite vulnerabilidades na configuração de segurança em computadores com o Docker instalado e exiba como recomendações na Central de Segurança do Azure. AuditIfNotExists, desabilitado 3.0.0
As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações AuditIfNotExists, desabilitado 3.1.0
As vulnerabilidades da configuração de segurança nos conjuntos de dimensionamento de máquinas virtuais devem ser corrigidas Faça a auditoria das vulnerabilidades do SO nos seus conjuntos de dimensionamento de máquinas virtuais para protegê-los contra ataques. AuditIfNotExists, desabilitado 3.0.0

Central de Segurança – Preços Granulares

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Configurar o Azure Defender para servidores a ser desabilitado para todos os recursos (nível de recurso) O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Essa política desabilitará o plano do Defender para servidores para todos os recursos (VMs, VMSSs e Máquinas de ARC), no escopo selecionado (assinatura ou grupo de recursos). DeployIfNotExists, desabilitado 1.0.0
Configurar o Azure Defender para servidores a ser desabilitado para recursos (nível de recurso) com a marca selecionada O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Essa política desabilitará o plano do Defender para servidores para todos os recursos (VMs, VMSSs e Máquinas de ARC), que têm o nome e os valores da marca selecionados. DeployIfNotExists, desabilitado 1.0.0
Configurar o Azure Defender para servidores a ser habilitado (subplano 'P1'), para todos os recursos (nível de recurso) com a marca selecionada O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Essa política habilitará o plano do Defender para servidores (com subplano 'P1'), para todos os recursos (VMs e Máquinas de ARC) que têm o nome da marca e os valores de marca selecionados. DeployIfNotExists, desabilitado 1.0.0
Configurar o Azure Defender para servidores a ser habilitado (com o subplano 'P1'), para todos os recursos (nível de recurso) O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. Essa política habilitará o plano do Defender para servidores (com subplano 'P1'), para todos os recursos (VMs e Máquinas de ARC), no escopo selecionado (assinatura ou grupo de recursos). DeployIfNotExists, desabilitado 1.0.0

Barramento de Serviço

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Todas as regras de autorização, exceto a RootManageSharedAccessKey, devem ser removidas do namespace do Barramento de Serviço Os clientes do Service Bus não devem usar uma diretiva de acesso no nível do namespace que forneça acesso a todas as filas e tópicos em um namespace. Para alinhar-se ao modelo de segurança com menos privilégios, você deve criar políticas de acesso no nível da entidade para que as filas e os tópicos forneçam acesso somente à entidade específica Audit, Deny, desabilitado 1.0.1
Namespaces do Barramento de Serviço do Azure devem ter métodos de autenticação local desabilitados Desabilitar os métodos de autenticação local aprimora a segurança, garantindo que os namespaces do Barramento de Serviço do Azure exijam identidades do Microsoft Entra ID exclusivamente para autenticação. Saiba mais em: https://aka.ms/disablelocalauth-sb. Audit, Deny, desabilitado 1.0.1
Os namespaces do Barramento de Serviço do Azure devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Barramento de Serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, desabilitado 1.0.0
Configurar namespaces do Barramento de Serviço do Azure para desabilitar a autenticação local Desabilite os métodos de autenticação local para que os namespaces do Barramento de ServiceBus do Azure exijam de modo exclusivo as identidades do Microsoft Entra ID para executar uma autenticação. Saiba mais em: https://aka.ms/disablelocalauth-sb. Modificar, Desabilitado 1.0.1
Configurar os namespaces do Barramento de Serviço para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver para namespaces do Barramento de Serviço. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. DeployIfNotExists, desabilitado 1.0.0
Configurar os namespaces do Barramento de Serviço com pontos de extremidade privados Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Se você mapear os pontos de extremidade privados para os namespaces do Barramento de Serviço, poderá reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. DeployIfNotExists, desabilitado 1.0.0
Os logs de recurso no Barramento de Serviço devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Os Namespaces do Barramento de Serviço devem desativar o acesso à rede pública O Barramento de Serviço do Azure deve ter o acesso à rede pública desabilitado. A desabilitação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service Audit, Deny, desabilitado 1.1.0
Os namespaces do Barramento de Serviço devem ter a criptografia dupla habilitada A habilitação da criptografia dupla ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando a criptografia dupla é habilitada, os dados da conta de armazenamento são criptografados duas vezes, uma vez no nível de serviço e outro no nível de infraestrutura, por meio de dois algoritmos de criptografia diferentes e duas chaves distintas. Audit, Deny, desabilitado 1.0.0
Os namespaces do Barramento de Serviço Premium devem usar uma chave gerenciada pelo cliente para criptografia O Barramento de Serviço do Azure dá suporte à opção de criptografar dados inativos com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite que você atribua, gire, desabilite e revogue o acesso às chaves que o Barramento de Serviço usará para criptografar dados em seu namespace. Observe que o Barramento de Serviço dá suporte apenas à criptografia com chaves gerenciadas pelo cliente para namespaces premium. Audit, desabilitado 1.0.0

Service Fabric

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente Audit, Deny, desabilitado 1.1.0
Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric Audit, Deny, desabilitado 1.1.0

SignalR

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Serviço do Azure SignalR deverá desabilitar o acesso à rede pública Para aprimorar a segurança do recurso do Serviço do Azure SignalR, verifique se ele não está exposto à uma Internet pública e pode ser acessado somente de um ponto de extremidade privado. Desabilite a propriedade de acesso à rede pública, conforme descrito em https://aka.ms/asrs/networkacls. Essa opção desabilitará o acesso de todos os espaços de endereços IP públicos fora do intervalo de IP do Azure, bem como negará logons que correspondam a regras de firewall baseadas em IP ou rede virtual. Isso reduzirá riscos de vazamento de dados. Audit, Deny, desabilitado 1.1.0
O serviço do Azure SignalR deve habilitar logs de diagnóstico Habilitação da auditoria de logs de diagnóstico. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 1.0.0
O Azure SignalR Service deve ter os métodos de autenticação local desabilitados Desabilitar os métodos de autenticação local melhora a segurança, garantindo que o Azure SignalR Service exija identidades do Azure Active Directory exclusivamente para autenticação. Audit, Deny, desabilitado 1.0.0
O Serviço do Azure SignalR deverá usar um SKU habilitado para Link Privado O Link Privado do Azure permite conectar sua rede virtual aos serviços do Azure sem usar um endereço IP público na origem, tampouco no destino. Isso protegerá seus recursos contra riscos de vazamento público de dados. A política limitará você aos SKUs habilitados para Link Privado para o Serviço do Azure SignalR. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Audit, Deny, desabilitado 1.0.0
O Serviço do Azure SignalR deve usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço do Azure SignalR em vez de todo o serviço, você reduzirá riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. Audit, desabilitado 1.0.0
Configurar o Serviço do Azure SignalR para desabilitar a autenticação local Desabilite os métodos de autenticação locais para que o Serviço do Azure SignalR exija de modo exclusivo as identidades do Azure Active Directory para autenticação. Modificar, Desabilitado 1.0.0
Configurar pontos de extremidade privados para o Serviço do Azure SignalR Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Se você mapear os pontos de extremidade privados para recursos do Serviço do Azure SignalR, poderá reduzir os riscos de vazamento de dados. Saiba mais em https://aka.ms/asrs/privatelink. DeployIfNotExists, desabilitado 1.0.0
Implantar – Configurar zonas DNS privadas para que pontos de extremidade privados se conectem ao Serviço do Azure SignalR Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas do recurso do Serviço do Azure SignalR. Saiba mais em: https://aka.ms/asrs/privatelink. DeployIfNotExists, desabilitado 1.0.0
Modificar recursos do Serviço do Azure SignalR para desabilitar o acesso à rede pública Para aprimorar a segurança do recurso do Serviço do Azure SignalR, verifique se ele não está exposto à uma Internet pública e pode ser acessado somente de um ponto de extremidade privado. Desabilite a propriedade de acesso à rede pública, conforme descrito em https://aka.ms/asrs/networkacls. Essa opção desabilitará o acesso de todos os espaços de endereços IP públicos fora do intervalo de IP do Azure, bem como negará logons que correspondam a regras de firewall baseadas em IP ou rede virtual. Isso reduzirá riscos de vazamento de dados. Modificar, Desabilitado 1.1.0

Site Recovery

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: configurar os cofres dos Serviços de Recuperação do Azure para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver para cofres dos Serviços de Recuperação. Saiba mais em: https://aka.ms/privatednszone. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: configurar pontos de extremidade privados em cofres dos Serviços de Recuperação do Azure Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Ao mapear pontos de extremidade privados para os recursos de recuperação de site dos cofres dos Serviços de Recuperação, você pode reduzir os riscos de perda de dados. Para usar links privados, a identidade do serviço gerenciado precisa ser atribuída aos cofres dos Serviços de Recuperação. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os cofres dos Serviços de Recuperação do Azure devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para os cofres dos Serviços de Recuperação do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados para o Azure Site Recovery em: https://aka.ms/HybridScenarios-PrivateLink e https://aka.ms/AzureToAzure-PrivateLink. Audit, desabilitado 1.0.0 – versão prévia

SQL

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um administrador do Microsoft Entra deve ser provisionado para servidores MySQL Audite o provisionamento de um administrador do Microsoft Entra para seu servidor MySQL para habilitar a autenticação do Microsoft Entra. A autenticação do Microsoft Entra permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft AuditIfNotExists, desabilitado 1.1.1
Um administrador do Microsoft Entra deve ser provisionado para servidores PostgreSQL Audite o provisionamento de um administrador do Microsoft Entra para seu servidor PostgreSQL para habilitar a autenticação do Microsoft Entra. A autenticação do Microsoft Entra permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft AuditIfNotExists, desabilitado 1.0.1
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft AuditIfNotExists, desabilitado 1.0.0
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desabilitado 2.0.0
O Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos Auditar servidores SQL sem Segurança de Dados Avançada AuditIfNotExists, desabilitado 2.0.1
O Azure Defender para SQL deve ser habilitado para Instâncias Gerenciadas de SQL desprotegidas Audite cada Instância Gerenciada de SQL sem a segurança de dados avançada. AuditIfNotExists, desabilitado 1.0.2
O servidor flexível do MySQL do Azure deve ter a Autenticação Somente do Microsoft Entra habilitada Desabilitar os métodos de autenticação local e permitir apenas a autenticação do Microsoft Entra melhora a segurança, garantindo que o servidor flexível do MySQL do Azure possam ser acessadas exclusivamente pelas identidades do Microsoft Entra. AuditIfNotExists, desabilitado 1.0.1
O Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente Definir a versão do TLS como 1.2 ou mais recente aprimora a segurança garantindo que seu Banco de Dados SQL do Azure só possa ser acessado de clientes que usam o TLS 1.2 ou mais recente. O uso de versões do TLS inferiores à 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. Auditoria, desabilitado, negação 2.0.0
O Banco de Dados SQL do Azure deve ter a autenticação somente do Microsoft Entra habilitada Exigir que os servidores lógicos de SQL do Azure usem a autenticação somente do Microsoft Entra. Essa política não impede que os servidores sejam criados com a autenticação local habilitada. Ela impede que a autenticação local seja habilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. Audit, Deny, desabilitado 1.0.0
O Banco de Dados SQL do Azure deve ter a autenticação somente do Microsoft Entra habilitada durante a criação Exigir que os servidores lógicos do SQL do Azure sejam criados com a autenticação somente do Microsoft Entra. Essa política não impede que a autenticação local seja reabilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. Audit, Deny, desabilitado 1.2.0
A Instância Gerenciada de SQL do Azure deve ter a autenticação somente do Microsoft Entra habilitada Exigir que a Instância Gerenciada de SQL do Azure use a autenticação somente do Microsoft Entra. Essa política não impede que instâncias gerenciadas de SQL do Azure sejam criadas com a autenticação local habilitada. Ela impede que a autenticação local seja habilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. Audit, Deny, desabilitado 1.0.0
As Instâncias Gerenciadas de SQL do Azure devem desabilitar o acesso à rede pública Desabilitar o acesso à rede pública (ponto de extremidade público) em Instância Gerenciada de SQL do Azure melhora a segurança, garantindo que elas só possam ser acessadas de dentro de suas redes virtuais ou por meio de pontos de extremidade privados. Para saber mais sobre o acesso à rede pública, visite https://aka.ms/mi-public-endpoint. Audit, Deny, desabilitado 1.0.0
Instâncias gerenciada de SQL do Azure devem ter a autenticação somente do Microsoft Entra habilitada durante a criação Exigir que a Instância Gerenciada de SQL do Azure seja criada com a autenticação somente do Microsoft Entra. Essa política não impede que a autenticação local seja reabilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. Audit, Deny, desabilitado 1.2.0
Configurar a Proteção Avançada contra Ameaças como habilitada no banco de dados do Azure para servidores MariaDB Habilite a Proteção Avançada contra Ameaças nos seus bancos de dados do Azure de nível Não Básico para que os servidores MariaDB detectem atividades anômalas que indiquem tentativas incomuns e possivelmente prejudiciais no sentido de acessar ou explorar bancos de dados. DeployIfNotExists, desabilitado 1.2.0
Configurar a Proteção Avançada contra Ameaças como habilitada no banco de dados do Azure para servidores MySQL Habilite a Proteção Avançada contra Ameaças nos seus bancos de dados do Azure de nível Não Básico para que os servidores MySQL detectem atividades anômalas que indiquem tentativas incomuns e possivelmente prejudiciais no sentido de acessar ou explorar bancos de dados. DeployIfNotExists, desabilitado 1.2.0
Configurar a Proteção Avançada contra Ameaças como habilitada no banco de dados do Azure para servidores PostgreSQL Habilite a Proteção Avançada contra Ameaças nos seus bancos de dados do Azure de nível Não Básico para que os servidores PostgreSQL detectem atividades anômalas que indiquem tentativas incomuns e possivelmente prejudiciais no sentido de acessar ou explorar bancos de dados. DeployIfNotExists, desabilitado 1.2.0
Configurar o Azure Defender para ser habilitado em instâncias gerenciadas de SQL Habilite o Azure Defender em suas Instâncias Gerenciadas de SQL do Azure para detectar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. DeployIfNotExists, desabilitado 2.0.0
Configurar o Azure Defender para ser habilitado em servidores SQL Habilite o Azure Defender em seus Servidores SQL do Azure para detectar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. DeployIfNotExists 2.1.0
Definir as configurações de diagnóstico dos servidores de banco de dados SQL do Azure para o workspace do Log Analytics Habilita os logs de auditoria do servidor do Banco de Dados SQL do Azure e transmite os logs para um workspace do Log Analytics quando qualquer SQL Server ausente dessa auditoria é criado ou atualizado DeployIfNotExists, desabilitado 1.0.2
Configurar o SQL Server do Azure para desabilitar o acesso à rede pública A desabilitação da propriedade de acesso à rede pública desliga a conectividade pública, de modo que o SQL Server do Azure pode ser acessado somente de um ponto de extremidade privado. Essa configuração desabilita o acesso à rede pública para todos os bancos de dados no SQL Server do Azure. Modificar, Desabilitado 1.0.0
Configurar o SQL Server do Azure para habilitar conexões de ponto de extremidade privado Uma conexão de ponto de extremidade privado permite a conectividade privada com o Banco de Dados SQL do Azure por meio de um endereço IP privado dentro de uma rede virtual. Essa configuração aprimora a sua postura de segurança e dá suporte a ferramentas e cenários de rede do Azure. DeployIfNotExists, desabilitado 1.0.0
Configurar os SQL Server para a habilitação da auditoria Para garantir que as operações executadas nos ativos do SQL sejam capturadas, os servidores SQL devem ter a auditoria habilitada. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. DeployIfNotExists, desabilitado 3.0.0
Configurar servidores SQL para que a auditoria seja habilitada no workspace do Log Analytics Para garantir que as operações executadas nos ativos do SQL sejam capturadas, os servidores SQL devem ter a auditoria habilitada. Quando a auditoria não está habilitada, essa política configura eventos de auditoria para fluir para o workspace do Log Analytics especificado. DeployIfNotExists, desabilitado 1.0.0
A limitação de conexão deve estar habilitada para os servidores de banco de dados PostgreSQL Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem a limitação de conexão habilitada. Essa configuração permite a otimização temporária da conexão por IP para muitas falhas inválidas de login de senha. AuditIfNotExists, desabilitado 1.0.0
Implantar – definir configurações de diagnóstico de Bancos de Dados SQL para o workspace do Log Analytics Implanta as configurações de diagnóstico de Bancos de Dados SQL para transmissão de logs de recurso para um workspace do Log Analytics ao criar ou atualizar qualquer Banco de Dados SQL em que as configurações de diagnóstico estão ausentes. DeployIfNotExists, desabilitado 4.0.0
Implantar Segurança de Dados Avançada em servidores SQL Essa política habilitar a Segurança de Dados Avançada em servidores SQL. Isso inclui ativar a Detecção de Ameaças e a Avaliação de Vulnerabilidades. Será criada automaticamente uma conta de armazenamento na mesma região e grupo de recursos que o servidor SQL para armazenar os resultados da verificação, com um prefixo "sqlva". DeployIfNotExists 1.3.0
Implantar as Configurações de Diagnóstico do Banco de Dados SQL do Azure no Hub de Eventos Implanta as configurações de diagnóstico do Banco de Dados SQL do Azure a serem transmitidas para um Hub de Eventos regional em qualquer Banco de Dados SQL do Azure criado ou atualizado que não tenha essas configurações de diagnóstico. DeployIfNotExists 1.2.0
Implantar a Transparent Data Encryption no BD SQL Habilita a transparent data encryption nos bancos de dados SQL DeployIfNotExists, desabilitado 2.2.0
As desconexões devem ser registradas em log para os servidores de banco de dados PostgreSQL. Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem log_disconnections habilitada. AuditIfNotExists, desabilitado 1.0.0
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL O Banco de Dados do Azure para MySQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para MySQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. Audit, desabilitado 1.0.1
'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL O Banco de Dados do Azure para PostgreSQL dá suporte à conexão de seu servidor de Banco de Dados do Azure para PostgreSQL para aplicativos cliente usando o protocolo SSL. Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. Audit, desabilitado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são armazenados apenas na região em que o servidor está hospedado, mas também é replicado para uma região emparelhada para dar a opção de recuperação em caso de falha de região. A configuração do armazenamento com redundância geográfica para backup só é permitida durante a criação do servidor. Audit, desabilitado 1.0.1
A criptografia de infraestrutura deve ser habilitada para servidores do Banco de Dados do Azure para MySQL Habilite a criptografia de infraestrutura para os servidores do Banco de Dados do Azure para MySQL terem um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas da Microsoft em conformidade com o FIPS 140-2. Audit, Deny, desabilitado 1.0.0
A criptografia de infraestrutura deve ser habilitada para servidores do Banco de Dados do Azure para PostgreSQL Habilite a criptografia de infraestrutura para os servidores do Banco de Dados do Azure para PostgreSQL terem um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas da Microsoft em conformidade com o FIPS 140-2 Audit, Deny, desabilitado 1.0.0
Os pontos de verificação de log devem ser habilitados para os servidores de banco de dados PostgreSQL Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem a configuração log_checkpoints habilitada. AuditIfNotExists, desabilitado 1.0.0
As conexões de log devem ser habilitadas para os servidores de banco de dados PostgreSQL Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem a configuração log_connections habilitada. AuditIfNotExists, desabilitado 1.0.0
A duração do log deve ser habilitada para os servidores de banco de dados PostgreSQL Esta política ajuda a auditar os bancos de dados PostgreSQL no ambiente sem a configuração log_duration habilitada. AuditIfNotExists, desabilitado 1.0.0
O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure Esta política audita qualquer Banco de Dados SQL do Azure em que a opção de backup com redundância geográfica de longo prazo não está habilitada. AuditIfNotExists, desabilitado 2.0.0
O servidor MariaDB deve usar um ponto de extremidade de serviço de rede virtual As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados do Azure para MariaDB e ainda garantir que o tráfego permaneça dentro do limite do Azure. Essa política oferece uma forma de auditar se o Banco de Dados do Azure para MariaDB tem um ponto de extremidade de serviço de rede virtual em uso. AuditIfNotExists, desabilitado 1.0.2
O servidor MySQL deve usar um ponto de extremidade de serviço de rede virtual As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados do Azure para MySQL e ainda garantir que o tráfego permaneça dentro do limite do Azure. Essa política oferece uma forma de auditar se o Banco de Dados do Azure para MySQL tem um ponto de extremidade de serviço de rede virtual em uso. AuditIfNotExists, desabilitado 1.0.2
Os servidores MySQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores MySQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. AuditIfNotExists, desabilitado 1.0.4
O servidor PostgreSQL deve usar um ponto de extremidade de serviço de rede virtual As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados do Azure para PostgreSQL e ainda garantir que o tráfego permaneça dentro do limite do Azure. Essa política oferece uma forma de auditar se o Banco de Dados do Azure para PostgreSQL tem um ponto de extremidade de serviço de rede virtual em uso. AuditIfNotExists, desabilitado 1.0.2
Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. AuditIfNotExists, desabilitado 1.0.4
As conexões de ponto de extremidade privado nos Banco de Dados SQL do Azure devem ser habilitadas As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados SQL do Azure. Audit, desabilitado 1.1.0
O ponto de extremidade privado deve ser habilitado para servidores MariaDB As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
O ponto de extremidade privado deve ser habilitado para servidores MySQL As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
O ponto de extremidade privado deve ser habilitado para servidores PostgreSQL As conexões de ponto de extremidade privado impõem comunicações seguras habilitando a conectividade privada ao Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente somente de redes conhecidas e impedir o acesso de todos os outros endereços IP, incluindo no Azure. AuditIfNotExists, desabilitado 1.0.2
O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou em IP. Audit, Deny, desabilitado 1.1.0
O acesso à rede pública deve ser desabilitado para servidores MariaDB Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. Audit, Deny, desabilitado 2.0.0
O acesso à rede pública deve ser desabilitado para servidores flexíveis do MySQL Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados do Azure para servidores flexíveis do MySQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. Audit, Deny, desabilitado 2.1.0
O acesso à rede pública deve ser desabilitado para servidores MySQL Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para MySQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. Audit, Deny, desabilitado 2.0.0
O acesso à rede pública deve ser desabilitado para servidores flexíveis do PostgreSQL Desabilitar a propriedade de acesso à rede pública aprimora a segurança garantindo que o Banco de Dados do Azure para servidores flexíveis do PostgreSQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. Audit, Deny, desabilitado 3.0.1
O acesso à rede pública deve ser desabilitado para servidores PostgreSQL Desabilitar a propriedade de acesso à rede pública aprimora a segurança e garantir que o Banco de Dados do Azure para PostgreSQL só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou em rede virtual. Audit, Deny, desabilitado 2.0.1
As configurações de Auditoria do SQL devem ter grupos de ações configurados para capturar atividades críticas A propriedade AuditActionsAndGroups deve conter pelo menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP e BATCH_COMPLETED_GROUP para garantir um log de auditoria completo AuditIfNotExists, desabilitado 1.0.0
O Banco de Dados SQL deve evitar o uso de redundância de backup de GRS Os bancos de dados deverão evitar o uso do armazenamento com redundância geográfica padrão para backups se as regras de residência de dados exigirem que os dados fiquem dentro de uma região específica. Observação: O Azure Policy não é imposto ao criar um banco de dados usando o T-SQL. Se não for especificado explicitamente, o banco de dados com armazenamento de backup com redundância geográfica será criado por meio de T-SQL. Deny, Desabilitado 2.0.0
A Instância Gerenciada de SQL deve ter a versão mínima 1.2 do TLS Definir a versão mínima do TLS como 1.2 aprimora a segurança garantindo que a Instância Gerenciada de SQL possa ser acessada somente de clientes que usam o TLS 1.2. O uso de versões do TLS inferiores à 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. Audit, desabilitado 1.0.1
As Instâncias Gerenciadas do SQL devem evitar o uso de redundância de backup de GRS As instâncias gerenciadas deverão evitar o uso do armazenamento com redundância geográfica padrão para backups se as regras de residência de dados exigirem que os dados fiquem dentro de uma região específica. Observação: O Azure Policy não é imposto ao criar um banco de dados usando o T-SQL. Se não for especificado explicitamente, o banco de dados com armazenamento de backup com redundância geográfica será criado por meio de T-SQL. Deny, Desabilitado 2.0.0
As instâncias gerenciadas de SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Implementar a TDE (Transparent Data Encryption) com chave própria proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. Audit, Deny, desabilitado 2.0.0
Os SQL Servers devem usar chaves gerenciadas pelo cliente para criptografar dados inativos Implementar a TDE (Transparent Data Encryption) com sua chave proporciona maior transparência e controle sobre o protetor de TDE, mais segurança com um serviço externo com suporte a HSM e promoção de separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. Audit, Deny, desabilitado 2.0.1
Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou mais Para fins de investigação de incidentes, é recomendável configurar a retenção de dados para a auditoria do SQL Server no destino de conta de armazenamento para pelo menos 90 dias. Confirme que você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. AuditIfNotExists, desabilitado 3.0.0
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade AuditIfNotExists, desabilitado 2.0.0
A regra de firewall de rede virtual no Banco de Dados SQL do Azure deve ser habilitada para permitir o tráfego da sub-rede especificada As regras de firewall baseadas em rede virtual são usadas para habilitar o tráfego de uma sub-rede específica para o Banco de Dados SQL do Azure e ainda garantir que o tráfego permaneça dentro do limite do Azure. AuditIfNotExists 1.0.0
A avaliação de vulnerabilidades deve estar habilitada na Instância Gerenciada de SQL Audite cada Instância Gerenciada de SQL que não tem verificações recorrentes de avaliação de vulnerabilidade habilitadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 1.0.1
A avaliação da vulnerabilidade deve ser habilitada nos servidores SQL Audite os servidores SQL do Azure sem verificações recorrentes de avaliação de vulnerabilidade ativadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 3.0.0

Instância Gerenciada de SQL

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
A criptografia de chave gerenciada pelo cliente deve ser usada como parte da Criptografia CMK para instâncias gerenciadas do Arc SQL. Como parte da criptografia CMK, a criptografia de chave gerenciada pelo Cliente deve ser usada. Saiba mais em https://aka.ms/EnableTDEArcSQLMI. Audit, desabilitado 1.0.0
O protocolo TLS 1.2 deve ser usado para instâncias gerenciadas do Arc SQL. Como parte das configurações de rede, a Microsoft recomenda permitir apenas o TLS 1.2 para protocolos TLS em Servidores SQL. Saiba mais sobre as configurações de rede do SQL Server em https://aka.ms/TlsSettingsSQLServer. Audit, desabilitado 1.0.0
A Transparent Data Encryption deve estar habilitada para instâncias gerenciadas do Arc SQL. Habilite a criptografia de dados transparente (TDE) em repouso em uma Instância Gerenciada de SQL habilitada para o Azure Arc. Saiba mais em https://aka.ms/EnableTDEArcSQLMI. Audit, desabilitado 1.0.0

SQL Server

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: habilitar a identidade atribuída pelo sistema à VM do SQL Habilite a identidade atribuída pelo sistema em escala para máquinas virtuais do SQL. Você precisa atribuir essa política no nível da assinatura. Atribuir no nível do grupo de recursos não funcionará conforme o esperado. DeployIfNotExists, desabilitado 1.0.0 – versão prévia
Configurar servidores habilitados para Arc com a extensão SQL Server instalada para habilitar ou desabilitar as práticas recomendadas de avaliação do SQL. Habilite ou desabilite as práticas recomendadas de avaliação do SQL nas instâncias do SQL Server em seus servidores habilitados para Arc para avaliar as práticas recomendadas. Saiba mais em https://aka.ms/azureArcBestPracticesAssessment. DeployIfNotExists, desabilitado 1.0.1
Assinar instâncias qualificadas dos SQL Servers habilitadas para Arc nas Atualizações de Segurança Estendidas. Assine as instâncias qualificadas dos SQL Servers habilitadas para Arc com o Tipo de Licença definido como Pago ou Pagamento Conforme o Uso nas Atualizações de Segurança Estendidas. Mais sobre as Atualizações de Segurança Estendidas https://go.microsoft.com/fwlink/?linkid=2239401. DeployIfNotExists, desabilitado 1.0.0

Stack HCI

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: os servidores do Azure Stack HCI devem ter políticas de controle de aplicativo implementadas com consistência No mínimo, aplique a política básica do WDAC da Microsoft no modo implementado em todos os servidores do Azure Stack HCI. As políticas aplicadas do Controle de Aplicativos do Windows Defender (WDAC) devem ser consistentes em todos os servidores do mesmo cluster. Audit, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os servidores do Azure Stack HCI devem cumprir os requisitos de núcleo seguro Certifique-se de que todos os servidores do Azure Stack HCI cumpram os requisitos de núcleo seguro. Para habilitar os requisitos de servidor de núcleo protegido: 1. Na página de clusters do Azure Stack HCI, acesse o Windows Admin Center e selecione Conectar. 2. Acesse a extensão Segurança e selecione Núcleo Protegido. 3. Selecione qualquer configuração que não esteja habilitada e clique em Habilitar. Audit, desabilitado 1.0.0 – versão prévia
[Versão prévia]: os sistemas do Azure Stack HCI devem ter volumes criptografados Usar o BitLocker para criptografar o sistema operacional e os volumes de dados nos sistemas do Azure Stack HCI. Audit, desabilitado 1.0.0 – versão prévia
[Versão prévia]: a rede do host e de VMs deve ser protegida nos sistemas do Azure Stack HCI Proteja os dados na rede do host do Azure Stack HCI e nas conexões da rede de máquinas virtuais. Audit, desabilitado 1.0.0 – versão prévia

Armazenamento

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: O acesso público da conta de armazenamento não deve ser permitido O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 3.1.0 – versão prévia
A Sincronização de Arquivos do Azure deve usar o link privado A criação de um ponto de extremidade privado para o recurso de Serviço de Sincronização de Armazenamento indicado permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privado da rede da sua organização e não por meio do ponto de extremidade público acessível à Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. AuditIfNotExists, desabilitado 1.0.0
Os Volumes SMB do Azure NetApp Files devem usar criptografia SMB3 Não permitir a criação de Volumes SMB sem criptografia SMB3 para garantir a integridade e a privacidade dos dados. Audit, Deny, desabilitado 1.0.0
Volumes do Azure NetApp Files do tipo NFSv4.1 devem usar a criptografia de dados Kerberos Permita apenas o uso do modo de segurança de privacidade Kerberos (5p) para garantir que os dados sejam criptografados. Audit, Deny, desabilitado 1.0.0
Volumes do Azure NetApp Files do tipo NFSv4.1 devem usar integridade ou privacidade de dados Kerberos Verifique se pelo menos a integridade do Kerberos (krb5i) ou a privacidade do Kerberos (krb5p) está selecionada para garantir a integridade e a privacidade dos dados. Audit, Deny, desabilitado 1.0.0
Volumes do Azure NetApp Files não devem usar o tipo de protocolo NFSv3 Não permita o uso do tipo de protocolo NFSv3 para impedir o acesso não seguro a volumes. O NFSv4.1 com o protocolo Kerberos deve ser usado para acessar volumes NFS para garantir a integridade e a criptografia dos dados. Audit, Deny, desabilitado 1.0.0
Configurar um ID de zona DNS privada para groupID de blob Configure o grupo de zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado groupID de blob. DeployIfNotExists, desabilitado 1.0.0
Configurar um ID de zona DNS privadas para blob_secondary groupID Configure o grupo de zonas DNS privadas para substituir uma resolução DNS para um ponto de extremidade privado blob_secondary groupID. DeployIfNotExists, desabilitado 1.0.0
Configurar um ID de zona DNS privada para dfs groupID Configure o grupo de zonas DNS privada para substituir a resolução DNS para um ponto de extremidade privado dfs groupID. DeployIfNotExists, desabilitado 1.0.0
Configurar um ID de zona DNS privada para dfs_secondary groupID Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado dfs_secondary groupID. DeployIfNotExists, desabilitado 1.0.0
Configurar uma ID de zona DNS privada para a groupID do arquivo Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado da groupID de arquivo. DeployIfNotExists, desabilitado 1.0.0
Configurar uma ID de zona DNS privada para a groupID da Configure o grupo de zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado de groupID de fila. DeployIfNotExists, desabilitado 1.0.0
Configurar uma ID de zona DNS privada para a groupID de queue_secondary Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado da groupID de queue_secondary. DeployIfNotExists, desabilitado 1.0.0
Configurar uma ID de zona DNS privada para a groupID da tabela Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado da groupID de tabela. DeployIfNotExists, desabilitado 1.0.0
Configurar uma ID de zona DNS privada para a groupID de table_secondary Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado da groupID de table_secondary. DeployIfNotExists, desabilitado 1.0.0
Configurar uma ID de zona DNS privada para a groupID da Web Configure o grupo de zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado do groupID da Web. DeployIfNotExists, desabilitado 1.0.0
Configurar uma ID de zona DNS privada para a groupID de web_secondary Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado da groupID de web_secondary. DeployIfNotExists, desabilitado 1.0.0
Configurar a Sincronização de Arquivos do Azure para usar zonas DNS privadas Para acessar os pontos de extremidade privados para as interfaces de recurso do Serviço de Sincronização de Armazenamento de um servidor registrado, você precisa configurar o DNS para resolver os nomes corretos para os endereços IP privados do seu ponto de extremidade privado. Essa política cria os registros exigidos A e Zona DNS privada do Azure para as interfaces do ponto de extremidade privado do Serviço de Sincronização de Armazenamento. DeployIfNotExists, desabilitado 1.1.0
Configurar a Sincronização de Arquivos do Azure com pontos de extremidade privados Um ponto de extremidade privado é implantado para o recurso de Serviço de Sincronização de Armazenamento indicado. Isso permite que você resolva o recurso do Serviço de Sincronização de Armazenamento no espaço de endereços IP privados da rede da sua organização, em vez de pelo ponto de extremidade público acessível pela Internet. A existência de um ou mais pontos de extremidade privados, por si só, não desabilita o ponto de extremidade público. DeployIfNotExists, desabilitado 1.0.0
Definir as configurações de diagnóstico do serviço Blob para o workspace do Log Analytics Implanta as configurações de diagnóstico do serviço Blob para transmitir logs de recurso a um workspace do Log Analytics quando um serviço Blob sem essas configurações de diagnóstico for criado ou atualizado. DeployIfNotExists, AuditIfNotExists, Desabilitado 4.0.0
Definir as configurações de diagnóstico do serviço Arquivos para o workspace do Log Analytics Implanta as configurações de diagnóstico do serviço Arquivos para transmitir logs de recurso a um workspace do Log Analytics quando um serviço Arquivos sem essas configurações de diagnóstico for criado ou atualizado. DeployIfNotExists, AuditIfNotExists, Desabilitado 4.0.0
Definir as configurações de diagnóstico do serviço Filas para o workspace do Log Analytics Implanta as configurações de diagnóstico do serviço Fila para transmitir logs de recurso a um workspace do Log Analytics quando um serviço Fila sem essas configurações de diagnóstico for criado ou atualizado. Observação: essa política não é disparada após a criação da Conta de Armazenamento e requer a criação de uma tarefa de correção para atualizar na conta. DeployIfNotExists, AuditIfNotExists, Desabilitado 4.0.1
Definir as configurações de diagnóstico das contas de armazenamento para o workspace do Log Analytics Implanta as configurações de diagnóstico para transmitir os logs de recurso a um workspace do Log Analytics quando uma conta de armazenamento sem essas configurações de diagnóstico for criada ou atualizada. DeployIfNotExists, AuditIfNotExists, Desabilitado 4.0.0
Definir as configurações de diagnóstico do serviço Tabelas para o workspace do Log Analytics Implanta as configurações de diagnóstico do serviço Tabela para transmitir logs de recurso a um workspace do Log Analytics quando um serviço Tabela sem essas configurações de diagnóstico for criado ou atualizado. Observação: essa política não é disparada após a criação da Conta de Armazenamento e requer a criação de uma tarefa de correção para atualizar na conta. DeployIfNotExists, AuditIfNotExists, Desabilitado 4.0.1
Configurar a transferência segura de dados em uma conta de armazenamento A transferência segura é uma opção que força a conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão Modificar, Desabilitado 1.0.0
Configurar a Conta de armazenamento para usar uma conexão de link privado Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Se você mapear os pontos de extremidade privados para a conta de armazenamento, poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview DeployIfNotExists, desabilitado 1.0.0
Configurar contas de armazenamento para desabilitar o acesso à rede pública Para aprimorar a segurança das contas de armazenamento, verifique se elas não estão expostas à Internet pública e podem ser acessadas somente em um ponto de extremidade privado. Desabilite a propriedade de acesso à rede pública, conforme descrito em https://aka.ms/storageaccountpublicnetworkaccess. Essa opção desabilitará o acesso de todos os espaços de endereços IP públicos fora do intervalo de IP do Azure, bem como negará logons que correspondam a regras de firewall baseadas em IP ou rede virtual. Isso reduzirá riscos de vazamento de dados. Modificar, Desabilitado 1.0.1
Configurar o acesso público à conta de armazenamento como não permitido O acesso de leitura público anônimo a contêineres e blobs no Armazenamento do Azure é uma forma conveniente de compartilhar dados, mas pode representar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que o seu cenário exija isso. Modificar, Desabilitado 1.0.0
Configure sua conta de Armazenamento para habilitar o controle de versão do blob Você pode habilitar o controle de versão do Armazenamento de Blobs para manter automaticamente as versões anteriores de um objeto. Quando o controle de versão de blobs estiver habilitado, você poderá acessar as versões anteriores de um blob para recuperar os dados, caso tenham sido modificados ou excluídos. Audit, Deny, desabilitado 1.0.0
Implantar o Defender para Armazenamento (Clássico) em contas de armazenamento Essa política ativa o Defender para Armazenamento (Clássico) em contas de armazenamento. DeployIfNotExists, desabilitado 1.0.1
O armazenamento com redundância geográfica deve ser habilitado para Contas de Armazenamento Usar a redundância geográfica para criar aplicativos altamente disponíveis Audit, desabilitado 1.0.0
As contas do HPC Cache devem usar uma chave gerenciada pelo cliente para criptografia Gerencie a criptografia em repouso do Azure HPC Cache com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Auditoria, desabilitado, negação 2.0.0
Modificar – configurar a Sincronização de Arquivos do Azure para desabilitar o acesso à rede pública Os pontos de extremidade públicos acessíveis pela Internet da Sincronização de Arquivos do Azure são desabilitados pela sua política organizacional. Você ainda pode acessar o serviço de sincronização de armazenamento por meio dos respectivos pontos de extremidade privados. Modificar, Desabilitado 1.0.0
Modificar - Configure sua conta de armazenamento para habilitar o controle de versão de blob Você pode habilitar o controle de versão do Armazenamento de Blobs para manter automaticamente as versões anteriores de um objeto. Quando o controle de versão de blobs estiver habilitado, você poderá acessar as versões anteriores de um blob para recuperar os dados, caso tenham sido modificados ou excluídos. Observe que as contas de armazenamento existentes não serão modificadas para habilitar o controle de versão do armazenamento Blobs. Apenas contas de armazenamento recém-criadas terão o controle de versão do armazenamento de blobs ativado Modificar, Desabilitado 1.0.0
O acesso à rede pública deve ser desabilitado para a Sincronização de Arquivos do Azure A desabilitação do ponto de extremidade público permite restringir o acesso ao seu recurso de Serviço de Sincronização de Armazenamento a solicitações destinadas a pontos de extremidade privados aprovados na rede da sua organização. Não há nada inerentemente não seguro sobre a permissão de solicitações para o ponto de extremidade público. No entanto, talvez você queira desabilitá-lo para atender a requisitos regulatórios, legais ou de política organizacional. Você pode desabilitar o ponto de extremidade público para um serviço de sincronização de armazenamento definindo o incomingTrafficPolicy do recurso como AllowVirtualNetworksOnly. Audit, Deny, desabilitado 1.0.0
O Armazenamento de Filas deve usar chave gerenciada pelo cliente para criptografia Proteja seu armazenamento de filas com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. Audit, Deny, desabilitado 1.0.0
A transferência segura para contas de armazenamento deve ser habilitada Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão Audit, Deny, desabilitado 2.0.0
Os escopos de criptografia de conta de armazenamento devem usar chaves gerenciadas pelo cliente para criptografar os dados inativos Use as chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos escopos de criptografia da conta de armazenamento. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Azure Key Vault criada por você e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre os escopos de criptografia da conta de armazenamento em https://aka.ms/encryption-scopes-overview. Audit, Deny, desabilitado 1.0.0
Os escopos de criptografia de conta de armazenamento devem usar criptografia dupla para os dados inativos Habilite a criptografia de infraestrutura para criptografia em repouso em seus escopos de criptografia de conta de armazenamento para maior segurança. A criptografia de infraestrutura garante que seus dados sejam criptografados duas vezes. Audit, Deny, desabilitado 1.0.0
As chaves da conta de armazenamento não devem expirar Verifique se as chaves da conta de armazenamento do usuário não expiraram quando a política de expiração de chave é definida a fim de melhorar a segurança das chaves de conta com a execução de uma ação quando as chaves expiram. Audit, Deny, desabilitado 3.0.0
As contas de armazenamento devem permitir o acesso de serviços confiáveis da Microsoft Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes que não podem ter o acesso concedido por meio de regras de rede. Para ajudar esse tipo de serviço a funcionar como esperado, você pode permitir que o conjunto de serviços Microsoft confiáveis ignore as regras de rede. Esses serviços usarão então a autenticação forte para acessar a conta de armazenamento. Audit, Deny, desabilitado 1.0.0
As contas de armazenamento devem ser limitadas por SKUs permitidos Restrinja o conjunto de SKUs de conta de armazenamento que a sua organização pode implantar. Audit, Deny, desabilitado 1.1.0
As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: controle de acesso (RBAC) mais forte, melhor auditoria, implantação e controle com base no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves por segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança Audit, Deny, desabilitado 1.0.0
As contas de armazenamento devem desabilitar o acesso à rede pública Para aprimorar a segurança das contas de armazenamento, verifique se elas não estão expostas à Internet pública e podem ser acessadas somente em um ponto de extremidade privado. Desabilite a propriedade de acesso à rede pública, conforme descrito em https://aka.ms/storageaccountpublicnetworkaccess. Essa opção desabilitará o acesso de todos os espaços de endereços IP públicos fora do intervalo de IP do Azure, bem como negará logons que correspondam a regras de firewall baseadas em IP ou rede virtual. Isso reduzirá riscos de vazamento de dados. Audit, Deny, desabilitado 1.0.1
As contas de armazenamento devem ter criptografia de infraestrutura Habilite a criptografia de infraestrutura para um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. Audit, Deny, desabilitado 1.0.0
As contas de armazenamento devem ter as políticas de SAS (assinatura de acesso compartilhado) configuradas Verifique se as contas de armazenamento têm a política de expiração de SAS (assinatura de acesso compartilhado) habilitada. Os usuários usam uma SAS para delegar o acesso a recursos na conta de Armazenamento Azure. E a política de expiração de SAS recomenda o limite de expiração quando um usuário cria um token SAS. Audit, Deny, desabilitado 1.0.0
Contas de armazenamento devem ter a versão mínima do TLS especificada Configure uma versão mínima do TLS para estabelecer uma comunicação segura entre o aplicativo cliente e a conta de armazenamento. Para minimizar o risco de segurança, a versão mínima recomendada do TLS é a mais recente lançada, que é o TLS 1.2. Audit, Deny, desabilitado 1.0.0
As contas de armazenamento devem impedir a replicação de objetos entre locatários Audite a restrição da replicação de objetos para sua conta de armazenamento. Por padrão, os usuários podem configurar a replicação de objetos com uma conta de armazenamento de origem em um locatário do Azure AD e uma conta de destino em um locatário diferente. Trata-se de uma preocupação de segurança porque os dados do cliente podem ser replicados para uma conta de armazenamento que pertence ao cliente. Ao definir allowCrossTenantReplication como false, a replicação de objetos poderá ser configurada somente se as contas de origem e de destino estiverem no mesmo locatário do Azure AD. Audit, Deny, desabilitado 1.0.0
As contas de armazenamento devem impedir o acesso de chave compartilhada Requisito de auditoria do Azure AD (Azure Active Directory) para autorizar solicitações para sua conta de armazenamento. Por padrão, as solicitações podem ser autorizadas com as credenciais do Azure Active Directory ou usando a chave de acesso da conta para a autorização de chave compartilhada. Desses dois tipos de autorização, o Azure AD fornece segurança superior e facilidade de uso em relação à chave compartilhada e é recomendado pela Microsoft. Audit, Deny, desabilitado 2.0.0
As contas de armazenamento devem restringir o acesso da rede O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet Audit, Deny, desabilitado 1.1.1
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual Proteja suas contas de armazenamento contra possíveis ameaças usando regras de rede virtual como um método preferencial, em vez de filtragem baseada em IP. Desabilitar filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. Audit, Deny, desabilitado 1.0.1
As contas de armazenamento devem usar uma chave gerenciada pelo cliente para criptografia Proteja sua conta de armazenamento de blobs e arquivos com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. Audit, desabilitado 1.0.3
As contas de armazenamento devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para a conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em https://aka.ms/azureprivatelinkoverview AuditIfNotExists, desabilitado 2.0.0
O Armazenamento de Tabelas deve usar a chave gerenciada pelo cliente para criptografia Proteja seu armazenamento de tabelas com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar o acesso à chave que criptografa os dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. Audit, Deny, desabilitado 1.0.0

Stream Analytics

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os trabalhos do Azure Stream Analytics devem usar chaves gerenciadas pelo cliente para criptografar dados Use chaves gerenciadas pelo cliente quando desejar armazenar com segurança qualquer ativo de dados privados e de metadados dos seus trabalhos do Stream Analytics na sua conta de armazenamento. Isso dá a você controle total sobre como os seus dados do Stream Analytics são criptografados. auditar, Auditar, negar, Negar, desabilitado, Desabilitado 1.1.0
Os logs de recurso no Azure Stream Analytics devem estar habilitados Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 5.0.0
Trabalho do Stream Analytics deve se conectar a entradas e saídas confiáveis Verifique se os trabalhos do Stream Analytics não têm conexões de Entrada ou Saída arbitrárias que não estão definidas na lista de permissões. Isso verifica se os trabalhos do Stream Analytics não vazam dados conectando-se a coletores arbitrários fora de sua organização. Negar, Desabilitar, Auditar 1.1.0
O trabalho do Stream Analytics deve usar identidade gerenciada para autenticar pontos de extremidade Verifique se os trabalhos do Stream Analytics se conectam apenas a pontos de extremidade usando autenticação de identidade gerenciada. Negar, Desabilitar, Auditar 1.0.0

Synapse

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
A auditoria no workspace do Azure Synapse deve ser habilitada A auditoria no workspace do Azure Synapse deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados nos pools de SQL dedicados e salvá-las em um log de auditoria. AuditIfNotExists, desabilitado 1.0.0
Os pools de SQL dedicados do Azure Synapse Analytics devem a habilitar a criptografia Habilite a Transparent Data Encryption nos pools de SQL dedicados do Azure Synapse Analytics para proteger os dados inativos e atender aos requisitos de conformidade. Observe que a habilitação da Transparent Data Encryption no pool pode afetar o desempenho da consulta. Veja mais detalhes em https://go.microsoft.com/fwlink/?linkid=2147714 AuditIfNotExists, desabilitado 1.0.0
O SQL Server do workspace do Azure Synapse deve estar executando o TLS versão 1.2 ou mais recente Definir a versão do TLS como 1.2 ou mais recente aprimora a segurança garantindo que o SQL Server do workspace do Azure Synapse só possa ser acessado por clientes que usam o TLS 1.2 ou mais recente. O uso de versões do TLS inferiores à 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. Audit, Deny, desabilitado 1.1.0
Os workspaces do Azure Synapse devem permitir tráfego de dados de saída somente para destinos aprovados Aumente a segurança do seu workspace do Azure Synapse permitindo o tráfego de dados de saída somente para destinos aprovados. Isso ajuda a prevenir contra a exfiltração dos dados validando o destino antes de enviá-los. Auditoria, desabilitado, negação 1.0.0
Os workspaces do Azure Synapse devem desabilitar o acesso à rede pública A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o workspace do Azure Synapse não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos workspaces do Azure Synapse. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Audit, Deny, desabilitado 1.0.0
Os workspaces do Azure Synapse devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso Use chaves gerenciadas pelo cliente para controlar a criptografia em repouso dos dados armazenados nos workspaces do Azure Synapse. As chaves gerenciadas pelo cliente também fornecem criptografia dupla adicionando uma segunda camada de criptografia além da criptografia padrão com chaves gerenciadas pelo serviço. Audit, Deny, desabilitado 1.0.0
Os workspaces do Azure Synapse devem usar um link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Quando os pontos de extremidade privados são mapeados para o workspace do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, desabilitado 1.0.1
Configurar a versão mínima do TLS do SQL Dedicado do workspace do Azure Synapse Os clientes podem aumentar ou diminuir a versão mínima do TLS usando a API, tanto para novos workspaces do Synapse quanto para os existentes. Assim, os usuários que precisam usar uma versão inferior do cliente nos workspaces podem se conectar, enquanto aqueles que tiverem requisitos de segurança podem aumentar a versão mínima do TLS. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Modificar, Desabilitado 1.1.0
Configurar os workspaces do Azure Synapse para desabilitar o acesso à rede pública Desabilite o acesso à rede pública para o workspace do Azure Synapse para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Modificar, Desabilitado 1.0.0
Configurar os workspaces do Azure Synapse para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas de workspaces do Azure Synapse. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. DeployIfNotExists, desabilitado 2.0.0
Configurar workspaces do Azure Synapse com pontos de extremidade privados Os pontos de extremidade privados conectam sua rede virtual aos serviços do Azure sem a necessidade de nenhum endereço IP público na origem nem no destino. Se você mapear os pontos de extremidade privados para workspaces do Azure Synapse, poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. DeployIfNotExists, desabilitado 1.0.0
Configurar os workspaces do Azure Synapse para a habilitação da auditoria Para garantir que as operações executadas nos ativos do SQL sejam capturadas, os workspaces do Azure Synapse devem ter a auditoria habilitada. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. DeployIfNotExists, desabilitado 2.0.0
Configurar os workspaces do Synapse para que a auditoria seja habilitada no workspace do Log Analytics Para garantir que as operações executadas nos ativos do SQL sejam capturadas, os workspaces do Azure Synapse devem ter a auditoria habilitada. Quando a auditoria não está habilitada, essa política configura eventos de auditoria para fluir para o workspace do Log Analytics especificado. DeployIfNotExists, desabilitado 1.0.0
Configurar os espaços de trabalho do Synapse para usar apenas as identidades do Microsoft Entra para autenticação Exigir e configurar novamente os Espaços de trabalho do Synapse para usar a autenticação somente do Microsoft Entra. Essa política não impede que os espaços de trabalho sejam criados com a autenticação local habilitada. Ela impede que a autenticação local seja habilitada e habilita novamente a autenticação somente do Microsoft Entra em recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/Synapse. Modificar, Desabilitado 1.0.0
Configurar os Espaços de trabalho do Synapse para usar apenas as identidades do Microsoft Entra para autenticação durante a criação do espaço de trabalho Exigir e reconfigurar os espaços de trabalho do Synapse para serem criados com a autenticação somente do Microsoft Entra. Essa política não impede que a autenticação local seja reabilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/Synapse. Modificar, Desabilitado 1.2.0
As regras de firewall de IP nos workspaces do Azure Synapse devem ser removidas A remoção de todas as regras de firewall de IP aprimora a segurança, garantindo que o workspace do Azure Synapse só possa ser acessado em um ponto de extremidade privado. Essa configuração audita a criação de regras de firewall que permitem acesso à rede pública no workspace. Audit, desabilitado 1.0.0
A rede virtual do workspace gerenciado nos workspaces do Azure Synapse deve ser habilitada A habilitação de uma rede virtual de workspace gerenciado garante que o seu workspace seja isolado da rede de outros workspaces. A integração de dados e os recursos do Spark implantados nessa rede virtual também fornecem isolamento no nível do usuário para atividades do Spark. Audit, Deny, desabilitado 1.0.0
Os pontos de extremidade privados gerenciados pelo Azure Synapse só devem se conectar aos recursos em locatários aprovados do Azure Active Directory Proteja seu workspace do Azure Synapse permitindo apenas conexões com recursos em locatários aprovados do Azure AD (Active Directory). Os locatários aprovados do Azure AD podem ser definidos durante a atribuição de política. Auditoria, desabilitado, negação 1.0.0
As configurações de auditoria do workspace do Azure Synapse devem ter grupos de ações configurados para capturar atividades críticas Para garantir que os logs de auditoria sejam tão minuciosos quanto possível, a propriedade AuditActionsAndGroups deve incluir todos os grupos relevantes. É recomendável adicionar pelo menos SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP e BATCH_COMPLETED_GROUP. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. AuditIfNotExists, desabilitado 1.0.0
Os Espaços de trabalho do Synapse devem ter a autenticação somente do Microsoft Entra habilitada Exigir que os workspaces do Synapse usem a autenticação somente do Microsoft Entra. Essa política não impede que workspaces sejam criados com a autenticação local habilitada. Ela impede que a autenticação local seja habilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/Synapse. Audit, Deny, desabilitado 1.0.0
Os Workspaces do Synapse devem usar apenas as identidades do Microsoft Entra para autenticação durante a criação do workspace Exigir que workspaces do Synapse sejam criados com a autenticação somente do Microsoft Entra. Essa política não impede que a autenticação local seja reabilitada nos recursos após a criação. Considere usar a iniciativa "Autenticação somente do Microsoft Entra" para exigir ambos. Saiba mais em: https://aka.ms/Synapse. Audit, Deny, desabilitado 1.2.0
Os workspaces do Azure Synapse com auditoria do SQL para o destino da conta de armazenamento devem ser configurados com uma retenção de 90 dias ou mais Para fins de investigação de incidentes, é recomendável configurar a retenção de dados para a auditoria do SQL do workspace do Azure Synapse para o destino de conta de armazenamento para pelo menos 90 dias. Confirme que você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. AuditIfNotExists, desabilitado 2.0.0
A avaliação de vulnerabilidade deve ser habilitada em seus workspaces do Azure Synapse Descubra, acompanhe e corrija potenciais vulnerabilidades configurando verificações de avaliação de vulnerabilidades SQL recorrentes em seus workspaces do Azure Synapse. AuditIfNotExists, desabilitado 1.0.0

Marcas

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adicionar uma marca aos grupos de recursos Adiciona a marca e o valor especificados quando qualquer grupo de recursos que está faltando nessa marca é criado ou atualizado. Os grupos de recursos existentes podem ser corrigidos disparando uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. modify 1.0.0
Adicionar uma marca aos recursos Adiciona a marca e o valor especificados quando qualquer recurso que está faltando nessa marca é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. Não modifica tags em grupos de recursos. modify 1.0.0
Adicionar uma marca às assinaturas Adiciona a marca e o valor especificados às assinaturas por meio de uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. Confira https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de política. modify 1.0.0
Adicionar ou substituir uma marca nos grupos de recursos Adiciona ou substitui a marca e o valor especificados quando qualquer grupo de recursos é criado ou atualizado. Os grupos de recursos existentes podem ser corrigidos disparando uma tarefa de correção. modify 1.0.0
Adicionar ou substituir uma marca nos recursos Adiciona ou substitui a marca e o valor especificados quando qualquer recurso é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. Não modifica tags em grupos de recursos. modify 1.0.0
Adicionar ou substituir uma marca em assinaturas Adiciona ou substitui a marca e o valor especificados em assinaturas por meio de uma tarefa de correção. Os grupos de recursos existentes podem ser corrigidos disparando uma tarefa de correção. Confira https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de política. modify 1.0.0
Acrescentar uma marca e seu valor do grupo de recursos Acrescenta a marca especificada com seu valor do grupo de recursos quando qualquer recurso que está faltando nessa marca é criado ou atualizado. Não modifica as marcas dos recursos criados antes da aplicação dessa política até que esses recursos sejam alterados. Novas políticas de efeito 'modify' estão disponíveis e dão suporte à correção de marcas nos recursos existentes (confira https://aka.ms/modifydoc). acrescentar 1.0.0
Acrescentar uma marca e seu valor a grupos de recursos Acrescenta a marca e o valor especificados quando qualquer grupo de recursos que está faltando nessa marca é criado ou atualizado. Não modifica as marcas dos grupos de recursos criados antes da aplicação dessa política até que esses grupos de recursos sejam alterados. Novas políticas de efeito 'modify' estão disponíveis e dão suporte à correção de marcas nos recursos existentes (confira https://aka.ms/modifydoc). acrescentar 1.0.0
Acrescentar uma marca e seu valor a recursos Acrescenta a marca e o valor especificados quando qualquer recurso que está faltando nessa marca é criado ou atualizado. Não modifica as marcas dos recursos criados antes da aplicação dessa política até que esses recursos sejam alterados. Não se aplica a grupos de recursos. Novas políticas de efeito 'modify' estão disponíveis e dão suporte à correção de marcas nos recursos existentes (confira https://aka.ms/modifydoc). acrescentar 1.0.1
Herdar uma marca do grupo de recursos Adiciona ou substitui a marca e o valor especificados do grupo de recursos pai quando qualquer recurso é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. modify 1.0.0
Herdar uma marca do grupo de recursos, se ela estiver ausente Adiciona a marca especificada com seu valor do grupo de recursos pai quando qualquer recurso que falta nessa marca é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. modify 1.0.0
Herdar uma marca da assinatura Adiciona ou substitui a marca e o valor especificados da assinatura que os contém quando algum recurso é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. modify 1.0.0
Herdar uma marca da assinatura, se ela estiver ausente Adiciona a marca especificada com o respectivo valor da assinatura que a contém quando algum recurso que não tem essa marca é criado ou atualizado. Os recursos existentes podem ser corrigidos disparando uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. modify 1.0.0
Exigir uma marca e seu valor em grupos de recursos Impõe uma marca necessária e seu valor em grupos de recursos. deny 1.0.0
Exigir uma marca e seu valor em recursos Impõe uma marca necessária e seu valor. Não se aplica a grupos de recursos. deny 1.0.1
Exigir uma marca em grupos de recursos Aplica a existência de uma marca em grupos de recursos. deny 1.0.0
Exigir uma marca em recursos Aplica a existência de uma marca. Não se aplica a grupos de recursos. deny 1.0.1
Exige que os recursos não tenham uma marca específica. Nega a criação de um recurso que contenha a marca fornecida. Não se aplica a grupos de recursos. Audit, Deny, desabilitado 2.0.0

VirtualEnclaves

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Não permitir a criação de tipos de recursos fora da lista de permissões Essa política impede a implantação de tipos de recursos fora dos tipos explicitamente permitidos, a fim de manter a segurança em um enclave virtual. https://aka.ms/VirtualEnclaves Audit, Deny, desabilitado 1.0.0
Não permitir a criação de tipos ou tipos de recursos especificados em provedores específicos Os provedores de recursos e os tipos especificados por meio da lista de parâmetros não têm permissão para serem criados sem aprovação explícita da equipe de segurança. Se uma isenção for concedida à atribuição de política, o recurso poderá ser aproveitado dentro do enclave. https://aka.ms/VirtualEnclaves Audit, Deny, desabilitado 1.0.0
Os adaptadores de rede devem ser conectados a uma sub-rede aprovada da rede virtual aprovada Essa política impede que os adaptadores de rede se conectem a uma rede virtual ou sub-rede que não seja aprovada. https://aka.ms/VirtualEnclaves Audit, Deny, desabilitado 1.0.0

Construtor de imagens da VM

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Os modelos do Construtor de Imagens de VM devem usar o link privado O Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do Construtor de Imagens de VM, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Auditoria, desabilitado, negação 1.1.0

Web PubSub

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
O Serviço Web PubSub do Azure deve desabilitar o acesso à rede pública A desabilitação do acesso à rede pública melhora a segurança, garantindo que o serviço Azure Web PubSub não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do serviço Azure Web PubSub. Saiba mais em: https://aka.ms/awps/networkacls. Audit, Deny, desabilitado 1.0.0
O Serviço Azure Web PubSub deve habilitar logs de diagnóstico Habilitação da auditoria de logs de diagnóstico. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida AuditIfNotExists, desabilitado 1.0.0
O Serviço Azure Web PubSub deve ter os métodos de autenticação locais desativados A desativação dos métodos de autenticação locais melhora a segurança, garantindo que o Serviço Azure Web PubSub exija exclusivamente identidades do Microsoft Azure AD para autenticação. Audit, Deny, desabilitado 1.0.0
O Serviço Web PubSub do Azure deve usar uma SKU que dá suporte a links privados Com um SKU compatível, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Se você mapear os pontos de extremidade privados para o serviço Azure Web PubSub, poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. Audit, Deny, desabilitado 1.0.0
O Serviço Azure Web PubSub deve usar o link privado O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu serviço do Azure Web PubSub, será possível reduzir riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. Audit, desabilitado 1.0.0
Configurar o Serviço Azure Web PubSub para desativar a autenticação local Desative os métodos de autenticação locais para que o Serviço Azure Web PubSub exija exclusivamente identidades do Microsoft Azure AD para autenticação. Modificar, Desabilitado 1.0.0
Configurar o serviço Azure Web PubSub para desabilitar o acesso à rede pública Desabilite o acesso à rede pública para o seu recurso do Azure Web PubSub para Redis para que ele não possa ser acessado pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/awps/networkacls. Modificar, Desabilitado 1.0.0
Configurar o serviço Azure Web PubSub para usar zonas DNS privadas Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas de workspaces do Azure Web PubSub. Saiba mais em: https://aka.ms/awps/privatelink. DeployIfNotExists, desabilitado 1.0.0
Configurar o serviço Azure Web PubSub com pontos de extremidade privados Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Se você mapear os pontos de extremidade privados para o serviço Azure Web PubSub, poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/awps/privatelink. DeployIfNotExists, desabilitado 1.0.0

Próximas etapas