Definições internas do Azure Policy para os serviços de rede do Azure
Esta página é um índice das definições de políticas internas do Azure Policy para os serviços de rede do Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Serviços de rede do Azure
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: todo o tráfego da Internet deve ser roteado por meio do Firewall do Azure implantado | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de última geração. Proteja suas sub-redes de ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de última geração compatível | AuditIfNotExists, desabilitado | 3.0.0 – versão prévia |
| [Versão prévia]: Os Gateways de Aplicativo devem ser Resilientes à Zona | Os Gateways de Aplicativo podem ser configurados para serem Alinhados por Zona, Com Redundância de Zona ou nenhuma das opções. Os Gateways de Aplicativo que têm exatamente uma entrada na matriz de zonas são considerados Alinhados à Zona. Por outro lado, os Gateways de Aplicativo com 3 ou mais entradas na matriz de zonas são reconhecidas como Com Redundância de Zona. Essa política ajuda a identificar e impor essas configurações de resiliência. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: configurar os cofres dos Serviços de Recuperação do Azure para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver para cofres dos Serviços de Recuperação. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: configurar os cofres dos Serviços de Recuperação para usar zonas DNS privadas para backup | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver para cofres dos Serviços de Recuperação. Saiba mais em: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, desabilitado | 1.0.1 – versão prévia |
| [Versão prévia]: Os Firewalls devem ser Resilientes à Zona | Os firewalls podem ser configurados para serem Alinhados à Zona, Com Redundância de Zona ou nenhuma das opções. Os Firewalls que têm exatamente uma entrada em sua matriz de zonas são considerados Alinhados à Zona. Por outro lado, firewalls com 3 ou mais entradas em sua matriz de zonas são reconhecidos como Com Redundância de Zona. Essa política ajuda a identificar e impor essas configurações de resiliência. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: Os Balanceadores de Carga devem ser Resilientes à Zona | Balanceadores de carga com um SKU diferente de Basic herdam a resiliência dos endereços IP públicos em seu front-end. Quando combinada com a política "Endereços IP públicos devem ser resilientes à zona", essa abordagem garante a redundância necessária para suportar uma interrupção de zona. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: O gateway da NAT deve ser Alinhado à Zona | O gateway da NAT pode ser configurado para ser Alinhado à Zona ou não. O gateway da NAT que tem exatamente uma entrada em sua matriz de zonas é considerado Alinhado à Zona. Essa política garante que um gateway da NAT esteja configurado para operar em uma única zona de disponibilidade. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: os endereços IP públicos devem ser com resiliência de zona | Os endereços IP públicos podem ser configurados para serem alinhados à zona, com redundância de zona ou nenhum dos dois. Os endereços IP públicos que são regionais, com exatamente uma entrada na matriz de zonas, são considerados Alinhados à Zona. Por outro lado, os endereços IP públicos que são regionais, com três ou mais entradas na matriz de zonas, são reconhecidos como Com Redundância de Zona. Essa política ajuda a identificar e impor essas configurações de resiliência. | Audit, Deny, desabilitado | 1.1.0 – versão prévia |
| [Versão prévia]: Os prefixos IP públicos devem ser com resiliência de zona | Prefixos de IP públicos podem ser configurados para serem alinhados a Zona, com redundância de zona ou nenhum dos dois. Prefixos de IP públicos que têm exatamente uma entrada na matriz de zonas são considerados alinhados à zona. Por outro lado, prefixos IP públicos com 3 ou mais entradas em sua matriz de zonas são reconhecidos como com redundância de zona. Essa política ajuda a identificar e impor essas configurações de resiliência. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| [Versão prévia]: os gateways de rede virtual devem ter redundância de zona | Os gateways de rede virtual podem ser configurados para serem com redundância de zona ou não. Os gateways de rede virtual cujo nome ou camada de SKU não termina com 'AZ' não são com redundância de zona. Essa política identifica gateways de rede virtual sem a redundância necessária para suportar uma interrupção de zona. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| Uma política de IPsec ou IKE personalizada precisa ser aplicada a todas as conexões do gateway de rede virtual do Azure | Essa política garante que todas as conexões de gateway de rede virtual do Azure usem uma política personalizada do protocolo Ipsec ou IKE. Algoritmos e forças de chave com suporte – https://aka.ms/AA62kb0 | Audit, desabilitado | 1.0.0 |
| Todos os recursos de log de fluxo devem estar no estado habilitado | Uma auditoria para recursos do log de fluxo a fim de verificar se o status dele está habilitado. Habilite logs de fluxo permite registrar informações sobre o tráfego IP que flui. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. | Audit, desabilitado | 1.0.1 |
| Configuração de logs de fluxo de auditoria para cada rede virtual | Uma auditoria de rede virtual para verificar se os logs de fluxo foram configurados. Habilite logs de fluxo permite registrar informações sobre o tráfego IP que flui por meio da rede virtual. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. | Audit, desabilitado | 1.0.1 |
| O Gateway de Aplicativo do Azure deve ser implantado com o WAF do Azure | Requer que os recursos do Gateway de Aplicativo do Azure sejam implantados com o WAF do Azure. | Audit, Deny, desabilitado | 1.0.0 |
| O Gateway de Aplicativo do Azure deve ter os logs de recursos habilitados | Habilite os logs de recursos para o Gateway de Aplicativo do Azure (mais o WAF) e transmita-os para um workspace do Log Analytics. Obtenha visibilidade detalhada do tráfego da Web de entrada e das ações executadas para mitigar os ataques. | AuditIfNotExists, desabilitado | 1.0.0 |
| A Proteção contra DDoS do Azure deve ser habilitada | A Proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que seja parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desabilitado | 3.0.1 |
| A política de firewall do Azure deve habilitar a inspeção de TLS dentro das regras do aplicativo | A habilitação da inspeção do TLS é recomendada para que todas as regras de aplicativo detectem, alertem e mitiguem atividades mal-intencionadas em HTTPS. Para saber mais sobre a inspeção do TLS com o Firewall do Azure, visite https://aka.ms/fw-tlsinspect | Audit, Deny, desabilitado | 1.0.0 |
| O Firewall do Azure Premium deve configurar um certificado intermediário válido para habilitar a inspeção TLS | Configure um certificado intermediário válido e habilite a inspeção do TLS Premium do Firewall do Azure para detectar, alertar e mitigar as atividades mal-intencionadas em HTTPS. Para saber mais sobre a inspeção do TLS com o Firewall do Azure, visite https://aka.ms/fw-tlsinspect | Audit, Deny, desabilitado | 1.0.0 |
| O Azure Front Door deve ter os logs de recursos habilitados | Habilite os logs de recursos para o Azure Front Door (mais o WAF) e transmita-os para um workspace do Log Analytics. Obtenha visibilidade detalhada do tráfego da Web de entrada e das ações executadas para mitigar os ataques. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os gateways de VPN do Azure não devem usar o SKU 'básico' | Essa política garante que os gateways de VPN não usem o SKU "básico". | Audit, desabilitado | 1.0.0 |
| O Firewall de Aplicativo Web do Azure em Gateway de Aplicativo do Azure deve ter a inspeção do corpo da solicitação habilitada | Verifique se os Firewalls de Aplicativo Web associados a Gateways de Aplicativo do Azure têm a Inspeção do corpo da solicitação habilitada. Isso permite que o WAF inspecione as propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos, cookies ou URI HTTP. | Audit, Deny, desabilitado | 1.0.0 |
| O Firewall de Aplicativo Web do Azure no Azure Front Door deve ter a inspeção do corpo da solicitação habilitada | Verifique se os Firewalls de Aplicativo Web associados ao Azure Front Doors têm a inspeção do corpo da solicitação habilitada. Isso permite que o WAF inspecione as propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos, cookies ou URI HTTP. | Audit, Deny, desabilitado | 1.0.0 |
| O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 1.0.2 |
| A Proteção contra Bots deve ser habilitada para o WAF do Gateway de Aplicativo do Azure | Essa política garante que a proteção contra bots esteja habilitada em todas as políticas do WAF (firewall do Aplicativo Web) do Gateway de Aplicativo do Azure | Audit, Deny, desabilitado | 1.0.0 |
| A Proteção contra Bots deve ser habilitada para o WAF do Azure Front Door | Essa política garante que a proteção contra bots esteja habilitada em todas as políticas do WAF (firewall do Aplicativo Web) do Azure Front Door | Audit, Deny, desabilitado | 1.0.0 |
| A lista de bypass do IDPS (Sistema de Detecção e Prevenção contra Intrusões) deve estar vazia na política de firewall Premium | A lista de bypass do IDPS (Sistema de Detecção e Prevenção contra Intrusões) permite que você não filtre o tráfego para nenhum dos endereços IP, intervalos e sub-redes especificados na lista de bypass. No entanto, a habilitação do IDPS é recomendado para todos os fluxos de tráfego a fim de identificar melhor as ameaças conhecidas. Para saber mais sobre as assinaturas do IDPS (Sistema de Detecção e Prevenção contra Intrusões) com o Firewall do Azure Premium, acesse https://aka.ms/fw-idps-signature | Audit, Deny, desabilitado | 1.0.0 |
| Configurar um ID de zona DNS privada para groupID de blob | Configure o grupo de zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado groupID de blob. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar um ID de zona DNS privadas para blob_secondary groupID | Configure o grupo de zonas DNS privadas para substituir uma resolução DNS para um ponto de extremidade privado blob_secondary groupID. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar um ID de zona DNS privada para dfs groupID | Configure o grupo de zonas DNS privada para substituir a resolução DNS para um ponto de extremidade privado dfs groupID. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar um ID de zona DNS privada para dfs_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado dfs_secondary groupID. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar uma ID de zona DNS privada para a groupID do arquivo | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado da groupID de arquivo. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar uma ID de zona DNS privada para a groupID da | Configure o grupo de zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado de groupID de fila. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar uma ID de zona DNS privada para a groupID de queue_secondary | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado da groupID de queue_secondary. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar uma ID de zona DNS privada para a groupID da tabela | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado da groupID de tabela. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar uma ID de zona DNS privada para a groupID de table_secondary | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado da groupID de table_secondary. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar uma ID de zona DNS privada para a groupID da Web | Configure o grupo de zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado do groupID da Web. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar uma ID de zona DNS privada para a groupID de web_secondary | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado da groupID de web_secondary. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar aplicativos do Serviço de Aplicativo para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada vincula uma rede virtual a um Serviço de Aplicativo. Saiba mais em: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, desabilitado | 1.0.1 |
| Configurar Escopos de Link Privado do Azure Arc para usar zonas de DNS privado | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para ser resolvida para o escopo de link privado do Azure Monitor. Saiba mais em: https://aka.ms/arc/privatelink. | DeployIfNotExists, desabilitado | 1.2.0 |
| Configurar as contas de Automação do Azure com zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Você precisa de uma zona DNS privada configurada corretamente para se conectar à conta de Automação do Azure por meio do Link Privado do Azure. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar o Cache do Azure para Redis para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada pode ser vinculada à sua rede virtual para resolver para o Cache do Azure para Redis. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar os serviços do Azure Cognitive Search para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada vincula-se à rede virtual para resolver para o serviço Azure Cognitive Search. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar um workspace do Azure Databricks para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas de workspaces do Azure Databricks. Saiba mais em: https://aka.ms/adbpe. | DeployIfNotExists, desabilitado | 1.0.1 |
| Configurar a Atualização de Dispositivo do Azure para contas do Hub IoT para usar zonas DNS privadas | O DNS privado do Azure fornece um serviço DNS confiável e seguro para gerenciar e resolver nomes de domínio em uma rede virtual sem a necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução de DNS usando nomes de domínio personalizados para um ponto de extremidade privado. Esta política implanta uma zona DNS privada para a Atualização de Dispositivo para pontos de extremidade privados do Hub IoT. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar a Sincronização de Arquivos do Azure para usar zonas DNS privadas | Para acessar os pontos de extremidade privados para as interfaces de recurso do Serviço de Sincronização de Armazenamento de um servidor registrado, você precisa configurar o DNS para resolver os nomes corretos para os endereços IP privados do seu ponto de extremidade privado. Essa política cria os registros exigidos A e Zona DNS privada do Azure para as interfaces do ponto de extremidade privado do Serviço de Sincronização de Armazenamento. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar clusters do Azure HDInsight para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas de workspaces dos clusters do Azure HDInsight. Saiba mais em: https://aka.ms/hdi.pl. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar os Cofres de Chaves do Azure para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para que seja resolvida para o cofre de chaves. Saiba mais em: https://aka.ms/akvprivatelink. | DeployIfNotExists, desabilitado | 1.0.1 |
| Configurar um workspace do Azure Machine Learning para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas de workspaces do Azure Machine Learning. Saiba mais em: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar os workspaces do Espaço Gerenciado do Azure para Grafana para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas de workspaces do Espaço Gerenciado do Azure para Grafana. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar Serviços de Mídia do Azure para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para que seja resolvida para as contas dos Serviços de Mídia. Saiba mais em: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar Serviços de Mídia do Azure com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Se você mapear os pontos de extremidade privados para os Serviços de Mídia, poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar os recursos das Migrações para Azure para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para ser resolvida para o projeto de Migrações para Azure. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar o Escopo de Link Privado do Azure Monitor para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada é vinculada à rede virtual para resolver o escopo de link privado do Azure Monitor. Saiba mais em: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar os workspaces do Azure Synapse para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas de workspaces do Azure Synapse. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, desabilitado | 2.0.0 |
| Configurar os recursos do hostpool da Área de Trabalho Virtual do Azure para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas do recurso do Serviço da Área de Trabalho Virtual do Azure. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar os recursos do workspace da Área de Trabalho Virtual do Azure para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas do recurso do Serviço da Área de Trabalho Virtual do Azure. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar o serviço Azure Web PubSub para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas de workspaces do Azure Web PubSub. Saiba mais em: https://aka.ms/awps/privatelink. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar os recursos do Serviço de Bot para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada se conecta à sua rede virtual para resolver os recursos relacionados ao Serviço de Bot. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar as contas dos Serviços Cognitivos para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para que seja resolvida para as contas dos Serviços Cognitivos. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar os Registros de Contêiner para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para ser resolvida para o Registro de Contêiner. Saiba mais em: https://aka.ms/privatednszone e https://aka.ms/acr/private-link. | DeployIfNotExists, desabilitado | 1.0.1 |
| Configurar as contas do CosmosDB para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver para a conta do CosmosDB. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desabilitado | 2.0.0 |
| Defina as configurações de diagnóstico para Grupos de Segurança de Rede do Azure para o workspace do Log Analytics | Implante configurações de diagnóstico para Grupos de Segurança de Rede do Azure para transmitir logs de recursos para um workspace do Log Analytics. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar os recursos de acesso ao disco para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para que seja resolvida para um disco gerenciado. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar os namespaces do Hub de Eventos para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver para namespaces do Hub de Eventos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar as instâncias de provisionamento de dispositivos no Hub IoT para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver para uma instância do Serviço de Provisionamento de Dispositivos no Hub IoT. Saiba mais em: https://aka.ms/iotdpsvnet. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar grupos de segurança de rede para habilitar a análise de tráfego | A análise de tráfego pode ser habilitada para todos os grupos de segurança de rede hospedados em uma região específica com as configurações fornecidas durante a criação da política. Se a política já tiver a análise de tráfego habilitada, ela não substituirá as configurações da análise. Os logs de fluxo também são habilitados para os grupos de segurança de rede que ainda não os têm. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. | DeployIfNotExists, desabilitado | 1.2.0 |
| Configurar grupos de segurança de rede para usar o workspace específico, a conta de armazenamento e a política de retenção do log de fluxo para a análise de tráfego | Se a política já tiver a análise de tráfego habilitada, a ela substituirá as configurações existentes da análise por aquelas fornecidas durante a criação da política. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. | DeployIfNotExists, desabilitado | 1.2.0 |
| Configurar zonas DNS privadas para pontos de extremidade privados conectados à Configuração de Aplicativos | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada pode ser vinculada à sua rede virtual para resolver instâncias de configuração de aplicativos. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar zonas DNS privadas para pontos de extremidade privados que se conectam ao Azure Data Factory | Os registros de DNS privado permitem conexões privadas com pontos de extremidade privados. As conexões de ponto de extremidade privado permitem a comunicação segura habilitando a conectividade privada com o Azure Data Factory, sem a necessidade de endereços IP públicos na origem nem no destino. Para obter mais informações sobre pontos de extremidade privados e zonas DNS no Azure Data Factory, confira https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar o Link Privado do Azure AD para usar zonas de DNS privado | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para que seja resolvida para o Azure AD. Saiba mais em: https://aka.ms/privateLinkforAzureADDocs. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar os namespaces do Barramento de Serviço para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver para namespaces do Barramento de Serviço. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar a rede virtual para habilitar o Log de Fluxo e a Análise de Tráfego | A Análise de Tráfego e os Logs de fluxo podem ser habilitados para todas as redes virtuais hospedadas em uma região específica com as configurações fornecidas durante a criação da política. Essa política não substitui a configuração atual para redes virtuais que já têm esses recursos habilitados. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. | DeployIfNotExists, desabilitado | 1.1.1 |
| Configurar redes virtuais para impor um workspace específico, conta de armazenamento e intervalo de retenção para logs de fluxo e Análise de Tráfego | Se uma rede virtual já tiver a análise de tráfego habilitada, essa política substituirá suas configurações existentes pelas fornecidas durante a criação da política. Análise de Tráfego é uma solução baseada em nuvem, que oferece visibilidade sobre atividade de usuário e aplicativo nas redes em nuvem. | DeployIfNotExists, desabilitado | 1.1.2 |
| Implantar – Configure domínios da Grade de Eventos do Azure para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Saiba mais em: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Desabilitado | 1.1.0 |
| Implantar – Configure tópicos da Grade de Eventos do Azure para usar zonas DNS privadas | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Saiba mais em: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Desabilitado | 1.1.0 |
| Implantar – configurar os Hubs IoT do Azure para usar zonas DNS privadas | O DNS privado do Azure fornece um serviço DNS confiável e seguro para gerenciar e resolver nomes de domínio em uma rede virtual sem a necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução de DNS usando nomes de domínio personalizados para um ponto de extremidade privado. Esta política implanta uma zona DNS privada para pontos de extremidade privados do Hub IoT. | deployIfNotExists, DeployIfNotExists, desabilitado, Desabilitado | 1.1.0 |
| Implantar - Configurar o IoT Central para usar zonas DNS privadas | O DNS privado do Azure fornece um serviço DNS confiável e seguro para gerenciar e resolver nomes de domínio em uma rede virtual sem a necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução de DNS usando nomes de domínio personalizados para um ponto de extremidade privado. Esta política implanta uma zona DNS privada para pontos de extremidade privados do IoT Central. | DeployIfNotExists, desabilitado | 1.0.0 |
| Implantar – Configurar zonas DNS privadas para que pontos de extremidade privados se conectem ao Serviço do Azure SignalR | Use as zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado. Uma zona DNS privada será vinculada à sua rede virtual para resolver problemas do recurso do Serviço do Azure SignalR. Saiba mais em: https://aka.ms/asrs/privatelink. | DeployIfNotExists, desabilitado | 1.0.0 |
| Implantar – configure zonas DNS privadas para pontos de extremidade privados que se conectam a contas do Lote | Os registros de DNS privado permitem conexões privadas com pontos de extremidade privados. As conexões de ponto de extremidade privado permitem a comunicação segura habilitando a conectividade privada para contas do Lote sem a necessidade de endereços IP públicos na origem nem no destino. Para obter mais informações sobre pontos de extremidade privados e zonas DNS no Lote, confira https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, desabilitado | 1.0.0 |
| Implantar um recurso de log de fluxo com o grupo de segurança de rede de destino | Configura o log de fluxo para um grupo de segurança de rede específico. Isso permitirá registrar informações sobre o tráfego IP que flui por meio de um grupo de segurança de rede. O log de fluxo ajuda a identificar um tráfego desconhecido ou indesejado, verificar o isolamento de rede e a conformidade com as regras de acesso corporativo e analisar fluxos de rede de IPs e interfaces de rede comprometidos. | deployIfNotExists | 1.1.0 |
| Implantar um recurso de Log de Fluxo com as redes virtuais de destino | Configura o log de fluxo para uma rede virtual específica. Isso permitirá registrar informações sobre o tráfego IP que flui por meio de uma rede virtual. O log de fluxo ajuda a identificar um tráfego desconhecido ou indesejado, verificar o isolamento de rede e a conformidade com as regras de acesso corporativo e analisar fluxos de rede de IPs e interfaces de rede comprometidos. | DeployIfNotExists, desabilitado | 1.1.1 |
| Implantar configurações de diagnóstico para Grupos de Segurança de Rede | Essa política implanta automaticamente configurações de diagnóstico em grupos de segurança de rede. Uma conta de armazenamento com o nome "{storagePrefixParameter} {NSGLocation}" será criada automaticamente. | deployIfNotExists | 2.0.1 |
| Implantar o observador de rede quando redes virtuais são criadas | Essa política cria um recurso de observador de rede em regiões com redes virtuais. Você precisa garantir a existência de um grupo de recursos chamado networkWatcherRG, que será usado para implantar instâncias do observador de rede. | DeployIfNotExists | 1.0.0 |
| Habilitar o log por grupo de categorias para gateways de aplicativo (microsoft.network/applicationgateways) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para gateways de aplicativo (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para gateways de aplicativo (microsoft.network/applicationgateways) para o Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para gateways de aplicativos (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o log por grupo de categorias para gateways de aplicativo (microsoft.network/applicationgateways) para armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para gateways de aplicativos (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Bastions (microsoft.network/bastionhosts) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.2.0 |
| Habilitar o registro em log por grupo de categorias para Bastions (microsoft.network/bastionhosts) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para Bastions (microsoft.network/bastionhosts) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Habilitar o log por grupo de categorias para circuitos de Rota Expressa (microsoft.network/expressroutecircuits) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para circuitos de Rota Expressa (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para circuitos da Rota Expressa (microsoft.network/expressroutecircuits) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para circuitos da Rota Expressa (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o registro em log por grupo de categorias para circuitos de Rota Expressa (microsoft.network/expressroutecircuits) para Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para circuitos da Rota Expressa (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias do Firewall (microsoft.network/azurefirewalls) para o Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics do Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para Firewalls (microsoft.network/azurefirewalls) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Firewalls (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para Firewalls (microsoft.network/azurefirewalls) para o Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Firewalls (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para Firewalls (microsoft.network/azurefirewalls) para Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Firewalls (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para perfis do Front Door e da CDN (microsoft.network/frontdoors) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos perfis do Front Door e da CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.2.0 |
| Habilitar o registro em log por grupo de categorias para perfis do Front Door e CDN (microsoft.network/frontdoors) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para perfis do Front Door e CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para perfis do Front Door e da CDN (microsoft.network/frontdoors) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para perfis do Front Door e da CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Habilitar o log por grupo de categorias para balanceadores de carga (microsoft.network/loadbalancers) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para balanceadores de carga (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para balanceadores de carga (microsoft.network/loadbalancers) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para balanceadores de carga (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o log por grupo de categorias para balanceadores de carga (microsoft.network/loadbalancers) para Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Balanceadores de Carga (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para microsoft.network/dnsresolverpolicies no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o log por grupo de categorias para microsoft.network/dnsresolverpolicies para o Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para microsoft.network/dnsresolverpolicies para armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para microsoft.network/networkmanagers/ipampools no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o registro em log por grupo de categorias para microsoft.network/networkmanagers/ipampools para o Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o log por grupo de categorias para microsoft.network/networkmanagers/ipampools para armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o log por grupo de categorias para microsoft.network/networksecurityperimeters no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o log por grupo de categorias para microsoft.network/networksecurityperimeters para o Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para microsoft.network/networksecurityperímetros para armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.network/p2svpngateways no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.2.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.network/p2svpngateways no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.network/p2svpngateways no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Habilitar o log por grupo de categorias para microsoft.network/vpngateways no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.network/vpngateways no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para microsoft.network/vpngateways para armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para microsoft.networkanalytics/dataproducts no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o registro em log por grupo de categorias para microsoft.networkanalytics/dataproducts no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.networkanalytics/dataproducts no armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o log por grupo de categorias para microsoft.networkcloud/baremetalmachines no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.networkcloud/baremetalmachines no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para microsoft.networkcloud/baremetalmachines no armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para microsoft.networkcloud/clusters no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o registro em log por grupo de categorias para microsoft.networkcloud/clusters no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para microsoft.networkcloud/clusters para armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.networkcloud/storageappliances no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o registro em log por grupo de categorias para microsoft.networkcloud/storageappliances no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para microsoft.networkcloud/storageappliances no Storage | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o log por grupo de categorias para microsoft.networkfunction/azuretrafficcollectors no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para microsoft.networkfunction/azuretrafficcollectors para o Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o log por grupo de categorias para microsoft.networkfunction/azuretrafficcollectors no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para Gerentes de Rede (microsoft.network/networkmanagers) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Gerentes de Rede (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o registro em log por grupo de categorias para Gerentes de Rede (microsoft.network/networkmanagers) para o Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Gerentes de Rede (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para Gerentes de Rede (microsoft.network/networkmanagers) para Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Gerentes de Rede (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para grupos de segurança de rede (microsoft.network/networksecuritygroups) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para grupos de segurança de rede (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para grupos de segurança de rede (microsoft.network/networksecuritygroups) para o Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para grupos de segurança de rede (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para grupos de segurança de rede (microsoft.network/networksecuritygroups) para Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para grupos de segurança de rede (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para endereços IP Públicos (microsoft.network/publicipaddresses) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos Endereços IP Públicos (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.2.0 |
| Habilitar o registro em log por grupo de categorias para endereços IP Públicos (microsoft.network/publicipaddresses) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Endereços IP Públicos (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para endereços IP Públicos (microsoft.network/publicipaddresses) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Endereços IP Públicos (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Habilitar o log por grupo de categorias para Prefixos IP Públicos (microsoft.network/publicipprefixes) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Prefixos IP Públicos (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o log por grupo de categorias para Prefixos IP Públicos (microsoft.network/publicipprefixes) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Prefixos IP Públicos (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para Prefixos IP Públicos (microsoft.network/publicipprefixes) para Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Prefixos IP Públicos (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para perfis do Gerenciador de Tráfego (microsoft.network/trafficmanagerprofiles) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para perfis do Gerenciador de Tráfego (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o log por grupo de categorias para perfis do Gerenciador de Tráfego (microsoft.network/trafficmanagerprofiles) para o Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para perfis do Gerenciador de Tráfego (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para perfis do Gerenciador de Tráfego (microsoft.network/trafficmanagerprofiles) para Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para perfis do Gerenciador de Tráfego (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para gateways de Rede Virtual (microsoft.network/virtualnetworkgateways) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos nos gateways de Rede Virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.2.0 |
| Habilitar o registro em log por grupo de categorias para gateways de Rede Virtual (microsoft.network/virtualnetworkgateways) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para gateways de Rede Virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias para gateways de Rede Virtual (microsoft.network/virtualnetworkgateways) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para gateways de Rede Virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.1.0 |
| Habilitar o log por grupo de categorias para redes virtuais (microsoft.network/virtualnetworks) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para redes virtuais (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite o log por grupo de categorias para redes virtuais (microsoft.network/virtualnetworks) para o Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para redes virtuais (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o log por grupo de categorias para redes virtuais (microsoft.network/virtualnetworks) para armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para redes virtuais (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilite a regra limite de taxa para proteger contra ataques de DDoS no WAF do Azure Front Door | A regra de limite de taxa do WAF (Firewall de Aplicativo Web do Azure) para o Azure Front Door controla o número de solicitações permitidas de um endereço IP de cliente específico para o aplicativo durante um limite de taxa. | Audit, Deny, desabilitado | 1.0.0 |
| A política de firewall Premium deve permitir que todas as regras de assinatura do IDPS monitorem todos os fluxos de tráfego de entrada e de saída | A habilitação de todas as regras de assinatura do IDPS (Sistema de Detecção e Prevenção contra Intrusões) é recomendada para identificar melhor as ameaças conhecidas nos fluxos de tráfego. Para saber mais sobre as assinaturas do IDPS (Sistema de Detecção e Prevenção contra Intrusões) com o Firewall do Azure Premium, acesse https://aka.ms/fw-idps-signature | Audit, Deny, desabilitado | 1.0.0 |
| A política de firewall Premium deve habilitar o IDPS (Sistema de Detecção e Prevenção contra Intrusões) | A habilitação do IDPS (Sistema de Detecção e Prevenção contra Intrusões) permite que você monitore a rede em busca de atividades mal-intencionadas, registre informações sobre elas, relate-as e, opcionalmente, tente bloqueá-las. Para saber mais sobre o IDPS (Sistema de Detecção e Prevenção contra Intrusões) com o Firewall do Azure Premium, acesse https://aka.ms/fw-idps | Audit, Deny, desabilitado | 1.0.0 |
| Os logs de fluxo deverão ser configurados para cada grupo de segurança de rede | Uma auditoria de grupos de segurança de rede para verificar se os logs de fluxo foram configurados. Habilitar logs de fluxo permite registrar informações sobre o tráfego IP que flui por meio do grupo de segurança de rede. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. | Audit, desabilitado | 1.1.0 |
| As sub-redes de gateway não devem ser configuradas com um grupo de segurança de rede | Essa política negará se uma sub-rede de gateway estiver configurada com um grupo de segurança de rede. Atribuir um grupo de segurança de rede a uma sub-rede de gateway fará com que o gateway pare de funcionar. | deny | 1.0.0 |
| Migrar o WAF da Configuração do WAF para a Política do WAF no Gateway de Aplicativo | Se você tem uma Configuração WAF, em vez de uma Política do WAF, convém mover para a nova política do WAF. No futuro, a política de firewall dará suporte a configurações de política do WAF, conjuntos de regras gerenciados, exclusões e grupos de regras desabilitados. | Audit, Deny, desabilitado | 1.0.0 |
| Os adaptadores de rede devem ser conectados a uma sub-rede aprovada da rede virtual aprovada | Essa política impede que os adaptadores de rede se conectem a uma rede virtual ou sub-rede que não seja aprovada. https://aka.ms/VirtualEnclaves | Audit, Deny, desabilitado | 1.0.0 |
| Os adaptadores de rede devem desabilitar o encaminhamento IP | Essa política nega as interfaces de rede que habilitaram o encaminhamento de IP. A configuração de encaminhamento de IP desabilita a verificação do Azure sobre a origem e o destino de uma interface de rede. Isso deve ser revisado pela equipe de segurança de rede. | deny | 1.0.0 |
| As interfaces de rede não devem ter IPs públicos | Essa política nega as interfaces de rede que são configuradas com qualquer IP público. Os endereços IP públicos permitem que os recursos da Internet se comuniquem internamente com os recursos do Azure e que os recursos do Azure se comuniquem externamente com a Internet. Isso deve ser revisado pela equipe de segurança de rede. | deny | 1.0.0 |
| Os logs de fluxo do Observador de Rede devem ter a análise de tráfego habilitada | A análise de tráfego analisa os logs de fluxo para fornecer insights sobre o fluxo de tráfego em sua nuvem do Azure. Ela pode ser usada para visualizar a atividade de rede em suas assinaturas do Azure e identificar pontos de acesso, identificar ameaças à segurança, entender os padrões de fluxo de tráfego, identificar configurações de rede incorretas e muito mais. | Audit, desabilitado | 1.0.1 |
| O Observador de Rede deve ser habilitado | O Observador de Rede é um serviço regional que permite monitorar e diagnosticar as condições em um nível do cenário da rede em, para e a partir do Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos do Observador de Rede a ser criado em todas as regiões em que uma rede virtual está presente. Um alerta será habilitado se um grupo de recursos do Observador de Rede não estiver disponível em uma região específica. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os logs de recursos dos endereços IP públicos devem ser habilitados para a Proteção contra DDoS do Azure | Habilite logs de recursos para endereços IP em configurações de diagnóstico para transmitir para um workspace do Log Analytics. Obtenha visibilidade detalhada do tráfego de ataque e das ações tomadas para atenuar DDoS por meio de notificações, relatórios e logs de fluxo. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.0.1 |
| As sub-redes devem ser associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra possíveis ameaças, restringindo o acesso a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de controle de acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists, desabilitado | 3.0.0 |
| A assinatura deve configurar o Firewall do Azure Premium para fornecer uma camada adicional de proteção | O Firewall do Azure Premium fornece proteção avançada contra ameaças que atende às necessidades de ambientes altamente confidenciais e regulamentados. Implante o Firewall do Azure Premium na sua assinatura e garanta que todo o tráfego de serviço fique protegido pelo Firewall do Azure Premium. Para saber mais sobre o Firewall do Azure Premium, acesse https://aka.ms/fw-premium | AuditIfNotExists, desabilitado | 1.0.0 |
| As máquinas virtuais devem estar conectadas a uma rede virtual aprovada | Essa política audita as máquinas virtuais que estão conectadas a uma rede virtual que não foi aprovada. | Audit, Deny, desabilitado | 1.0.0 |
| As redes virtuais devem ser protegidas pela Proteção contra DDoS do Azure | Proteja suas redes virtuais contra ataques volumétricos e de protocolo com a Proteção contra DDoS do Azure. Para obter mais informações, visite https://aka.ms/ddosprotectiondocs. | Modify, Audit, desabilitado | 1.0.1 |
| As redes virtuais devem usar o gateway de rede virtual especificado | Essa política audita as redes virtuais em que a rota padrão não aponta para o gateway de rede virtual especificado. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os gateways de VPN devem usar somente a autenticação do Azure AD (Active Directory) para usuários de ponto a site | Desabilitar os métodos de autenticação local melhora a segurança, garantindo que os gateways de VPN usem apenas identidades do Azure Active Directory para a autenticação. Para saber mais sobre a autenticação do Azure AD, confira https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Deny, desabilitado | 1.0.0 |
| O WAF (Firewall do Aplicativo Web) deve ser habilitado para o Gateway de Aplicativo | Implante o WAF (Firewall de Aplicativo Web) do Azure na frente de aplicativos Web voltados para o público para que haja uma inspeção adicional do tráfego de entrada. O WAF (Firewall de Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns como injeções de SQL, Cross-Site Scripting e execuções de arquivo locais e remotas. Você também pode restringir o acesso aos seus aplicativos Web de países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Audit, Deny, desabilitado | 2.0.0 |
| O WAF (Firewall de Aplicativo Web) deve habilitar todas as regras de firewall para o Gateway de Aplicativo | Habilitar todas as regras do WAF (Firewall de Aplicativo Web) fortalece a segurança do aplicativo e protege seus aplicativos Web contra vulnerabilidades comuns. Para saber mais sobre o WAF (Firewall de Aplicativo Web) no Gateway de Aplicativo, acesse https://aka.ms/waf-ag | Audit, Deny, desabilitado | 1.0.1 |
| O WAF (Firewall do Aplicativo Web) deve usar o modo especificado para Gateway de Aplicativo | Exige que o uso do modo 'Detecção' ou 'Prevenção' esteja ativo em todas as políticas de Firewall do Aplicativo Web para Gateway de Aplicativo. | Audit, Deny, desabilitado | 1.0.0 |
| O WAF (Firewall do Aplicativo Web) deve usar o modo especificado para o Azure Front Door Service | Exige que o uso do modo 'Detecção' ou 'Prevenção' esteja ativo em todas as políticas de Firewall do Aplicativo Web para o Azure Front Door Service. | Audit, Deny, desabilitado | 1.0.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.