Сведения о встроенной инициативе по соответствию нормативным требованиям CIS Microsoft Azure Foundations Benchmark 2.0.0

Статья
04/17/2024

В следующей статье описано, как встроенное определение инициативы соответствия нормативным требованиям Политика Azure сопоставляется с доменами соответствия требованиям и элементами управления в cis Microsoft Azure Foundations Benchmark 2.0.0. Дополнительные сведения об этом стандарте соответствия см. в разделе CIS Microsoft Azure Foundations Benchmark 2.0.0. Сведения о термине Ответственность см. в статьях Определение службы "Политика Azure" и Разделение ответственности в облаке.

Следующие сопоставления относятся к элементам управления CIS Microsoft Azure Foundations Benchmark 2.0.0 . Многие элементы управления реализуются с помощью определения инициативы Политики Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите встроенное определение инициативы cis Microsoft Azure Foundations Benchmark версии 2.0.0 . Соответствие нормативным требованиям.

Внимание

Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.

1,1

Убедитесь, что параметры безопасности по умолчанию включены в Azure Active Directory

Id: CIS Microsoft Azure Foundations Benchmark рекомендации 1.1.1 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Внедрение механизмов биометрической проверки подлинности	CMA_0005 — Внедрение механизмов биометрической проверки подлинности	Вручную, отключено	1.1.0
Аутентификация в криптографическом модуле	CMA_0021 — Аутентификация в криптографическом модуле	Вручную, отключено	1.1.0
Авторизация удаленного доступа	CMA_0024 — Авторизация удаленного доступа	Вручную, отключено	1.1.0
Документирование обучения мобильности	CMA_0191 — Документирование обучения мобильности	Вручную, отключено	1.1.0
Документирование инструкций по удаленному доступу	CMA_0196 — Документирование инструкций по удаленному доступу	Вручную, отключено	1.1.0
Идентификация и аутентификация сетевых устройств	CMA_0296 — Идентификация и аутентификация сетевых устройств	Вручную, отключено	1.1.0
Реализация элементов управления для защиты альтернативных рабочих сайтов	CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов	Вручную, отключено	1.1.0
Обучение в области конфиденциальности	CMA_0415 — Обучение в области конфиденциальности	Вручную, отключено	1.1.0
Выполнение требований к качеству токена	CMA_0487 — Выполнение требований к качеству токена	Вручную, отключено	1.1.0

Убедитесь, что "Состояние многофакторной проверки подлинности" включено для всех привилегированных пользователей

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.1.2 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA	Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов.	AuditIfNotExists, Disabled	1.0.0
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA	Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов.	AuditIfNotExists, Disabled	1.0.0
Внедрение механизмов биометрической проверки подлинности	CMA_0005 — Внедрение механизмов биометрической проверки подлинности	Вручную, отключено	1.1.0

Убедитесь, что параметр "Состояние многофакторной проверки подлинности" включен для всех пользователей, не являющихся привилегированными

Идентификатор: рекомендация 1.1.1.3 Для тестирования платформы CIS: shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA	Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов.	AuditIfNotExists, Disabled	1.0.0
Внедрение механизмов биометрической проверки подлинности	CMA_0005 — Внедрение механизмов биометрической проверки подлинности	Вручную, отключено	1.1.0

Убедитесь, что параметр "Разрешить пользователям запоминать многофакторную проверку подлинности на устройствах, которым они доверяют", отключен

Идентификатор: рекомендация 1.1.1.4 Benchmark cis Microsoft Azure Foundations Benchmark: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Внедрение механизмов биометрической проверки подлинности	CMA_0005 — Внедрение механизмов биометрической проверки подлинности	Вручную, отключено	1.1.0
Идентификация и аутентификация сетевых устройств	CMA_0296 — Идентификация и аутентификация сетевых устройств	Вручную, отключено	1.1.0
Выполнение требований к качеству токена	CMA_0487 — Выполнение требований к качеству токена	Вручную, отключено	1.1.0

1

Убедитесь, что "Уведомите всех администраторов, когда другие администраторы сбрасывают свой пароль?" имеет значение "Да"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.10 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Автоматизация управления учетными записями	CMA_0026 — Автоматизация управления учетными записями	Вручную, отключено	1.1.0
Реализация обучения для защиты структур проверки подлинности	CMA_0329 — Реализация обучения для защиты структур проверки подлинности	Вручную, отключено	1.1.0
Управление системной учетной записью и учетной записью администратора	CMA_0368 — Управление системной учетной записью и учетной записью администратора	Вручную, отключено	1.1.0
Мониторинг доступа в организации	CMA_0376 — Мониторинг доступа в организации	Вручную, отключено	1.1.0
Мониторинг назначения привилегированной роли	CMA_0378 — Мониторинг назначения привилегированной роли	Вручную, отключено	1.1.0
Уведомление о том, что учетная запись не требуется	CMA_0383 — Уведомление о том, что учетная запись не требуется	Вручную, отключено	1.1.0
Ограничение доступа к привилегированным учетным записям	CMA_0446 — Ограничение доступа к привилегированным учетным записям	Вручную, отключено	1.1.0
Отзыв привилегированных ролей при необходимости	CMA_0483 — Отзыв привилегированных ролей при необходимости	Вручную, отключено	1.1.0
Использование Privileged Identity Management	CMA_0533 — Использование Privileged Identity Management	Вручную, отключено	1.1.0

Убедитесь, `User consent for applications` что задано значение `Do not allow user consent`

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 1.11 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0

Убедитесь, что "Пользователи могут добавлять приложения коллекции в Мои приложения" имеет значение "Нет"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.13 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0

Убедитесь, что параметр "Пользователи могут зарегистрировать приложения" имеет значение "Нет"

Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 1.14 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0

Убедитесь, что для гостевых пользователей задано значение "Гостевой доступ пользователей ограничен свойствами и членством в своих собственных объектах каталога".

Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 1.15 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Проектирование модели управления доступом	CMA_0129 — Проектирование модели управления доступом	Вручную, отключено	1.1.0
Использование минимальных прав доступа	CMA_0212 — Использование минимальных прав доступа	Вручную, отключено	1.1.0
Принудительный логический доступ	CMA_0245 — Принудительный логический доступ	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Требование утверждения для создания учетной записи	CMA_0431 — Требование утверждения для создания учетной записи	Вручную, отключено	1.1.0
Проверка групп пользователей и приложений с доступом к конфиденциальным данным	CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным	Вручную, отключено	1.1.0

Убедитесь, что для параметра "Ограничения гостевого приглашения" задано значение "Только пользователи, назначенные определенным ролям администратора, могут приглашать гостевых пользователей".

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.16 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Проектирование модели управления доступом	CMA_0129 — Проектирование модели управления доступом	Вручную, отключено	1.1.0
Использование минимальных прав доступа	CMA_0212 — Использование минимальных прав доступа	Вручную, отключено	1.1.0
Принудительный логический доступ	CMA_0245 — Принудительный логический доступ	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Требование утверждения для создания учетной записи	CMA_0431 — Требование утверждения для создания учетной записи	Вручную, отключено	1.1.0
Проверка групп пользователей и приложений с доступом к конфиденциальным данным	CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным	Вручную, отключено	1.1.0

Убедитесь, что параметр "Ограничить доступ к порталу администрирования Azure AD" имеет значение "Да"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.17 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительный логический доступ	CMA_0245 — Принудительный логический доступ	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Требование утверждения для создания учетной записи	CMA_0431 — Требование утверждения для создания учетной записи	Вручную, отключено	1.1.0
Проверка групп пользователей и приложений с доступом к конфиденциальным данным	CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным	Вручную, отключено	1.1.0

Убедитесь, что параметр "Ограничить доступ пользователем к функциям групп в области доступа" имеет значение "Да"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.18 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Внедрение и документирование процессов управления изменениями	CMA_0265 — Внедрение и документирование процессов управления изменениями	Вручную, отключено	1.1.0

Убедитесь, что "Пользователи могут создавать группы безопасности в портал Azure, API или PowerShell" имеет значение "Нет".

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 1.19 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Внедрение и документирование процессов управления изменениями	CMA_0265 — Внедрение и документирование процессов управления изменениями	Вручную, отключено	1.1.0

Убедитесь, что параметр "Владельцы могут управлять запросами о членстве в группах на панели доступа" имеет значение "Нет"

Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 1.20 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Внедрение и документирование процессов управления изменениями	CMA_0265 — Внедрение и документирование процессов управления изменениями	Вручную, отключено	1.1.0

Убедитесь, что "Пользователи могут создавать группы Microsoft 365 в портал Azure, API или PowerShell" имеет значение "Нет".

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.21 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Внедрение и документирование процессов управления изменениями	CMA_0265 — Внедрение и документирование процессов управления изменениями	Вручную, отключено	1.1.0

Убедитесь, что для регистрации или соединения устройств с Azure AD требуется многофакторная проверка подлинности. Для параметра "Да"

Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 1.22 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Внедрение механизмов биометрической проверки подлинности	CMA_0005 — Внедрение механизмов биометрической проверки подлинности	Вручную, отключено	1.1.0
Авторизация удаленного доступа	CMA_0024 — Авторизация удаленного доступа	Вручную, отключено	1.1.0
Документирование обучения мобильности	CMA_0191 — Документирование обучения мобильности	Вручную, отключено	1.1.0
Документирование инструкций по удаленному доступу	CMA_0196 — Документирование инструкций по удаленному доступу	Вручную, отключено	1.1.0
Идентификация и аутентификация сетевых устройств	CMA_0296 — Идентификация и аутентификация сетевых устройств	Вручную, отключено	1.1.0
Реализация элементов управления для защиты альтернативных рабочих сайтов	CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов	Вручную, отключено	1.1.0
Обучение в области конфиденциальности	CMA_0415 — Обучение в области конфиденциальности	Вручную, отключено	1.1.0
Выполнение требований к качеству токена	CMA_0487 — Выполнение требований к качеству токена	Вручную, отключено	1.1.0

Убедитесь, что нет ролей пользовательской подписки Администратор istrator

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 1.23 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Аудит использования пользовательских ролей RBAC	Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз.	Audit, Disabled	1.0.1
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Проектирование модели управления доступом	CMA_0129 — Проектирование модели управления доступом	Вручную, отключено	1.1.0
Использование минимальных прав доступа	CMA_0212 — Использование минимальных прав доступа	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Внедрение и документирование процессов управления изменениями	CMA_0265 — Внедрение и документирование процессов управления изменениями	Вручную, отключено	1.1.0

Убедитесь, что настраиваемая роль назначена разрешения для Администратор стеринга блокировок ресурсов

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.24 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Внедрение и документирование процессов управления изменениями	CMA_0265 — Внедрение и документирование процессов управления изменениями	Вручную, отключено	1.1.0

Убедитесь, что гостевые пользователи регулярно проверяются

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.5 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены	Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ.	AuditIfNotExists, Disabled	1.0.0
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены	Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ.	AuditIfNotExists, Disabled	1.0.0
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены	Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ.	AuditIfNotExists, Disabled	1.0.0
Переназначение или удаление привилегий пользователя при необходимости	CMA_C1040 — Переназначение или удаление привилегий пользователя при необходимости	Вручную, отключено	1.1.0
Проверка журналов подготовки учетных записей	CMA_0460 — Проверка журналов подготовки учетных записей	Вручную, отключено	1.1.0
Проверка учетных записей пользователей	CMA_0480 — Проверка учетных записей пользователей	Вручную, отключено	1.1.0
Проверка привилегий пользователя	CMA_C1039 — Проверка привилегий пользователя	Вручную, отключено	1.1.0

Убедитесь, что "Число дней до того, как пользователи просят повторно подтвердить свою проверку подлинности", не задано значение "0"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.8 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Автоматизация управления учетными записями	CMA_0026 — Автоматизация управления учетными записями	Вручную, отключено	1.1.0
Управление системной учетной записью и учетной записью администратора	CMA_0368 — Управление системной учетной записью и учетной записью администратора	Вручную, отключено	1.1.0
Мониторинг доступа в организации	CMA_0376 — Мониторинг доступа в организации	Вручную, отключено	1.1.0
Уведомление о том, что учетная запись не требуется	CMA_0383 — Уведомление о том, что учетная запись не требуется	Вручную, отключено	1.1.0

Убедитесь, что параметр "Уведомлять пользователей о сбросе пароля?" имеет значение "Да"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.9 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Автоматизация управления учетными записями	CMA_0026 — Автоматизация управления учетными записями	Вручную, отключено	1.1.0
Реализация обучения для защиты структур проверки подлинности	CMA_0329 — Реализация обучения для защиты структур проверки подлинности	Вручную, отключено	1.1.0
Управление системной учетной записью и учетной записью администратора	CMA_0368 — Управление системной учетной записью и учетной записью администратора	Вручную, отключено	1.1.0
Мониторинг доступа в организации	CMA_0376 — Мониторинг доступа в организации	Вручную, отключено	1.1.0
Уведомление о том, что учетная запись не требуется	CMA_0383 — Уведомление о том, что учетная запись не требуется	Вручную, отключено	1.1.0

10

Убедитесь, что блокировки ресурсов настроены для критически важных ресурсов Azure

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 10.1 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Внедрение и документирование процессов управления изменениями	CMA_0265 — Внедрение и документирование процессов управления изменениями	Вручную, отключено	1.1.0

2.1

Убедитесь, что в Microsoft Defender для серверов задано значение "Включено"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.1.1 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Azure Defender для серверов должен быть включен	Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях.	AuditIfNotExists, Disabled	1.0.3
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Убедитесь, что в Microsoft Defender для Key Vault задано значение "Включено"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.1.10 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Azure Defender для Key Vault должен быть включен	Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей.	AuditIfNotExists, Disabled	1.0.3
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Убедитесь, что в Microsoft Defender для DNS задано значение "включено"

Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 2.1.11:11 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
[Не рекомендуется]: Azure Defender для DNS следует включить	Это определение политики больше не рекомендуется для достижения намерения, так как пакет DNS устарел. Вместо продолжения использования этой политики рекомендуется назначить эту политику замены с идентификатором политики 4da35fc9-c9e7-4960-aec9-797fe7d9051d. Дополнительные сведения об отмене определения политики см. в aka.ms/policydefdeprecation	AuditIfNotExists, Disabled	1.1.0-устаревший

Убедитесь, что в Microsoft Defender для Resource Manager задано значение "включено"

Идентификатор: рекомендация 2.1.1.12 Benchmark cis Microsoft Azure Foundations Benchmark: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Azure Defender для Resource Manager должен быть включен	Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center.	AuditIfNotExists, Disabled	1.0.0

Убедитесь, что для состояния "Применить обновления системы" для Microsoft Defender задано значение "Завершено"

Идентификатор: рекомендация 2.1.1.13 Cis Microsoft Azure Foundations Benchmark: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Компьютеры должны быть настроены для периодического проверка для отсутствующих обновлений системы	Чтобы периодические оценки отсутствующих системных обновлений запускались автоматически каждые 24 часа, для свойства AssessmentMode должно быть задано значение "AutomaticByPlatform". Дополнительные сведения о свойстве AssessmentMode см. в следующих разделах: для Windows: https://aka.ms/computevm-windowspatchassessmentmode, для Linux: https://aka.ms/computevm-linuxpatchassessmentmode.	Audit, Deny, Disabled	3.7.0

Убедитесь, что для политики ASC по умолчанию Параметры не задано значение "Отключено"

Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 2.1.14 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Настройка действий для несоответствующих устройств	CMA_0062 — Настройка действий для несоответствующих устройств	Вручную, отключено	1.1.0
Разработка и настройка базовых конфигураций	CMA_0153 — Разработка и настройка базовых конфигураций	Вручную, отключено	1.1.0
Принудительное применение параметров конфигурации безопасности	CMA_0249 — Принудительное применение параметров конфигурации безопасности	Вручную, отключено	1.1.0
Создание совета по контролю за конфигурацией	CMA_0254 — Создание совета по контролю за конфигурацией	Вручную, отключено	1.1.0
Определение и документирование плана управления конфигурацией	CMA_0264 — Определение и документирование плана управления конфигурацией	Вручную, отключено	1.1.0
Реализация средства автоматизированного управления конфигурацией	CMA_0311 — Реализация средства автоматизированного управления конфигурацией	Вручную, отключено	1.1.0

Убедитесь, что автоматическая подготовка агента Log Analytics для виртуальных машин Azure имеет значение "Вкл."

Идентификатор: рекомендация 2.1.1.15 Benchmark cis Microsoft Azure Foundations Benchmark: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
В подписке должна быть включена автоматическая подготовка агента Log Analytics	Чтобы отслеживать уязвимости и угрозы безопасности, Центр безопасности Azure собирает данные из виртуальных машин Azure. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Мы рекомендуем включить автоматическую подготовку для автоматического развертывания агента на всех поддерживаемых виртуальных машинах Azure, включая те, которые созданы недавно.	AuditIfNotExists, Disabled	1.0.1
Документирование операций по обеспечению безопасности	CMA_0202 — Документирование операций по обеспечению безопасности	Вручную, отключено	1.1.0
Включение датчиков для решения безопасности конечной точки	CMA_0514 — Включение датчиков для решения безопасности конечной точки	Вручную, отключено	1.1.0

Убедитесь, что автоматическая подготовка компонентов Microsoft Defender для контейнеров имеет значение "Вкл.

Идентификатор: Рекомендация 2.1.1.17 Cis Microsoft Azure Foundations Benchmark: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Microsoft Defender для контейнеров должен быть включен	Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках.	AuditIfNotExists, Disabled	1.0.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Убедитесь, что "Дополнительные адреса электронной почты" настроены с помощью электронной почты контакта безопасности

Идентификатор: рекомендация 2.1.1.19 Benchmark cis Microsoft Azure Foundations Benchmark: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности	Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности.	AuditIfNotExists, Disabled	1.0.1

Убедитесь, что в Microsoft Defender для Служба приложений задано значение "Вкл.

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.1.2 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Azure Defender для Службы приложений должен быть включен	Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения.	AuditIfNotExists, Disabled	1.0.3
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Убедитесь, что для параметра "Уведомление о оповещениях со следующим уровнем серьезности" задано значение "Высокий"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.1.20 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте	Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности.	AuditIfNotExists, Disabled	1.1.0

Убедитесь, что интеграция приложений Microsoft Defender для облака с Microsoft Defender для облака выбрана

Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 2.1.21: Общие права владения

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Убедитесь, что выбрана интеграция Microsoft Defender для конечной точки с Microsoft Defender для облака

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.1.22 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Убедитесь, что в Microsoft Defender для баз данных задано значение "включено"

Id: CIS Microsoft Azure Foundations Benchmark рекомендации 2.1.3 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Azure Defender для серверов Базы данных SQL Azure должен быть включен	Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных.	AuditIfNotExists, Disabled	1.0.2
Azure Defender для реляционных баз данных с открытым кодом должен быть включен	Azure Defender для реляционных баз данных с открытым кодом выявляет аномальную активность, указывающую на нетипичные и потенциально опасные попытки доступа к базам данных или проникновение в них с помощью эксплойтов. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. здесь: https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Узнать о ценах можно на странице цен на Центр безопасности: https://aka.ms/pricing-security-center.	AuditIfNotExists, Disabled	1.0.0
Azure Defender для серверов SQL на компьютерах должен быть включен	Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных.	AuditIfNotExists, Disabled	1.0.2
Должен быть включен Microsoft Defender для Azure Cosmos DB	Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает все попытки использования баз данных в учетных записях Azure Cosmos DB. Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты на основе аналитики угроз Майкрософт, подозрительные шаблоны доступа и потенциальную возможность использования базы данных с помощью скомпрометированных удостоверений или злоумышленников внутри организации.	AuditIfNotExists, Disabled	1.0.0

Убедитесь, что в Microsoft Defender для База данных SQL Azure задано значение "Вкл".

Идентификатор: рекомендация 2.1.4 Benchmark cis Microsoft Azure Foundations Benchmark: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Azure Defender для серверов Базы данных SQL Azure должен быть включен	Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных.	AuditIfNotExists, Disabled	1.0.2
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Убедитесь, что Microsoft Defender для СЕРВЕРОВ SQL Server на компьютерах имеет значение "включено"

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 2.1.5: общие права владения

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Azure Defender для серверов SQL на компьютерах должен быть включен	Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных.	AuditIfNotExists, Disabled	1.0.2
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Убедитесь, что в Microsoft Defender для реляционных баз данных с открытым исходным кодом задано значение "включено"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.1.6 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Azure Defender для реляционных баз данных с открытым кодом должен быть включен	Azure Defender для реляционных баз данных с открытым кодом выявляет аномальную активность, указывающую на нетипичные и потенциально опасные попытки доступа к базам данных или проникновение в них с помощью эксплойтов. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. здесь: https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Узнать о ценах можно на странице цен на Центр безопасности: https://aka.ms/pricing-security-center.	AuditIfNotExists, Disabled	1.0.0

Убедитесь, что в Microsoft Defender для служба хранилища задано значение "включено"

Идентификатор: рекомендация 2.1.7 Benchmark cis Microsoft Azure Foundations Benchmark: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Необходимо включить Microsoft Defender для службы хранилища	Microsoft Defender для служба хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для служба хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами.	AuditIfNotExists, Disabled	1.0.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Убедитесь, что в Microsoft Defender для контейнеров задано значение "включено"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.1.8 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Microsoft Defender для контейнеров должен быть включен	Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках.	AuditIfNotExists, Disabled	1.0.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Убедитесь, что в Microsoft Defender для Azure Cosmos DB задано значение "Вкл".

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.1.9 Ownership: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Должен быть включен Microsoft Defender для Azure Cosmos DB	Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает все попытки использования баз данных в учетных записях Azure Cosmos DB. Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты на основе аналитики угроз Майкрософт, подозрительные шаблоны доступа и потенциальную возможность использования базы данных с помощью скомпрометированных удостоверений или злоумышленников внутри организации.	AuditIfNotExists, Disabled	1.0.0

3

Обеспечение того, что для параметра "Требуется безопасное перемещение" задано значение "Включено"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.1 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Настройка рабочих станций для проверки на наличие цифровых сертификатов	CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов	Вручную, отключено	1.1.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита паролей с помощью шифрования	CMA_0408 — Защита паролей с помощью шифрования	Вручную, отключено	1.1.0
Должно выполняться безопасное перемещение в учетные записи хранения	Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса.	Audit, Deny, Disabled	2.0.0

Убедитесь, что частные конечные точки используются для доступа к учетным записям служба хранилища

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 3.10 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Учетные записи хранения должны использовать приватный канал	Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview.	AuditIfNotExists, Disabled	2.0.0

Убедитесь, что служба хранилища для критически важных данных шифруются с помощью ключей, управляемых клиентом

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 3.12 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Создание процедуры управления утечкой данных	CMA_0255 — Создание процедуры управления утечкой данных	Вручную, отключено	1.1.0
Реализация элементов управления для защиты всех носителей	CMA_0314 — Реализация элементов управления для защиты всех носителей	Вручную, отключено	1.1.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита специальной информации	CMA_0409 — Защита специальной информации	Вручную, отключено	1.1.0
В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования	Обеспечьте более гибкую защиту своей учетной записи хранения BLOB-объектов и файлов, используя ключи, управляемые клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных.	Audit, Disabled	1.0.3

Убедитесь, что служба хранилища ведение журнала включено для службы BLOB-объектов для запросов "Чтение", "Запись" и "Удаление"

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 3.13 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Настройка возможностей аудита Azure	CMA_C1108. Настройка возможностей аудита Azure	Вручную, отключено	1.1.1
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Убедитесь, что служба хранилища ведение журнала включено для службы таблиц для запросов "Чтение", "Запись" и "Удаление"

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 3.14 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Настройка возможностей аудита Azure	CMA_C1108. Настройка возможностей аудита Azure	Вручную, отключено	1.1.1
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Убедитесь, что в качестве минимальной версии TLS для учетных записей хранения задано значение "Версия 1.2".

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 3.15 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Настройка рабочих станций для проверки на наличие цифровых сертификатов	CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов	Вручную, отключено	1.1.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита паролей с помощью шифрования	CMA_0408 — Защита паролей с помощью шифрования	Вручную, отключено	1.1.0
У учетных записей хранения должна быть указанная минимальная версия TLS	Настройте минимальную версию TLS для безопасного взаимодействия между клиентским приложением и учетной записью хранения. Чтобы свести к минимуму риск безопасности, в качестве минимальной версии TLS рекомендуется использовать последнюю выпущенную версию (в настоящее время это TLS 1.2).	Audit, Deny, Disabled	1.0.0

Убедитесь, что параметр "Включить шифрование инфраструктуры" для каждой учетной записи служба хранилища в служба хранилища Azure задано значение "Включено".

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.2 Ownership: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
В учетных записях хранения должно быть включено шифрование инфраструктуры.	Включите шифрование инфраструктуры для более высокого уровня гарантии безопасности данных. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды.	Audit, Deny, Disabled	1.0.0

Убедитесь, что ключи доступа к учетной записи служба хранилища периодически повторно создаются

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.4 Ownership: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Определение физического процесса управления ключами	CMA_0115 — Определение физического процесса управления ключами	Вручную, отключено	1.1.0
Определение использования шифрования	CMA_0120 — Определение использования шифрования	Вручную, отключено	1.1.0
Определение требований организации к управлению криптографическими ключами	CMA_0123 — Определение требований организации к управлению криптографическими ключами	Вручную, отключено	1.1.0
Определение требований к утверждению	CMA_0136 — Определение требований к утверждению	Вручную, отключено	1.1.0
Выдача сертификатов открытого ключа	CMA_0347 — Выдача сертификатов открытого ключа	Вручную, отключено	1.1.0
Управление симметричными криптографическими ключами	CMA_0367 — Управление симметричными криптографическими ключами	Вручную, отключено	1.1.0
Ограничение доступа к закрытым ключам	CMA_0445 — Ограничение доступа к закрытым ключам	Вручную, отключено	1.1.0

Убедитесь, что служба хранилища ведение журнала включено для службы очередей для запросов "Чтение", "Запись" и "Удаление"

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 3.5 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Настройка возможностей аудита Azure	CMA_C1108. Настройка возможностей аудита Azure	Вручную, отключено	1.1.1
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Убедитесь, что срок действия маркеров подписи общего доступа истекает в течение часа

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.6 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Отключение структур проверки подлинности при удалении	CMA_0169 — Отключение структур проверки подлинности при удалении	Вручную, отключено	1.1.0
Отзыв привилегированных ролей при необходимости	CMA_0483 — Отзыв привилегированных ролей при необходимости	Вручную, отключено	1.1.0
Автоматическое завершение сеанса пользователя	CMA_C1054 — Автоматическое завершение сеанса пользователя	Вручную, отключено	1.1.0

Убедитесь, что "Уровень общедоступного доступа" отключен для учетных записей хранения с контейнерами BLOB-объектов

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.7 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен	Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария.	audit, Audit, deny, Deny, disabled, Disabled	3.1.0-preview
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительный логический доступ	CMA_0245 — Принудительный логический доступ	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Требование утверждения для создания учетной записи	CMA_0431 — Требование утверждения для создания учетной записи	Вручную, отключено	1.1.0
Проверка групп пользователей и приложений с доступом к конфиденциальным данным	CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным	Вручную, отключено	1.1.0

Убедитесь, что правило доступа к сети по умолчанию для учетных записей служба хранилища имеет значение "Запретить"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.8 Владение: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Учетные записи хранения должны ограничивать доступ к сети.	Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов.	Audit, Deny, Disabled	1.1.1
Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети	Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения.	Audit, Deny, Disabled	1.0.1

Убедитесь, что служба Azure в списке доверенных служб для доступа к этой учетной записи хранения включена для доступа к учетной записи служба хранилища

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 3.9 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Управление потоком информации	CMA_0079 — Управление потоком информации	Вручную, отключено	1.1.0
Применение механизмов управления потоком зашифрованных данных	CMA_0211 — Применение механизмов управления потоком зашифрованных данных	Вручную, отключено	1.1.0
Установка стандартов конфигурации брандмауэра и маршрутизатора	CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора	Вручную, отключено	1.1.0
Создание сегментации сети для среды данных держателей карт	CMA_0273 — Создание сегментации сети для среды данных держателей карт	Вручную, отключено	1.1.0
Определение обмена нисходящими данными и управление им	CMA_0298 — Определение обмена нисходящими данными и управление им	Вручную, отключено	1.1.0
Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт	Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения.	Audit, Deny, Disabled	1.0.0

4,1

Обеспечение того, что для параметра "Аудит" задано значение "Вкл."

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.1.1 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Необходимо включить аудит на сервере SQL	Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server.	AuditIfNotExists, Disabled	2.0.0
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Убедитесь, что нет База данных SQL Azure разрешать входящий трафик с 0.0.0.0/0 (ЛЮБОй IP-адрес)

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.1.2: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Управление потоком информации	CMA_0079 — Управление потоком информации	Вручную, отключено	1.1.0
Применение механизмов управления потоком зашифрованных данных	CMA_0211 — Применение механизмов управления потоком зашифрованных данных	Вручную, отключено	1.1.0
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен	Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети.	Audit, Deny, Disabled	1.1.0

Убедитесь, что средство защиты прозрачное шифрование данных (TDE) SQL Server шифруется с помощью ключа, управляемого клиентом

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.1.3 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Создание процедуры управления утечкой данных	CMA_0255 — Создание процедуры управления утечкой данных	Вручную, отключено	1.1.0
Реализация элементов управления для защиты всех носителей	CMA_0314 — Реализация элементов управления для защиты всех носителей	Вручную, отключено	1.1.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита специальной информации	CMA_0409 — Защита специальной информации	Вручную, отключено	1.1.0
Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных	Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию.	Audit, Deny, Disabled	2.0.0
Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных	Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию.	Audit, Deny, Disabled	2.0.1

Убедитесь, что Администратор Azure Active Directory настроены для СЕРВЕРОВ SQL Server

Идентификатор: рекомендация 4.1.4 По обеспечению владения cis Microsoft Azure Foundations Benchmark: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Для серверов SQL должен быть подготовлен администратор Azure Active Directory	Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт.	AuditIfNotExists, Disabled	1.0.0
Автоматизация управления учетными записями	CMA_0026 — Автоматизация управления учетными записями	Вручную, отключено	1.1.0
Управление системной учетной записью и учетной записью администратора	CMA_0368 — Управление системной учетной записью и учетной записью администратора	Вручную, отключено	1.1.0
Мониторинг доступа в организации	CMA_0376 — Мониторинг доступа в организации	Вручную, отключено	1.1.0
Уведомление о том, что учетная запись не требуется	CMA_0383 — Уведомление о том, что учетная запись не требуется	Вручную, отключено	1.1.0

Обеспечение того, что для параметра "Шифрование данных" в Базе данных SQL установлено значение "Вкл."

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.1.5 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Создание процедуры управления утечкой данных	CMA_0255 — Создание процедуры управления утечкой данных	Вручную, отключено	1.1.0
Реализация элементов управления для защиты всех носителей	CMA_0314 — Реализация элементов управления для защиты всех носителей	Вручную, отключено	1.1.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита специальной информации	CMA_0409 — Защита специальной информации	Вручную, отключено	1.1.0
В базах данных SQL должно применяться прозрачное шифрование данных	Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных.	AuditIfNotExists, Disabled	2.0.0

Обеспечение того, что задан период хранения данных аудита более 90 дней

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.1.6 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Соблюдение заданных периодов хранения	CMA_0004 — Соблюдение заданных периодов хранения	Вручную, отключено	1.1.0
Управление действиями по обработке данных аудита и их мониторинг	CMA_0289 — Управление действиями по обработке данных аудита и их мониторинг	Вручную, отключено	1.1.0
Сохранение политик и процедур безопасности	CMA_0454 — Сохранение политик и процедур безопасности	Вручную, отключено	1.1.0
Сохранение данных удаленных пользователей	CMA_0455 — Сохранение данных удаленных пользователей	Вручную, отключено	1.1.0
Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более	Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL Server в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам.	AuditIfNotExists, Disabled	3.0.0

4.2

Убедитесь, что в Microsoft Defender для SQL задано значение "Включено" для критически важных серверов SQL Server

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.2.1 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL	Аудит серверов SQL без Расширенной защиты данных	AuditIfNotExists, Disabled	2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL	Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных.	AuditIfNotExists, Disabled	1.0.2
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0

Обеспечение того, что оценка уязвимостей включена на сервере SQL путем задания учетной записи хранения

Идентификатор: рекомендация 4.2.2.2.2 Benchmark cis для платформы CIS: shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Устранение недостатков информационной системы	CMA_0427 — Устранение недостатков информационной системы	Вручную, отключено	1.1.0
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей	Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных.	AuditIfNotExists, Disabled	1.0.1
На серверах SQL Server должна быть включена оценка уязвимости	Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных.	AuditIfNotExists, Disabled	3.0.0

Убедитесь, что для каждого СЕРВЕРА SQL Server задан параметр "Периодическое повторяющееся сканирование" для параметра "Оценка уязвимостей" (VA)

Идентификатор: рекомендация 4.2.3 По обеспечению владения cis Microsoft Azure Foundations Benchmark: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Устранение недостатков информационной системы	CMA_0427 — Устранение недостатков информационной системы	Вручную, отключено	1.1.0
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей	Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных.	AuditIfNotExists, Disabled	1.0.1

Убедитесь, что параметр "Отправка отчетов проверки уязвимостей" настроен для SQL Server

Идентификатор: рекомендация 4.2.4 Владения cis Microsoft Azure Foundations Benchmark: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Корреляция сведений об проверке уязвимостей	CMA_C1558 . Сопоставление сведений об проверке уязвимостей	Вручную, отключено	1.1.1
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Устранение недостатков информационной системы	CMA_0427 — Устранение недостатков информационной системы	Вручную, отключено	1.1.0
На серверах SQL Server должна быть включена оценка уязвимости	Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных.	AuditIfNotExists, Disabled	3.0.0

Убедитесь, что для каждого SQL Server задан параметр оценки уязвимостей (VA) "Кроме того, Уведомления по электронной почте отправлять Уведомления по электронной почте администраторам и владельцам подписок".

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.2.5: shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Корреляция сведений об проверке уязвимостей	CMA_C1558 . Сопоставление сведений об проверке уязвимостей	Вручную, отключено	1.1.1
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Устранение недостатков информационной системы	CMA_0427 — Устранение недостатков информационной системы	Вручную, отключено	1.1.0
Уязвимости, обнаруженные в базах данных SQL, должны быть устранены	Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных.	AuditIfNotExists, Disabled	4.1.0
На серверах SQL Server должна быть включена оценка уязвимости	Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных.	AuditIfNotExists, Disabled	3.0.0

4.3

Обеспечение того, что параметр "Принудительно использовать SSL-соединение" включен для сервера баз данных PostgreSQL

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.3.1 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Настройка рабочих станций для проверки на наличие цифровых сертификатов	CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов	Вручную, отключено	1.1.0
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения	База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных.	Audit, Disabled	1.0.1
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита паролей с помощью шифрования	CMA_0408 — Защита паролей с помощью шифрования	Вручную, отключено	1.1.0

Убедитесь, что параметр сервера "log_проверка points" имеет значение ON для сервера Postgre База данных SQL Server

Идентификатор: рекомендация 4.3.2 По обеспечению владения cis Microsoft Azure Foundations Benchmark: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
На серверах баз данных PostgreSQL должны быть включены контрольные точки журнала	Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, в которых не включен параметр log_checkpoints.	AuditIfNotExists, Disabled	1.0.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Обеспечение того, что параметр log_connections включен для сервера базы данных PostgreSQL

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.3.3 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
На серверах баз данных PostgreSQL должны быть включены журналы подключений	Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включен параметр log_connections.	AuditIfNotExists, Disabled	1.0.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Обеспечение того, что параметр log_disconnections включен для сервера базы данных PostgreSQL

Идентификатор: рекомендация 4.3.4 Владения cis Microsoft Azure Foundations Benchmark: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
На серверах баз данных PostgreSQL должны быть включены журналы отключений.	Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включен параметр log_disconnections.	AuditIfNotExists, Disabled	1.0.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Обеспечение того, что параметр connection_throttling включен для сервера базы данных PostgreSQL

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.3.5 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Для серверов баз данных PostgreSQL должно быть включено регулирование подключения	Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включено регулирование подключения. Этот параметр обеспечивает временное регулирование подключений по IP-адресу при слишком большом числе неудачных попыток входа с паролем.	AuditIfNotExists, Disabled	1.0.0
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Убедитесь, что параметр сервера "log_retention_days" больше 3 дней для сервера Postgre База данных SQL

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.3.6: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Соблюдение заданных периодов хранения	CMA_0004 — Соблюдение заданных периодов хранения	Вручную, отключено	1.1.0
Управление действиями по обработке данных аудита и их мониторинг	CMA_0289 — Управление действиями по обработке данных аудита и их мониторинг	Вручную, отключено	1.1.0
Сохранение политик и процедур безопасности	CMA_0454 — Сохранение политик и процедур безопасности	Вручную, отключено	1.1.0
Сохранение данных удаленных пользователей	CMA_0455 — Сохранение данных удаленных пользователей	Вручную, отключено	1.1.0

Убедитесь, что параметр "Разрешить доступ к службам Azure" для сервера базы данных PostgreSQL отключен

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.3.7 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Управление потоком информации	CMA_0079 — Управление потоком информации	Вручную, отключено	1.1.0
Применение механизмов управления потоком зашифрованных данных	CMA_0211 — Применение механизмов управления потоком зашифрованных данных	Вручную, отключено	1.1.0
Установка стандартов конфигурации брандмауэра и маршрутизатора	CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора	Вручную, отключено	1.1.0
Создание сегментации сети для среды данных держателей карт	CMA_0273 — Создание сегментации сети для среды данных держателей карт	Вручную, отключено	1.1.0
Определение обмена нисходящими данными и управление им	CMA_0298 — Определение обмена нисходящими данными и управление им	Вручную, отключено	1.1.0
Для гибких серверов PostgreSQL должен быть отключен доступ через общедоступную сеть.	Отключение доступа через общедоступную сеть повышает безопасность, гарантируя, что доступ к гибким серверам Базы данных Azure для PostgreSQL будет возможен только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети.	Audit, Deny, Disabled	3.0.1
Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть	Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети.	Audit, Deny, Disabled	2.0.1

Убедитесь, что параметр "Двойное шифрование инфраструктуры" для Postgre База данных SQL Server имеет значение "Включено"

Идентификатор: рекомендация 4.3.8 По обеспечению владения cis Microsoft Azure Foundations Benchmark: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Создание процедуры управления утечкой данных	CMA_0255 — Создание процедуры управления утечкой данных	Вручную, отключено	1.1.0
Реализация элементов управления для защиты всех носителей	CMA_0314 — Реализация элементов управления для защиты всех носителей	Вручную, отключено	1.1.0
Необходимо включить шифрование инфраструктуры для серверов Базы данных Azure для PostgreSQL.	Включите шифрование инфраструктуры для серверов Базы данных Azure для PostgreSQL, чтобы гарантировать безопасность данных на более высоком уровне. При включении шифрования инфраструктуры неактивные данные шифруются дважды с помощью управляемых ключей Майкрософт, соответствующих FIPS 140-2	Audit, Deny, Disabled	1.0.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита специальной информации	CMA_0409 — Защита специальной информации	Вручную, отключено	1.1.0

4.4.

Убедитесь, что параметр "Принудительное подключение SSL" имеет значение "Включено" для сервера "Стандартный"База данных SQL

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.4.1 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Настройка рабочих станций для проверки на наличие цифровых сертификатов	CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов	Вручную, отключено	1.1.0
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения	База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных.	Audit, Disabled	1.0.1
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита паролей с помощью шифрования	CMA_0408 — Защита паролей с помощью шифрования	Вручную, отключено	1.1.0

Убедитесь, что для гибкого сервера базы данных MySQL задано значение TLSV1.2.

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.4.2: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Настройка рабочих станций для проверки на наличие цифровых сертификатов	CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов	Вручную, отключено	1.1.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита паролей с помощью шифрования	CMA_0408 — Защита паролей с помощью шифрования	Вручную, отключено	1.1.0

4,5

Убедитесь, что "Брандмауэры и сети" ограничены использованием выбранных сетей вместо всех сетей

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.5.1 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра	Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям.	Audit, Deny, Disabled	2.0.0

Убедитесь, что частные конечные точки используются по возможности

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.5.2: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Учетные записи Cosmos DB должны использовать приватный канал	Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Audit, Disabled	1.0.0

Используйте проверку подлинности клиента Azure Active Directory (AAD) и Azure RBAC, где это возможно.

Идентификатор: рекомендация 4.5.3 По обеспечению владения cis Microsoft Azure Foundations Benchmark: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Для учетных записей базы данных Cosmos DB локальные способы проверки подлинности должны быть отключены	Отключение локальных способов проверки подлинности повышает безопасность, гарантируя, что учетные записи базы данных Cosmos DB требуют для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth.	Audit, Deny, Disabled	1.1.0

5.1

Убедитесь, что параметр диагностики существует

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.1 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0

Убедитесь, что параметр диагностики охватывает соответствующие категории

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.2 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Для выполнения определенных административных операций должно существовать оповещение журнала действий.	Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	1.0.0
Для определенных операций политики должно существовать оповещение журнала действий	Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	3.0.0
Для определенных операций безопасности должно существовать оповещение журнала действий	Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	1.0.0
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Настройка возможностей аудита Azure	CMA_C1108. Настройка возможностей аудита Azure	Вручную, отключено	1.1.1
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Убедитесь, что контейнер служба хранилища, сохраняющий журналы действий, не является общедоступным.

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.3 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен	Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария.	audit, Audit, deny, Deny, disabled, Disabled	3.1.0-preview
Включение двойной или совместной авторизации	CMA_0226 — Включение двойной или совместной авторизации	Вручную, отключено	1.1.0
Защита данных аудита	CMA_0401 — Защита данных аудита	Вручную, отключено	1.1.0

Убедитесь, что учетная запись хранения, содержащая контейнер с журналами действий, зашифрована с помощью ключа, управляемого клиентом

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.4 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Включение двойной или совместной авторизации	CMA_0226 — Включение двойной или совместной авторизации	Вручную, отключено	1.1.0
Поддержание целостности системы аудита	CMA_C1133 — Поддержание целостности системы аудита	Вручную, отключено	1.1.0
Защита данных аудита	CMA_0401 — Защита данных аудита	Вручную, отключено	1.1.0
Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK	Эта политика проверяет, зашифрована ли учетная запись хранения, содержащая контейнер с журналами действий, с помощью BYOK. Эта политика применяется только в том случае, если проект реализован так, что учетная запись хранения находится в той же подписке, что и журналы действий. Дополнительные сведения о шифровании неактивных данных в службе хранилища Azure см. на странице https://aka.ms/azurestoragebyok.	AuditIfNotExists, Disabled	1.0.0

Убедитесь, что ведение журнала для Azure Key Vault имеет значение "Включено"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.5 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
В Key Vault должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Убедитесь, что журналы потока безопасности сети записываются и отправляются в Log Analytics

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.6 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Все ресурсы журнала потоков должны быть включены в состоянии	Выполните аудит ресурсов журнала потоков, чтобы проверить, включено ли состояние журнала потоков. Включение журналов потоков позволяет регистрировать сведения о потоке IP-трафика. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого.	Audit, Disabled	1.0.1
Настройка журналов потоков аудита для каждой виртуальной сети	Аудит виртуальной сети, чтобы проверить, настроены ли журналы потоков. Включение журналов потоков позволяет регистрировать сведения о IP-трафике, потокуемом через виртуальную сеть. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого.	Audit, Disabled	1.0.1
Журналы потоков должны быть настроены для каждой группы безопасности сети	Выполните аудит групп безопасности сети, чтобы проверить, настроены ли журналы потоков. Журнал потоков позволяет регистрировать сведения об IP-трафике, проходящем через группу безопасности сети. Его можно использовать для оптимизации сетевых потоков, мониторинга пропускной способности, проверки соответствия, обнаружения вторжений и многого другого.	Audit, Disabled	1.1.0

5,2

Обеспечение того, что для операции создания назначения политики существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.1 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Оповещение сотрудников об утечке информации	CMA_0007 — Оповещение сотрудников об утечке информации	Вручную, отключено	1.1.0
Для определенных операций политики должно существовать оповещение журнала действий	Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	3.0.0
Разработка плана реагирования на инциденты	CMA_0145 — Разработка плана реагирования на инциденты	Вручную, отключено	1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	Вручную, отключено	1.1.0

Включение оповещения журнала действий для операции удаления назначения политики

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.2 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Оповещение сотрудников об утечке информации	CMA_0007 — Оповещение сотрудников об утечке информации	Вручную, отключено	1.1.0
Для определенных операций политики должно существовать оповещение журнала действий	Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	3.0.0
Разработка плана реагирования на инциденты	CMA_0145 — Разработка плана реагирования на инциденты	Вручную, отключено	1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	Вручную, отключено	1.1.0

Обеспечение того, что для операции создания или обновления группы безопасности сети существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.3 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Оповещение сотрудников об утечке информации	CMA_0007 — Оповещение сотрудников об утечке информации	Вручную, отключено	1.1.0
Для выполнения определенных административных операций должно существовать оповещение журнала действий.	Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	1.0.0
Разработка плана реагирования на инциденты	CMA_0145 — Разработка плана реагирования на инциденты	Вручную, отключено	1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	Вручную, отключено	1.1.0

Обеспечение того, что для операции удаления группы безопасности сети существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.4 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Оповещение сотрудников об утечке информации	CMA_0007 — Оповещение сотрудников об утечке информации	Вручную, отключено	1.1.0
Для выполнения определенных административных операций должно существовать оповещение журнала действий.	Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	1.0.0
Разработка плана реагирования на инциденты	CMA_0145 — Разработка плана реагирования на инциденты	Вручную, отключено	1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	Вручную, отключено	1.1.0

Обеспечение того, что для операции создания или обновления решения безопасности существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.5 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Оповещение сотрудников об утечке информации	CMA_0007 — Оповещение сотрудников об утечке информации	Вручную, отключено	1.1.0
Для выполнения определенных административных операций должно существовать оповещение журнала действий.	Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	1.0.0
Разработка плана реагирования на инциденты	CMA_0145 — Разработка плана реагирования на инциденты	Вручную, отключено	1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	Вручную, отключено	1.1.0

Обеспечение того, что для операции удаления решения безопасности существует оповещение журнала действий

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 5.2.6 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Оповещение сотрудников об утечке информации	CMA_0007 — Оповещение сотрудников об утечке информации	Вручную, отключено	1.1.0
Для выполнения определенных административных операций должно существовать оповещение журнала действий.	Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	1.0.0
Разработка плана реагирования на инциденты	CMA_0145 — Разработка плана реагирования на инциденты	Вручную, отключено	1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	Вручную, отключено	1.1.0

Убедитесь, что для создания или обновления правила брандмауэра SQL Server существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.7 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Оповещение сотрудников об утечке информации	CMA_0007 — Оповещение сотрудников об утечке информации	Вручную, отключено	1.1.0
Для выполнения определенных административных операций должно существовать оповещение журнала действий.	Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	1.0.0
Разработка плана реагирования на инциденты	CMA_0145 — Разработка плана реагирования на инциденты	Вручную, отключено	1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	Вручную, отключено	1.1.0

Убедитесь, что для удаления правила брандмауэра SQL Server существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.8 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Оповещение сотрудников об утечке информации	CMA_0007 — Оповещение сотрудников об утечке информации	Вручную, отключено	1.1.0
Для выполнения определенных административных операций должно существовать оповещение журнала действий.	Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	1.0.0
Разработка плана реагирования на инциденты	CMA_0145 — Разработка плана реагирования на инциденты	Вручную, отключено	1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	Вручную, отключено	1.1.0

5

Убедитесь, что ведение журнала ресурсов Azure Monitor включено для всех служб, поддерживающих его.

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.4 Ownership: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Соблюдение заданных периодов хранения	CMA_0004 — Соблюдение заданных периодов хранения	Вручную, отключено	1.1.0
В приложениях Службы приложений должны быть включены журналы ресурсов	Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	2.0.1
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Настройка возможностей аудита Azure	CMA_C1108. Настройка возможностей аудита Azure	Вручную, отключено	1.1.1
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
Управление действиями по обработке данных аудита и их мониторинг	CMA_0289 — Управление действиями по обработке данных аудита и их мониторинг	Вручную, отключено	1.1.0
В Azure Data Lake Storage должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
В Azure Stream Analytics должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
В учетных записях пакетной службы должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
В Data Lake Analytics должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
В Центре событий должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
В Центре Интернета вещей должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	3.1.0
В Key Vault должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
В Logic Apps должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.1.0
В службах "Поиск" должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
В Служебной шине должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
Сохранение политик и процедур безопасности	CMA_0454 — Сохранение политик и процедур безопасности	Вручную, отключено	1.1.0
Сохранение данных удаленных пользователей	CMA_0455 — Сохранение данных удаленных пользователей	Вручную, отключено	1.1.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

6

Убедитесь, что доступ по протоколу RDP из Интернета оценивается и ограничен

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 6.1 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Порты управления на виртуальных машинах должны быть закрыты	Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора.	AuditIfNotExists, Disabled	3.0.0

Убедитесь, что доступ SSH из Интернета оценивается и ограничен

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 6.2 Ownership: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Порты управления на виртуальных машинах должны быть закрыты	Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора.	AuditIfNotExists, Disabled	3.0.0

Убедитесь, что период хранения журнала потоков группы безопасности сети превышает 90 дней

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 6.5 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Соблюдение заданных периодов хранения	CMA_0004 — Соблюдение заданных периодов хранения	Вручную, отключено	1.1.0
Сохранение политик и процедур безопасности	CMA_0454 — Сохранение политик и процедур безопасности	Вручную, отключено	1.1.0
Сохранение данных удаленных пользователей	CMA_0455 — Сохранение данных удаленных пользователей	Вручную, отключено	1.1.0

Обеспечение того, что служба "Наблюдатель за сетями" включена

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 6.6 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Необходимо включить Наблюдатель за сетями	Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе.	AuditIfNotExists, Disabled	3.0.0
Проверка функций безопасности	CMA_C1708 — Проверка функций безопасности	Вручную, отключено	1.1.0

7

Обеспечение использование Управляемых дисков виртуальными машинами.

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.2 Ownership: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Аудит виртуальных машин, которые не используют управляемые диски	Эта политика выполняет аудит виртуальных машин, которые не используют управляемые диски.	audit	1.0.0
Управление физическим доступом	CMA_0081 — Управление физическим доступом	Вручную, отключено	1.1.0
Управление вводом, выводом, обработкой и хранением данных	CMA_0369 — Управление вводом, выводом, обработкой и хранением данных	Вручную, отключено	1.1.0
Просмотр действий меток и аналитики	CMA_0474 — Просмотр действий меток и аналитики	Вручную, отключено	1.1.0

Убедитесь, что диски ОС и данных шифруются с помощью управляемого клиента ключа (CMK)

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.3 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Создание процедуры управления утечкой данных	CMA_0255 — Создание процедуры управления утечкой данных	Вручную, отключено	1.1.0
Реализация элементов управления для защиты всех носителей	CMA_0314 — Реализация элементов управления для защиты всех носителей	Вручную, отключено	1.1.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита специальной информации	CMA_0409 — Защита специальной информации	Вручную, отключено	1.1.0
Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища	По умолчанию ОС и диски данных виртуальной машины шифруются в неактивном состоянии с помощью ключей, управляемых платформой. Временные диски, кэши данных и данные, передаваемые между вычислениями и хранилищем, не шифруются. Не учитывайте эту рекомендацию, если используется шифрование на узле или если шифрование на стороне сервера для управляемых дисков соответствует вашим требованиям к безопасности. Дополнительные сведения см. в разделах: "Шифрование Хранилища дисков Azure на стороне сервера": https://aka.ms/disksse, "Различные предложения для шифрования дисков": https://aka.ms/diskencryptioncomparison.	AuditIfNotExists, Disabled	2.0.3

Убедитесь, что "Неподключенные диски" шифруются с помощью ключа, управляемого клиентом (CMK)

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.4 Ownership: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Создание процедуры управления утечкой данных	CMA_0255 — Создание процедуры управления утечкой данных	Вручную, отключено	1.1.0
Реализация элементов управления для защиты всех носителей	CMA_0314 — Реализация элементов управления для защиты всех носителей	Вручную, отключено	1.1.0
Управляемые диски должны использовать двойное шифрование с ключами под управлением платформы и клиента	Клиенты с высокими требованиями к безопасности, которых беспокоят риски компрометации тех или иных алгоритмов, реализаций или ключей шифрования, могут использовать дополнительный уровень шифрования с другим режимом или алгоритмом на уровне инфраструктуры с применением ключей, управляемых платформой. Двойное шифрование является обязательным для наборов шифрования дисков. Узнайте больше по адресу https://aka.ms/disks-doubleEncryption.	Audit, Deny, Disabled	1.0.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита специальной информации	CMA_0409 — Защита специальной информации	Вручную, отключено	1.1.0

Убедитесь, что установлены только утвержденные расширения

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.5 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Должны быть установлены только утвержденные расширения виртуальных машин	Эта политика управляет неутвержденными расширениями виртуальных машин.	Audit, Deny, Disabled	1.0.0

Убедитесь, что Endpoint Protection для всех Виртуальные машины установлен

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.6 Ownership: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Документирование операций по обеспечению безопасности	CMA_0202 — Документирование операций по обеспечению безопасности	Вручную, отключено	1.1.0
Необходимо установить Endpoint Protection на ваших компьютерах	Чтобы защитить компьютеры от угроз и уязвимостей, установите поддерживаемое решение для защиты конечных точек.	AuditIfNotExists, Disabled	1.0.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Включение датчиков для решения безопасности конечной точки	CMA_0514 — Включение датчиков для решения безопасности конечной точки	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0
Проверка программного обеспечения, встроенного ПО и целостности данных	CMA_0542 — Проверка программного обеспечения, встроенного ПО и целостности данных	Вручную, отключено	1.1.0

[Устаревшая версия] Убедитесь, что виртуальные жесткие диски зашифрованы

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.7 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Создание процедуры управления утечкой данных	CMA_0255 — Создание процедуры управления утечкой данных	Вручную, отключено	1.1.0
Реализация элементов управления для защиты всех носителей	CMA_0314 — Реализация элементов управления для защиты всех носителей	Вручную, отключено	1.1.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита специальной информации	CMA_0409 — Защита специальной информации	Вручную, отключено	1.1.0

8

Убедитесь, что дата окончания срока действия задана для всех ключей в хранилищах ключей RBAC

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.1 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Определение физического процесса управления ключами	CMA_0115 — Определение физического процесса управления ключами	Вручную, отключено	1.1.0
Определение использования шифрования	CMA_0120 — Определение использования шифрования	Вручную, отключено	1.1.0
Определение требований организации к управлению криптографическими ключами	CMA_0123 — Определение требований организации к управлению криптографическими ключами	Вручную, отключено	1.1.0
Определение требований к утверждению	CMA_0136 — Определение требований к утверждению	Вручную, отключено	1.1.0
Выдача сертификатов открытого ключа	CMA_0347 — Выдача сертификатов открытого ключа	Вручную, отключено	1.1.0
Для ключей Key Vault должна быть задана дата окончания срока действия	Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия.	Audit, Deny, Disabled	1.0.2
Управление симметричными криптографическими ключами	CMA_0367 — Управление симметричными криптографическими ключами	Вручную, отключено	1.1.0
Ограничение доступа к закрытым ключам	CMA_0445 — Ограничение доступа к закрытым ключам	Вручную, отключено	1.1.0

Убедитесь, что дата окончания срока действия задана для всех ключей в хранилищах ключей, отличных от RBAC.

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.2 Ownership: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Определение физического процесса управления ключами	CMA_0115 — Определение физического процесса управления ключами	Вручную, отключено	1.1.0
Определение использования шифрования	CMA_0120 — Определение использования шифрования	Вручную, отключено	1.1.0
Определение требований организации к управлению криптографическими ключами	CMA_0123 — Определение требований организации к управлению криптографическими ключами	Вручную, отключено	1.1.0
Определение требований к утверждению	CMA_0136 — Определение требований к утверждению	Вручную, отключено	1.1.0
Выдача сертификатов открытого ключа	CMA_0347 — Выдача сертификатов открытого ключа	Вручную, отключено	1.1.0
Для ключей Key Vault должна быть задана дата окончания срока действия	Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия.	Audit, Deny, Disabled	1.0.2
Управление симметричными криптографическими ключами	CMA_0367 — Управление симметричными криптографическими ключами	Вручную, отключено	1.1.0
Ограничение доступа к закрытым ключам	CMA_0445 — Ограничение доступа к закрытым ключам	Вручную, отключено	1.1.0

Убедитесь, что дата окончания срока действия задана для всех секретов в хранилищах ключей RBAC

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 8.3 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Определение физического процесса управления ключами	CMA_0115 — Определение физического процесса управления ключами	Вручную, отключено	1.1.0
Определение использования шифрования	CMA_0120 — Определение использования шифрования	Вручную, отключено	1.1.0
Определение требований организации к управлению криптографическими ключами	CMA_0123 — Определение требований организации к управлению криптографическими ключами	Вручную, отключено	1.1.0
Определение требований к утверждению	CMA_0136 — Определение требований к утверждению	Вручную, отключено	1.1.0
Выдача сертификатов открытого ключа	CMA_0347 — Выдача сертификатов открытого ключа	Вручную, отключено	1.1.0
Для секретов Key Vault должна быть задана дата окончания срока действия	Для секретов должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если секреты действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для секретов рекомендуется устанавливать даты истечения срока действия.	Audit, Deny, Disabled	1.0.2
Управление симметричными криптографическими ключами	CMA_0367 — Управление симметричными криптографическими ключами	Вручную, отключено	1.1.0
Ограничение доступа к закрытым ключам	CMA_0445 — Ограничение доступа к закрытым ключам	Вручную, отключено	1.1.0

Убедитесь, что дата окончания срока действия задана для всех секретов в хранилищах ключей, отличных от RBAC

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.4 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Определение физического процесса управления ключами	CMA_0115 — Определение физического процесса управления ключами	Вручную, отключено	1.1.0
Определение использования шифрования	CMA_0120 — Определение использования шифрования	Вручную, отключено	1.1.0
Определение требований организации к управлению криптографическими ключами	CMA_0123 — Определение требований организации к управлению криптографическими ключами	Вручную, отключено	1.1.0
Определение требований к утверждению	CMA_0136 — Определение требований к утверждению	Вручную, отключено	1.1.0
Выдача сертификатов открытого ключа	CMA_0347 — Выдача сертификатов открытого ключа	Вручную, отключено	1.1.0
Для секретов Key Vault должна быть задана дата окончания срока действия	Для секретов должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если секреты действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для секретов рекомендуется устанавливать даты истечения срока действия.	Audit, Deny, Disabled	1.0.2
Управление симметричными криптографическими ключами	CMA_0367 — Управление симметричными криптографическими ключами	Вручную, отключено	1.1.0
Ограничение доступа к закрытым ключам	CMA_0445 — Ограничение доступа к закрытым ключам	Вручную, отключено	1.1.0

Убедитесь, что хранилище ключей можно восстановить

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.5 Ownership: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
В хранилищах ключей должна быть включена защита от удаления	Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление.	Audit, Deny, Disabled	2.1.0
В хранилищах ключей должно быть включено обратимое удаление	Если при удалении хранилища ключей отключено обратимое удаление, все секреты, ключи и сертификаты в этом хранилище ключей удалятся без возможности восстановления. Случайное удаление хранилища ключей может привести к необратимой потере данных. Функция обратимого удаления позволяет восстановить случайно удаленное хранилище ключей с настраиваемым периодом хранения.	Audit, Deny, Disabled	3.0.0

Включение контроль доступа на основе ролей для Azure Key Vault

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.6 Ownership: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Azure Key Vault должен использовать модель разрешений RBAC	Включите модель разрешений RBAC в хранилищах ключей. См. дополнительные сведения: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration.	Audit, Deny, Disabled	1.0.1

Убедитесь, что частные конечные точки используются для Azure Key Vault

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 8.7 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Для хранилищ ключей Azure должен использоваться приватный канал	Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1

Убедитесь, что автоматическая смена ключей включена в Azure Key Vault для поддерживаемых служб

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 8.8 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Ключи должны иметь политику поворота, гарантирующую, что их смена запланирована в течение указанного числа дней после создания.	Управление требованиями к соответствию организации путем указания максимального числа дней после создания ключа до его смены.	Audit, Disabled	1.0.0

9

Убедитесь, что проверка подлинности Служба приложений настроена для приложений в службе приложение Azure

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.1 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
В приложениях Службы приложений должна быть включена проверка подлинности	Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к веб-приложению для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токенами.	AuditIfNotExists, Disabled	2.0.1
Аутентификация в криптографическом модуле	CMA_0021 — Аутентификация в криптографическом модуле	Вручную, отключено	1.1.0
Принудительное обеспечение уникальности пользователей	CMA_0250 — Принудительное обеспечение уникальности пользователей	Вручную, отключено	1.1.0
В приложениях-функциях должна быть включена проверка подлинности	Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к приложению-функции для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токенами.	AuditIfNotExists, Disabled	3.0.0
Поддержка личных учетных данных для проверки, выданных юридическими органами	CMA_0507 — Поддержка личных учетных данных для проверки, выданных юридическими органами	Вручную, отключено	1.1.0

Убедитесь, что развертывания FTP отключены

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 9.10 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Приложения Службы приложений должны требовать только FTPS	Включите принудительное использование FTPS для повышения безопасности.	AuditIfNotExists, Disabled	3.0.0
Настройка рабочих станций для проверки на наличие цифровых сертификатов	CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов	Вручную, отключено	1.1.0
Приложения-функции должны требовать только FTPS	Включите принудительное использование FTPS для повышения безопасности.	AuditIfNotExists, Disabled	3.0.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита паролей с помощью шифрования	CMA_0408 — Защита паролей с помощью шифрования	Вручную, отключено	1.1.0

Убедитесь, что хранилища ключей Azure используются для хранения секретов

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 9.11 : Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Определение физического процесса управления ключами	CMA_0115 — Определение физического процесса управления ключами	Вручную, отключено	1.1.0
Определение использования шифрования	CMA_0120 — Определение использования шифрования	Вручную, отключено	1.1.0
Определение требований организации к управлению криптографическими ключами	CMA_0123 — Определение требований организации к управлению криптографическими ключами	Вручную, отключено	1.1.0
Определение требований к утверждению	CMA_0136 — Определение требований к утверждению	Вручную, отключено	1.1.0
Охват механизмов шифрования системой управления конфигурацией	CMA_C1199 — Охват механизмов шифрования системой управления конфигурацией	Вручную, отключено	1.1.0
Выдача сертификатов открытого ключа	CMA_0347 — Выдача сертификатов открытого ключа	Вручную, отключено	1.1.0
Поддержание доступности информации	CMA_C1644 — Поддержание доступности информации	Вручную, отключено	1.1.0
Управление симметричными криптографическими ключами	CMA_0367 — Управление симметричными криптографическими ключами	Вручную, отключено	1.1.0
Ограничение доступа к закрытым ключам	CMA_0445 — Ограничение доступа к закрытым ключам	Вручную, отключено	1.1.0

Убедитесь, что веб-приложение перенаправляет весь HTTP-трафик на HTTPS в службе приложение Azure

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.2 Ownership: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS	Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне.	Audit, Disabled, Deny	4.0.0
Настройка рабочих станций для проверки на наличие цифровых сертификатов	CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов	Вручную, отключено	1.1.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита паролей с помощью шифрования	CMA_0408 — Защита паролей с помощью шифрования	Вручную, отключено	1.1.0

Убедитесь, что веб-приложение использует последнюю версию шифрования TLS

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.3 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Приложения Службы приложений должны использовать последнюю версию TLS	Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии.	AuditIfNotExists, Disabled	2.0.1
Настройка рабочих станций для проверки на наличие цифровых сертификатов	CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов	Вручную, отключено	1.1.0
Приложения-функции должны использовать последнюю версию TLS	Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии.	AuditIfNotExists, Disabled	2.0.1
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита паролей с помощью шифрования	CMA_0408 — Защита паролей с помощью шифрования	Вручную, отключено	1.1.0

Параметр "Сертификаты клиента (входящие сертификаты клиента)" для веб-приложения должен иметь значение "Вкл."

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.4 Ownership: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
[Не рекомендуется]: Служба приложений приложения должны иметь "Сертификаты клиента (Входящие сертификаты клиента)"	Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика была заменена новой политикой с тем же именем, так как Http 2.0 не поддерживает сертификаты клиентов.	Audit, Disabled	3.1.0-устаревший
[Не рекомендуется]: приложения-функции должны иметь значение "Сертификаты клиента (Входящие сертификаты клиента)"	Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимыми сертификатами. Эта политика была заменена новой политикой с тем же именем, так как Http 2.0 не поддерживает сертификаты клиентов.	Audit, Disabled	3.1.0-устаревший
Аутентификация в криптографическом модуле	CMA_0021 — Аутентификация в криптографическом модуле	Вручную, отключено	1.1.0

В службе приложений должна быть включена регистрация в Azure Active Directory

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.5 Ответственность: Общий доступ

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Приложения Службы приложений должны использовать управляемое удостоверение	Используйте управляемое удостоверение для повышения безопасности проверки подлинности.	AuditIfNotExists, Disabled	3.0.0
Автоматизация управления учетными записями	CMA_0026 — Автоматизация управления учетными записями	Вручную, отключено	1.1.0
Приложения-функции должны использовать управляемое удостоверение	Используйте управляемое удостоверение для повышения безопасности проверки подлинности.	AuditIfNotExists, Disabled	3.0.0
Управление системной учетной записью и учетной записью администратора	CMA_0368 — Управление системной учетной записью и учетной записью администратора	Вручную, отключено	1.1.0
Мониторинг доступа в организации	CMA_0376 — Мониторинг доступа в организации	Вручную, отключено	1.1.0
Уведомление о том, что учетная запись не требуется	CMA_0383 — Уведомление о том, что учетная запись не требуется	Вручную, отключено	1.1.0

Убедитесь, что "версия PHP" является последней, если используется для запуска веб-приложения

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.6 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Служба приложений слоты приложений, использующие PHP, должны использовать указанную версию PHP.	Для программного обеспечения PHP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений Службы приложений рекомендуется использовать последнюю версию PHP. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию PHP, которая соответствует вашим требованиям.	AuditIfNotExists, Disabled	1.0.0
Служба приложений приложения, использующие PHP, должны использовать указанную версию PHP.	Для программного обеспечения PHP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений Службы приложений рекомендуется использовать последнюю версию PHP. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию PHP, которая соответствует вашим требованиям.	AuditIfNotExists, Disabled	3.2.0
Устранение недостатков информационной системы	CMA_0427 — Устранение недостатков информационной системы	Вручную, отключено	1.1.0

Убедитесь, что версия Python является последней стабильной версией, если используется для запуска веб-приложения.

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.7 Ownership: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Служба приложений слоты приложений, использующие Python, должны использовать указанную версию Python.	Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений Службы приложений рекомендуется использовать последнюю версию Python. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Python, которая соответствует вашим требованиям.	AuditIfNotExists, Disabled	1.0.0
Служба приложений приложения, использующие Python, должны использовать указанную версию Python.	Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений Службы приложений рекомендуется использовать последнюю версию Python. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Python, которая соответствует вашим требованиям.	AuditIfNotExists, Disabled	4.1.0
Устранение недостатков информационной системы	CMA_0427 — Устранение недостатков информационной системы	Вручную, отключено	1.1.0

Убедитесь, что версия Java является последней, если используется для запуска веб-приложения.

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.8 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Слоты приложений-функций, использующие Java, должны использовать указанную версию Java.	Для программного обеспечения Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений-функций рекомендуется использовать последнюю версию Java. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Java, которая соответствует вашим требованиям.	AuditIfNotExists, Disabled	1.0.0
Приложения-функции, использующие Java, должны использовать указанную версию Java.	Для программного обеспечения Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений-функций рекомендуется использовать последнюю версию Java. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Java, которая соответствует вашим требованиям.	AuditIfNotExists, Disabled	3.1.0
Устранение недостатков информационной системы	CMA_0427 — Устранение недостатков информационной системы	Вручную, отключено	1.1.0

Убедитесь, что "ВЕРСИЯ HTTP" является последней, если используется для запуска веб-приложения.

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.9 Ответственность: Shared

Имя. _{(портал Azure)}	Description	Действие	Версия _(GitHub)
Приложения Службы приложений должны использовать последнюю версию HTTP	Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP.	AuditIfNotExists, Disabled	4.0.0
Приложения-функции должны использовать последнюю версию HTTP	Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP.	AuditIfNotExists, Disabled	4.0.0
Устранение недостатков информационной системы	CMA_0427 — Устранение недостатков информационной системы	Вручную, отключено	1.1.0

Следующие шаги

Дополнительные статьи о Политике Azure:

Обзор соответствия нормативным требованиям.
См. структуру определения инициативы.
См. другие примеры шаблонов для Политики Azure.
Изучите сведения о действии политик.
Узнайте, как исправлять несоответствующие ресурсы.