Сведения о встроенной инициативе по соответствию требованиям стандарта NIST SP 800-53, ред. 5 (Azure для государственных организаций)
В этой статье подробно описано, как определение встроенной инициативы Политики Azure по соответствию нормативным требованиям согласуется с областями соответствия нормативным требованиям и мерами безопасности в стандарте NIST SP 800-53, ред. 5 (Azure для государственных организаций). Дополнительные сведения об этом стандарте соответствия см. здесь. Сведения о термине Ответственность см. в статьях Определение службы "Политика Azure" и Разделение ответственности в облаке.
Ниже показано, как эффекты встроенной инициативы согласуются с мерами безопасности, предусмотренными NIST SP 800-53, ред. 5. Многие элементы управления реализуются с помощью определения инициативы Политики Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите встроенное определение инициативы NIST SP 800-53 ред. 5 по обеспечению соответствия нормативным требованиям.
Внимание
Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.
Управление доступом
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 AC-1 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1000, контролируемый корпорацией Майкрософт, — требования политики и процедур управления доступом | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1001, контролируемый корпорацией Майкрософт, — требования политики и процедур управления доступом | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Управление учетными записями
Идентификатор: NIST SP 800-53 Rev. 5 AC-2 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Аудит использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Audit, Disabled | 1.0.1 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Audit, Deny, Disabled | 1.1.0 |
| Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены | Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Элемент управления 1002, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1003, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1004, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1005, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1006, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1007, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1008, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1009, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1010, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1011, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1012, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1022, контролируемый корпорацией Майкрософт, — управление учетными записями | Прекращение действия учетных данных общих или групповых учетных записей | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Автоматическое управление системными учетными записями
Идентификатор: NIST SP 800-53 Rev. 5 AC-2 (1) Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Audit, Deny, Disabled | 1.1.0 |
| Элемент управления 1013, контролируемый корпорацией Майкрософт, — управление учетными записями | Автоматическое управление системными учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Автоматическое управление временными и аварийными учетными записями
Идентификатор: NIST SP 800-53 ред. 5 AC-2 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1014, контролируемый корпорацией Майкрософт, — управление учетными записями | Удаление временных или аварийных учетных записей | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Отключение учетных записей
Идентификатор: NIST SP 800-53 Rev. 5 AC-2 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1015, контролируемый корпорацией Майкрософт, — управление учетными записями | Отключение неактивных учетных записей | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Автоматические действия по аудиту
Идентификатор: NIST SP 800-53 Rev. 5 AC-2 (4) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1016, контролируемый корпорацией Майкрософт, — управление учетными записями | Автоматические действия по аудиту | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Выход из системы при бездействии
Идентификатор: NIST SP 800-53 Rev. 5 AC-2 (5) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1017, контролируемый корпорацией Майкрософт, — управление учетными записями | Выход из системы при бездействии | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Учетные записи привилегированных пользователей
Идентификатор: NIST SP 800-53 Rev. 5 AC-2 (7) Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
| Аудит использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Audit, Disabled | 1.0.1 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Audit, Deny, Disabled | 1.1.0 |
| Элемент управления 1018, контролируемый корпорацией Майкрософт, — управление учетными записями | Схемы на основе ролей | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1019, контролируемый корпорацией Майкрософт, — управление учетными записями | Схемы на основе ролей | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1020, контролируемый корпорацией Майкрософт, — управление учетными записями | Схемы на основе ролей | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Ограничения на использование общих и групповых учетных записей
Идентификатор: NIST SP 800-53 ред. 5 AC-2 (9) Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1021, контролируемый корпорацией Майкрософт, — управление учетными записями | Ограничения на использование общих или групповых учетных записей | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Условия использования
Идентификатор: NIST SP 800-53 ред. 5 AC-2 (11) Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1023, контролируемый корпорацией Майкрософт, — управление учетными записями | Условия использования | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Отслеживание необычного использования учетной записи
Идентификатор: NIST SP 800-53 Rev. 5 AC-2 (12) Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для служба хранилища (классическая версия) должна быть включена | Microsoft Defender для служба хранилища (классическая модель) предоставляет обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
| Элемент управления 1024, контролируемый корпорацией Майкрософт, — управление учетными записями | Мониторинг или необычное использование учетной записи | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1025, контролируемый корпорацией Майкрософт, — управление учетными записями | Мониторинг или необычное использование учетной записи | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Отключение учетных записей для пользователей с высоким риском
Идентификатор: NIST SP 800-53 Rev. 5 AC-2 (13) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1026, контролируемый корпорацией Майкрософт, — управление учетными записями | Отключение учетных записей для пользователей с высоким риском | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Применение доступа
Идентификатор: NIST SP 800-53 Rev. 5 AC-3 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Аудит компьютеров Linux с учетными записями без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них действуют учетные записи без паролей. | AuditIfNotExists, Disabled | 1.4.0 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Audit, Deny, Disabled | 1.1.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Элемент управления 1027, контролируемый корпорацией Майкрософт, — применение доступа | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Audit, Deny, Disabled | 1.1.0 |
| Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | Используйте для своих учетных записей хранения новый выпуск Azure Resource Manager версии 2 с усовершенствованными функциями безопасности, включая более строгое управление доступом (RBAC), улучшенный аудит, развертывание и управление на основе Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Audit, Deny, Disabled | 1.0.0 |
| Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | Используйте для своих виртуальных машин новый выпуск Azure Resource Manager с улучшенными функциями безопасности, включая более строгий контроль доступа (RBAC), улучшенный аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Audit, Deny, Disabled | 1.0.0 |
Управление доступом на основе ролей
Идентификатор: NIST SP 800-53 ред. 5 AC-3 (7) Владение: Клиент
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Контроль доступа на основе ролей Azure (RBAC) следует использовать в службах Kubernetes | Чтобы обеспечить детализированную фильтрацию действий, которые могут выполнять пользователи, используйте контроль доступа на основе ролей Azure (RBAC) для управления разрешениями в кластерах служб Kubernetes и настройке соответствующих политик авторизации. | Audit, Disabled | 1.0.3 |
Управление потоком информации
Идентификатор: NIST SP 800-53 Rev. 5 AC-4 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
| Службы управления API должны использовать виртуальную сеть | Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. | Audit, Deny, Disabled | 1.0.2 |
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
| В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Audit, Disabled | 2.0.0 |
| Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Audit, Deny, Disabled | 3.2.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал | С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны отключить доступ к общедоступной сети | При отключении доступа к общедоступной сети повышается уровень безопасность, так как это гарантирует, что служба "Когнитивный поиск Azure" не будет доступна в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных службы поиска. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра | Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. | Audit, Deny, Disabled | 2.0.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, Disabled | 1.0.0 |
| У Azure Key Vault должен быть включен брандмауэр | Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. | Audit, Deny, Disabled | 1.4.1 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Cognitive Services должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. См. дополнительные сведения о сетевых правилах Реестра контейнеров: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network и https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, Disabled | 3.0.0 |
| Элемент управления 1028, контролируемый корпорацией Майкрософт, — управление потоком информации | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Audit, Disabled | 1.1.0 |
| Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Audit, Deny, Disabled | 1.1.0 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
| Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. | Audit, Deny, Disabled | 1.0.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
Управление динамическим потоком информации
Идентификатор: NIST SP 800-53 ред. 5 AC-4 (3) Ответственность: Клиент
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Фильтры политики безопасности и конфиденциальности
Идентификатор: NIST SP 800-53 Rev. 5 AC-4 (8) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1029, контролируемый корпорацией Майкрософт, — управление потоком информации | Фильтры политики безопасности | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Физическое или логическое разделение информационных потоков
Идентификатор: NIST SP 800-53 Rev. 5 AC-4 (21) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1030, контролируемый корпорацией Майкрософт, — управление потоком информации | Физическое и логическое разделение информационных потоков | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Разделение обязанностей
Идентификатор: NIST SP 800-53 Rev. 5 AC-5 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1031, контролируемый корпорацией Майкрософт, — разделение обязанностей | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1032, контролируемый корпорацией Майкрософт, — разделение обязанностей | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1033, контролируемый корпорацией Майкрософт, — разделение обязанностей | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Подписке должно быть назначено более одного владельца | Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. | AuditIfNotExists, Disabled | 3.0.0 |
Минимальные привилегии
Идентификатор: NIST SP 800-53 Rev. 5 AC-6 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
| Аудит использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Audit, Disabled | 1.0.1 |
| Элемент управления 1034, контролируемый корпорацией Майкрософт, — минимальные привилегии | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Авторизация доступа к функциям безопасности
Идентификатор: NIST SP 800-53 Rev. 5 AC-6 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1035, контролируемый корпорацией Майкрософт, — минимальные привилегии | Авторизация доступа к функциям безопасности | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Непривилегированный доступ для функций, не связанных с безопасностью
Идентификатор: NIST SP 800-53 ред. 5 AC-6 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1036, контролируемый корпорацией Майкрософт, — минимальные привилегии | Непривилегированный доступ для функций, не связанных с безопасностью | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Сетевой доступ к привилегированным командам
Идентификатор: NIST SP 800-53 ред. 5 AC-6 (3) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1037, контролируемый корпорацией Майкрософт, — минимальные привилегии | Сетевой доступ к привилегированным командам | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Привилегированные учетные записи
Идентификатор: NIST SP 800-53 Rev. 5 AC-6 (5) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1038, контролируемый корпорацией Майкрософт, — минимальные привилегии | Привилегированные учетные записи | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Проверка привилегий пользователя
Идентификатор: NIST SP 800-53 Rev. 5 AC-6 (7) Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
| Аудит использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Audit, Disabled | 1.0.1 |
| Элемент управления 1039, контролируемый корпорацией Майкрософт, — минимальные привилегии | Проверка привилегий пользователя | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1040, контролируемый корпорацией Майкрософт, — минимальные привилегии | Проверка привилегий пользователя | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Уровни привилегий для выполнения кода
Идентификатор: NIST SP 800-53 Rev. 5 AC-6 (8) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1041, контролируемый корпорацией Майкрософт, — минимальные привилегии | Уровни привилегий для выполнения кода | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Регистрация использования привилегированных функций
Идентификатор: NIST SP 800-53 Rev. 5 AC-6 (9) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1042, контролируемый корпорацией Майкрософт, — минимальные привилегии | Аудит использования привилегированных функций | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Запрет выполнения привилегированных функций непривилегированными пользователями
Идентификатор: NIST SP 800-53 ред. 5 AC-6 (10) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1043, контролируемый корпорацией Майкрософт, — минимальные привилегии | Запрет выполнения привилегированных функций непривилегированными пользователями | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Неудачные попытки входа
Идентификатор: NIST SP 800-53 Rev. 5 AC-7 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1044, контролируемый корпорацией Майкрософт, — неудачные попытки входа | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1045, контролируемый корпорацией Майкрософт, — неудачные попытки входа | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Очистка мобильных устройств
Идентификатор: NIST SP 800-53 ред. 5 AC-7 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1046, контролируемый корпорацией Майкрософт, — неудачные попытки входа в систему | Очистка мобильного устройства | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Уведомление об использовании системы
Идентификатор: NIST SP 800-53 ред. 5 AC-8 Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1047, контролируемый корпорацией Майкрософт, — уведомление об использовании системы | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1048, контролируемый корпорацией Майкрософт, — уведомление об использовании системы | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1049, контролируемый корпорацией Майкрософт, — уведомление об использовании системы | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Контроль одновременных сеансов
Идентификатор: NIST SP 800-53 Rev. 5 AC-10 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1050, контролируемый корпорацией Майкрософт, — контроль одновременных сеансов | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Блокировка устройства
Идентификатор: NIST SP 800-53 ред. 5 AC-11 Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1051, контролируемый корпорацией Майкрософт, — блокировка сеанса | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1052, контролируемый корпорацией Майкрософт, — блокировка сеанса | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Скрытие отображаемой информации при помощи шаблонов
Идентификатор: NIST SP 800-53 ред. 5 AC-11 (1) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1053, контролируемый корпорацией Майкрософт, — блокировка сеанса | Скрытие отображаемой информации при помощи шаблонов | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Завершение сеанса
Идентификатор: NIST SP 800-53 Rev. 5 AC-12 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1054, контролируемый корпорацией Майкрософт, — завершение сеанса | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Выход из системы, инициированный пользователем
Идентификатор: NIST SP 800-53 Rev. 5 AC-12 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1055, контролируемый корпорацией Майкрософт, — завершение сеанса | Инициированные пользователем выходы или отображаемые сообщения | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1056, контролируемый корпорацией Майкрософт, — завершение сеанса | Инициированные пользователем выходы или отображаемые сообщения | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Разрешенные действия без идентификации и проверки подлинности
Идентификатор: NIST SP 800-53 Rev. 5 AC-14 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1057, контролируемый корпорацией Майкрософт, — разрешенные действия без идентификации и аутентификации | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1058, контролируемый корпорацией Майкрософт, — разрешенные действия без идентификации и аутентификации | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Атрибуты безопасности и конфиденциальности
Идентификатор: NIST SP 800-53 ред. 5 AC-16 Ответственность: Клиент
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
Удаленный доступ
Идентификатор: NIST SP 800-53 Rev. 5 AC-17 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. | AuditIfNotExists, Disabled | 1.4.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал | С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, Disabled | 1.0.0 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Cognitive Services должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Элемент управления 1059, контролируемый корпорацией Майкрософт, — удаленный доступ | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1060, контролируемый корпорацией Майкрософт, — удаленный доступ | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Audit, Disabled | 1.1.0 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
Мониторинг и контроль
Идентификатор: NIST SP 800-53 Rev. 5 AC-17 (1) Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. | AuditIfNotExists, Disabled | 1.4.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал | С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, Disabled | 1.0.0 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Cognitive Services должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Элемент управления 1061, контролируемый корпорацией Майкрософт, — удаленный доступ | Автоматизированный мониторинг и управление | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Audit, Disabled | 1.1.0 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
Защита конфиденциальности и целостности с помощью шифрования
Идентификатор: NIST SP 800-53 Rev. 5 AC-17 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1062, контролируемый корпорацией Майкрософт, — удаленный доступ | Защита конфиденциальности и целостности с помощью шифрования | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Управляемые точки управления доступом
Идентификатор: NIST SP 800-53 Rev. 5 AC-17 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1063, контролируемый корпорацией Майкрософт, — удаленный доступ | Управляемые точки контроля доступа | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Привилегированные команды и доступ
Идентификатор: NIST SP 800-53 Rev. 5 AC-17 (4) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1064, контролируемый корпорацией Майкрософт, — удаленный доступ | Привилегированные команды и доступ | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1065, контролируемый корпорацией Майкрософт, — удаленный доступ | Привилегированные команды и доступ | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Отключение или запрет доступа
Идентификатор: NIST SP 800-53 Rev. 5 AC-17 (9) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1066, контролируемый корпорацией Майкрософт, — удаленный доступ | Отключение и запрет доступа | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Беспроводной доступ
Идентификатор: NIST SP 800-53 ред. 5 AC-18 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1067, контролируемый корпорацией Майкрософт, — ограничения беспроводного доступа | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1068, контролируемый корпорацией Майкрософт, — ограничения беспроводного доступа | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Проверка подлинности и шифрование
Идентификатор: NIST SP 800-53 ред. 5 AC-18 (1) Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1069, контролируемый корпорацией Майкрософт, — ограничения беспроводного доступа | Проверка подлинности и шифрование | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Отключение беспроводных сетей
Идентификатор: NIST SP 800-53 ред. 5 AC-18 (3) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1070, контролируемый корпорацией Майкрософт, — ограничения беспроводного доступа | Отключение беспроводных сетей | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Ограничение конфигураций, используемых пользователями
Идентификатор: NIST SP 800-53 ред. 5 AC-18 (4) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1071, контролируемый корпорацией Майкрософт, — ограничения беспроводного доступа | Ограничение конфигураций, настраиваемых пользователями | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Антенны и уровни мощности передачи
Идентификатор: NIST SP 800-53 ред. 5 AC-18 (5) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1072, контролируемый корпорацией Майкрософт, — ограничения беспроводного доступа | Антенны и уровни мощности передачи | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Управление доступом мобильных устройств
Идентификатор: NIST SP 800-53 Rev. 5 AC-19 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1073, контролируемый корпорацией Майкрософт, — контроль доступа для переносимых и мобильных систем | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1074, контролируемый корпорацией Майкрософт, — контроль доступа для переносимых и мобильных систем | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Шифрование всего устройства или контейнера
Идентификатор: NIST SP 800-53 ред. 5 AC-19 (5) Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1075, контролируемый корпорацией Майкрософт, — контроль доступа для переносимых и мобильных систем | Шифрование всего устройства или контейнера | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Использование внешних систем
Идентификатор: NIST SP 800-53 ред. 5 AC-20 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1076, контролируемый корпорацией Майкрософт, — использование внешних информационных систем | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1077, контролируемый корпорацией Майкрософт, — использование внешних информационных систем | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Ограничения на авторизованное использование
Идентификатор: NIST SP 800-53 ред. 5 AC-20 (1) Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1078, контролируемый корпорацией Майкрософт, — использование внешних информационных систем | Ограничения на авторизованное использование | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1079, контролируемый корпорацией Майкрософт, — использование внешних информационных систем | Ограничения на авторизованное использование | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Переносные запоминающие устройства и ограничения на использование
Идентификатор: NIST SP 800-53 ред. 5 AC-20 (2) Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1080, контролируемый корпорацией Майкрософт, — использование внешних информационных систем | Переносные запоминающие устройства | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Обмен информацией
Идентификатор: NIST SP 800-53 ред. 5 AC-21 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1081, контролируемый корпорацией Майкрософт, — обмен информацией | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1082, контролируемый корпорацией Майкрософт, — обмен информацией | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Общедоступное содержимое
Идентификатор: NIST SP 800-53 Rev. 5 AC-22 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1083, контролируемый корпорацией Майкрософт, — общедоступное содержимое | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1084, контролируемый корпорацией Майкрософт, — общедоступное содержимое | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1085, контролируемый корпорацией Майкрософт, — общедоступное содержимое | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
| Элемент управления 1086, контролируемый корпорацией Майкрософт, — общедоступное содержимое | Корпорация Майкрософт реализует этот элемент управления доступом | audit | 1.0.0 |
Повышение осведомленности и обучение
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 AT-1 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1087, контролируемый корпорацией Майкрософт, — политика и процедуры повышения осведомленности по вопросам безопасности и обучения | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | audit | 1.0.0 |
| Элемент управления 1088, контролируемый корпорацией Майкрософт, — политика и процедуры повышения осведомленности по вопросам безопасности и обучения | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | audit | 1.0.0 |
Обучение применению и осведомленность
Идентификатор: NIST SP 800-53 Rev. 5 AT-2 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1089, контролируемый корпорацией Майкрософт, — повышение осведомленности по вопросам безопасности | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | audit | 1.0.0 |
| Элемент управления 1090, контролируемый корпорацией Майкрософт, — повышение осведомленности по вопросам безопасности | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | audit | 1.0.0 |
| Элемент управления 1091, контролируемый корпорацией Майкрософт, — повышение осведомленности по вопросам безопасности | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | audit | 1.0.0 |
Внутренняя угроза
Идентификатор: NIST SP 800-53 Rev. 5 AT-2 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1092, контролируемый корпорацией Майкрософт, — повышение осведомленности по вопросам безопасности | Внутренняя угроза | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | audit | 1.0.0 |
Обучение на основе ролей
Идентификатор: NIST SP 800-53 Rev. 5 AT-3 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1093, контролируемый корпорацией Майкрософт, — обучение мерам безопасности на основе ролей | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | audit | 1.0.0 |
| Элемент управления 1094, контролируемый корпорацией Майкрософт, — обучение мерам безопасности на основе ролей | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | audit | 1.0.0 |
| Элемент управления 1095, контролируемый корпорацией Майкрософт, — обучение мерам безопасности на основе ролей | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | audit | 1.0.0 |
Практические упражнения
Идентификатор: NIST SP 800-53 Rev. 5 AT-3 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1096, контролируемый корпорацией Майкрософт, — обучение мерам безопасности на основе ролей | Практические упражнения | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | audit | 1.0.0 |
Записи об обучении
Идентификатор: NIST SP 800-53 Rev. 5 AT-4 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1098, контролируемый корпорацией Майкрософт, — записи учебного курса по мерам безопасности | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | audit | 1.0.0 |
| Элемент управления 1099, контролируемый корпорацией Майкрософт, — записи учебного курса по мерам безопасности | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | audit | 1.0.0 |
Аудит и система отчетности
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 AU-1 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1100, контролируемый корпорацией Майкрософт, — политика и процедуры аудита и системы отчетности | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Элемент управления 1101, контролируемый корпорацией Майкрософт, — политика и процедуры аудита и системы отчетности | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Ведение журнала событий
Идентификатор: NIST SP 800-53 Rev. 5 AU-2 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1102, контролируемый корпорацией Майкрософт, — события аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Элемент управления 1103, контролируемый корпорацией Майкрософт, — события аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Элемент управления 1104, контролируемый корпорацией Майкрософт, — события аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Элемент управления 1105, контролируемый корпорацией Майкрософт, — события аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Элемент управления 1106, контролируемый корпорацией Майкрософт, — события аудита | Проверки и обновления | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Содержимое записей аудита
Идентификатор: NIST SP 800-53 Rev. 5 AU-3 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1107, контролируемый корпорацией Майкрософт, — содержимое записей аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Дополнительные сведения об аудите
Идентификатор: NIST SP 800-53 Rev. 5 AU-3 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1108, контролируемый корпорацией Майкрософт, — содержимое записей аудита | Дополнительные сведения об аудите | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Емкость хранилища журнала аудита
Идентификатор: NIST SP 800-53 Rev. 5 AU-4 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1110, контролируемый корпорацией Майкрософт, — емкость хранилища записей аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Реагирование на сбои при ведении журнала аудита
Идентификатор: NIST SP 800-53 Rev. 5 AU-5 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1111, контролируемый корпорацией Майкрософт, — реагирование на сбои при обработке операций аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Элемент управления 1112, контролируемый корпорацией Майкрософт, — реагирование на сбои при обработке операций аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Предупреждение о емкости хранилища
Идентификатор: NIST SP 800-53 ред. 5 AU-5 (1) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1113, контролируемый корпорацией Майкрософт, — реагирование на сбои при обработке операций аудита | Емкость хранилища записей аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Оповещения в реальном времени
Идентификатор: NIST SP 800-53 Rev. 5 AU-5 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1114, контролируемый корпорацией Майкрософт, — реагирование на сбои при обработке операций аудита | Оповещения в реальном времени | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Обзор записей аудита, анализ и создание отчетов
Идентификатор: NIST SP 800-53 Rev. 5 AU-6 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для служба хранилища (классическая версия) должна быть включена | Microsoft Defender для служба хранилища (классическая модель) предоставляет обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
| Элемент управления 1115, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Элемент управления 1116, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Элемент управления 1123, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Настройка уровня аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
Автоматическая интеграция процессов
Идентификатор: NIST SP 800-53 Rev. 5 AU-6 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1117, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Интеграция процессов | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Сопоставление репозиториев записей аудита
Идентификатор: NIST SP 800-53 Rev. 5 AU-6 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1118, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Сопоставление репозиториев аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Централизованная проверка и анализ
Идентификатор: NIST SP 800-53 Rev. 5 AU-6 (4) Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| В приложениях Службы приложений должны быть включены журналы ресурсов | Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 2.0.1 |
| Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
| В подписке должна быть включена автоматическая подготовка агента Log Analytics | Чтобы отслеживать уязвимости и угрозы безопасности, Центр безопасности Azure собирает данные из виртуальных машин Azure. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Мы рекомендуем включить автоматическую подготовку для автоматического развертывания агента на всех поддерживаемых виртуальных машинах Azure, включая те, которые созданы недавно. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| На виртуальной машине должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Эта политика выполняет аудит всех виртуальных машин Windows и Linux, если не установлен агент Log Analytics, который Центр безопасности использует для отслеживания уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| В масштабируемых наборах виртуальных машин должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Центр безопасности собирает данные с виртуальных машин Azure для мониторинга уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для служба хранилища (классическая версия) должна быть включена | Microsoft Defender для служба хранилища (классическая модель) предоставляет обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
| Элемент управления 1119, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Централизованная проверка и анализ | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
| В Azure Data Lake Storage должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Azure Stream Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В учетных записях пакетной службы должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Data Lake Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Центре событий должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Logic Apps должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.1.0 |
| В службах "Поиск" должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Служебной шине должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Интегрированный анализ записей аудита
Идентификатор: NIST SP 800-53 Rev. 5 AU-6 (5) Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| В приложениях Службы приложений должны быть включены журналы ресурсов | Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 2.0.1 |
| Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
| В подписке должна быть включена автоматическая подготовка агента Log Analytics | Чтобы отслеживать уязвимости и угрозы безопасности, Центр безопасности Azure собирает данные из виртуальных машин Azure. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Мы рекомендуем включить автоматическую подготовку для автоматического развертывания агента на всех поддерживаемых виртуальных машинах Azure, включая те, которые созданы недавно. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| На виртуальной машине должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Эта политика выполняет аудит всех виртуальных машин Windows и Linux, если не установлен агент Log Analytics, который Центр безопасности использует для отслеживания уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| В масштабируемых наборах виртуальных машин должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Центр безопасности собирает данные с виртуальных машин Azure для мониторинга уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для служба хранилища (классическая версия) должна быть включена | Microsoft Defender для служба хранилища (классическая модель) предоставляет обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
| Элемент управления 1120, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Возможности интеграция, сканирования и мониторинга | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
| В Azure Data Lake Storage должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Azure Stream Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В учетных записях пакетной службы должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Data Lake Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Центре событий должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Logic Apps должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.1.0 |
| В службах "Поиск" должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Служебной шине должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Сопоставление с физическим мониторингом
Идентификатор: NIST SP 800-53 Rev. 5 AU-6 (6) Ответственность: Microsoft
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1121, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Сопоставление с физическим мониторингом | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Разрешенные действия
Идентификатор: NIST SP 800-53 Rev. 5 AU-6 (7) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1122, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Разрешенные действия | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Снижение числа записей аудита и формирование отчетов
Идентификатор: NIST SP 800-53 Rev. 5 AU-7 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1124, контролируемый корпорацией Майкрософт, — сокращение аудита и создание отчетов | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Элемент управления 1125, контролируемый корпорацией Майкрософт, — сокращение аудита и создание отчетов | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Автоматическая обработка
Идентификатор: NIST SP 800-53 Rev. 5 AU-7 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1126, контролируемый корпорацией Майкрософт, — сокращение аудита и создание отчетов | Автоматическая обработка | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Метки времени
Идентификатор: NIST SP 800-53 Rev. 5 AU-8 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1127, контролируемый корпорацией Майкрософт, — метки времени | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Элемент управления 1128, контролируемый корпорацией Майкрософт, — метки времени | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Защита сведений аудита
Идентификатор: NIST SP 800-53 Rev. 5 AU-9 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1131, контролируемый корпорацией Майкрософт, — защита сведений аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Хранение записей аудита на отдельных физических системах или компонентах
Идентификатор: NIST SP 800-53 Rev. 5 AU-9 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1132, контролируемый корпорацией Майкрософт, — защита сведений аудита | Резервное копирование сведений аудита на отдельных физических системах или компонентах | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Криптографическая защита
Идентификатор: NIST SP 800-53 Rev. 5 AU-9 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1133, контролируемый корпорацией Майкрософт, — защита сведений аудита | Криптографическая защита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Доступ по подмножеству привилегированных пользователей
Идентификатор: NIST SP 800-53 Rev. 5 AU-9 (4) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1134, контролируемый корпорацией Майкрософт, — защита сведений аудита | Доступ по подмножеству привилегированных пользователей | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Неподдельность
Идентификатор: NIST SP 800-53 Rev. 5 AU-10 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1135, контролируемый корпорацией Майкрософт, — неотрекаемость | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Хранение записей аудита
Идентификатор: NIST SP 800-53 Rev. 5 AU-11 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1136, контролируемый корпорацией Майкрософт, — хранение записей аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL Server в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. | AuditIfNotExists, Disabled | 3.0.0 |
Создание записей аудита
Идентификатор: NIST SP 800-53 Rev. 5 AU-12 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| В приложениях Службы приложений должны быть включены журналы ресурсов | Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 2.0.1 |
| Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
| В подписке должна быть включена автоматическая подготовка агента Log Analytics | Чтобы отслеживать уязвимости и угрозы безопасности, Центр безопасности Azure собирает данные из виртуальных машин Azure. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Мы рекомендуем включить автоматическую подготовку для автоматического развертывания агента на всех поддерживаемых виртуальных машинах Azure, включая те, которые созданы недавно. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| На виртуальной машине должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Эта политика выполняет аудит всех виртуальных машин Windows и Linux, если не установлен агент Log Analytics, который Центр безопасности использует для отслеживания уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| В масштабируемых наборах виртуальных машин должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Центр безопасности собирает данные с виртуальных машин Azure для мониторинга уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для служба хранилища (классическая версия) должна быть включена | Microsoft Defender для служба хранилища (классическая модель) предоставляет обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
| Элемент управления 1137, контролируемый корпорацией Майкрософт, — создание записей аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Элемент управления 1138, контролируемый корпорацией Майкрософт, — создание записей аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Элемент управления 1139, контролируемый корпорацией Майкрософт, — создание записей аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
| В Azure Data Lake Storage должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Azure Stream Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В учетных записях пакетной службы должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Data Lake Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Центре событий должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Logic Apps должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.1.0 |
| В службах "Поиск" должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Служебной шине должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Системный журнал аудита с учетом времени
Идентификатор: NIST SP 800-53 Rev. 5 AU-12 (1) Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| В приложениях Службы приложений должны быть включены журналы ресурсов | Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 2.0.1 |
| Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
| В подписке должна быть включена автоматическая подготовка агента Log Analytics | Чтобы отслеживать уязвимости и угрозы безопасности, Центр безопасности Azure собирает данные из виртуальных машин Azure. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Мы рекомендуем включить автоматическую подготовку для автоматического развертывания агента на всех поддерживаемых виртуальных машинах Azure, включая те, которые созданы недавно. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| На виртуальной машине должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Эта политика выполняет аудит всех виртуальных машин Windows и Linux, если не установлен агент Log Analytics, который Центр безопасности использует для отслеживания уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| В масштабируемых наборах виртуальных машин должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Центр безопасности собирает данные с виртуальных машин Azure для мониторинга уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для служба хранилища (классическая версия) должна быть включена | Microsoft Defender для служба хранилища (классическая модель) предоставляет обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
| Элемент управления 1140, контролируемый корпорацией Майкрософт, — создание записей аудита | Системный журнал аудита и журнал аудита с сопоставлением по времени | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
| В Azure Data Lake Storage должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Azure Stream Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В учетных записях пакетной службы должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Data Lake Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Центре событий должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Logic Apps должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.1.0 |
| В службах "Поиск" должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Служебной шине должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Изменения авторизованными пользователями
Идентификатор: NIST SP 800-53 Rev. 5 AU-12 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1141, контролируемый корпорацией Майкрософт, — создание записей аудита | Изменения авторизованными пользователями | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | audit | 1.0.0 |
Оценка, авторизация и мониторинг
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 CA-1 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1142, контролируемый корпорацией Майкрософт, — политика и процедуры оценки сертификации, авторизации и безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
| Элемент управления 1143, контролируемый корпорацией Майкрософт, — политика и процедуры оценки сертификации, авторизации и безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
Оценка элементов управления
Идентификатор: NIST SP 800-53 Rev. 5 CA-2 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1144, контролируемый корпорацией Майкрософт, — оценки безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
| Элемент управления 1145, контролируемый корпорацией Майкрософт, — оценки безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
| Элемент управления 1146, контролируемый корпорацией Майкрософт, — оценки безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
| Элемент управления 1147, контролируемый корпорацией Майкрософт, — оценки безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
Независимые оценщики
Идентификатор: NIST SP 800-53 Rev. 5 CA-2 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1148, контролируемый корпорацией Майкрософт, — оценки безопасности | Независимые оценщики | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
Специализированные оценки
Идентификатор: NIST SP 800-53 Rev. 5 CA-2 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1149, контролируемый корпорацией Майкрософт, — оценки безопасности | Специализированные оценки | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
Использование результатов из внешних организаций
Идентификатор: NIST SP 800-53 Rev. 5 CA-2 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1150, контролируемый корпорацией Майкрософт, — оценки безопасности | Внешние организации | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
Обмен информацией
Идентификатор: NIST SP 800-53 Rev. 5 CA-3 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1151, контролируемый корпорацией Майкрософт, — взаимосвязи в системе | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
| Элемент управления 1152, контролируемый корпорацией Майкрософт, — взаимосвязи в системе | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
| Элемент управления 1153, контролируемый корпорацией Майкрософт, — взаимосвязи в системе | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
План действий и вехи
Идентификатор: NIST SP 800-53 Rev. 5 CA-5 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1156, контролируемый корпорацией Майкрософт, — план действий и вехи | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
| Элемент управления 1157, контролируемый корпорацией Майкрософт, — план действий и вехи | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
Авторизация
Идентификатор: NIST SP 800-53 Rev. 5 CA-6 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1158, контролируемый корпорацией Майкрософт, — авторизация в системе безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
| Элемент управления 1159, контролируемый корпорацией Майкрософт, — авторизация в системе безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
| Элемент управления 1160, контролируемый корпорацией Майкрософт, — авторизация в системе безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
Непрерывный мониторинг
Идентификатор: NIST SP 800-53 Rev. 5 CA-7 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1161, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
| Элемент управления 1162, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
| Элемент управления 1163, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
| Элемент управления 1164, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
| Элемент управления 1165, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
| Элемент управления 1166, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
| Элемент управления 1167, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
Независимая оценка
Идентификатор: NIST SP 800-53 Rev. 5 CA-7 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1168, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Независимая оценка | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
Анализ тенденций
Идентификатор: NIST SP 800-53 Rev. 5 CA-7 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1169, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Анализ тенденций | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
Выполнение тестов на проникновение
Идентификатор: NIST SP 800-53 ред. 5 CA-8 Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1170, контролируемый корпорацией Майкрософт, — выполнение тестов на проникновение | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
Независимый агент или команда тестов на проникновение
Идентификатор: NIST SP 800-53 Rev. 5 CA-8 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1171, контролируемый корпорацией Майкрософт, — выполнение тестов на проникновение | Независимый агент или команда по проникновению | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
Внутренние подключения системы
Идентификатор: NIST SP 800-53 Rev. 5 CA-9 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1172, контролируемый корпорацией Майкрософт, — внутренние подключения системы | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
| Элемент управления 1173, контролируемый корпорацией Майкрософт, — внутренние подключения системы | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
Управление конфигурацией
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 CM-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1174, контролируемый корпорацией Майкрософт, — политика и процедуры управления конфигурацией | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1175, контролируемый корпорацией Майкрософт, — политика и процедуры управления конфигурацией | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Базовая конфигурация
Идентификатор: NIST SP 800-53 Rev. 5 CM-2 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1176, контролируемый корпорацией Майкрософт, — базовая конфигурация | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1177, контролируемый корпорацией Майкрософт, — базовая конфигурация | Проверки и обновления | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1178, контролируемый корпорацией Майкрософт, — базовая конфигурация | Проверки и обновления | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1179, контролируемый корпорацией Майкрософт, — базовая конфигурация | Проверки и обновления | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Поддержка автоматического обеспечения точности и актуальности
Идентификатор: NIST SP 800-53 Rev. 5 CM-2 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1180, контролируемый корпорацией Майкрософт, — базовая конфигурация | Поддержка автоматизации для достижения точности и актуальности | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Хранение предыдущих конфигураций
Идентификатор: NIST SP 800-53 Rev. 5 CM-2 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1181, контролируемый корпорацией Майкрософт, — базовая конфигурация | Хранение предыдущих конфигураций | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Настройка систем и компонентов для областей с высоким риском
Идентификатор: NIST SP 800-53 ред. 5 CM-2 (7) Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1182, контролируемый корпорацией Майкрософт, — базовая конфигурация | Настройка систем, компонентов или устройств для областей с высоким риском | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1183, контролируемый корпорацией Майкрософт, — базовая конфигурация | Настройка систем, компонентов или устройств для областей с высоким риском | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Управление изменениями конфигурации
Идентификатор: NIST SP 800-53 Rev. 5 CM-3 Ответственность: совместная
Автоматический запрет и документирование изменений, а также уведомление о них
Идентификатор: NIST SP 800-53 Rev. 5 CM-3 (1) Ответственность: совместная
Тестирование, проверка и документирование изменений
Идентификатор: NIST SP 800-53 Rev. 5 CM-3 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1197, контролируемый корпорацией Майкрософт, — управление изменениями конфигурации | Тестирование, проверка и документирование изменений | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Представители по обеспечению безопасности и конфиденциальности
Идентификатор: NIST SP 800-53 Rev. 5 CM-3 (4) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1198, контролируемый корпорацией Майкрософт, — управление изменениями конфигурации | Представитель по безопасности | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Управление шифрованием
Идентификатор: NIST SP 800-53 Rev. 5 CM-3 (6) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1199, контролируемый корпорацией Майкрософт, — управление изменениями конфигурации | Управление шифрованием | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Анализы влияния
Идентификатор: NIST SP 800-53 Rev. 5 CM-4 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1200, контролируемый корпорацией Майкрософт, — анализ влияния на безопасность | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Отдельные тестовые среды
Идентификатор: NIST SP 800-53 Rev. 5 CM-4 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1201, контролируемый корпорацией Майкрософт, — анализ влияния на безопасность | Отдельные тестовые среды | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Ограничение прав на доступ для внесения изменений
Идентификатор: NIST SP 800-53 Rev. 5 CM-5 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1202, контролируемый корпорацией Майкрософт, — ограничение прав на доступ для внесения изменений | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Автоматическое принудительное применение прав доступа и записей аудита
Идентификатор: NIST SP 800-53 Rev. 5 CM-5 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1203, контролируемый корпорацией Майкрософт, — ограничение прав на доступ для внесения изменений | Автоматическое принудительное применение и аудит правил доступа | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Ограничение привилегий для производства и эксплуатации
Идентификатор: NIST SP 800-53 Rev. 5 CM-5 (5) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1206, контролируемый корпорацией Майкрософт, — ограничение прав на доступ для внесения изменений | Ограничение рабочих и операционных разрешений | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1207, контролируемый корпорацией Майкрософт, — ограничение прав на доступ для внесения изменений | Ограничение рабочих и операционных разрешений | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Параметры конфигурации
Идентификатор: NIST SP 800-53 Rev. 5 CM-6 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Не рекомендуется]: приложения-функции должны иметь значение "Сертификаты клиента (Входящие сертификаты клиента)" | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимыми сертификатами. Эта политика была заменена новой политикой с тем же именем, так как Http 2.0 не поддерживает сертификаты клиентов. | Audit, Disabled | 3.1.0-устаревший |
| Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента) | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
| В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | Надстройка службы "Политика Azure" для службы Kubernetes (AKS) расширяет возможности Gatekeeper версии 3, представляющего собой веб-перехватчик контроллера допуска для Open Policy Agent (OPA), чтобы централизованным и согласованным образом применить правила и меры безопасности для кластеров в требуемом масштабе. | Audit, Disabled | 1.0.2 |
| В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
| Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 10.1.0 |
| Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла | Блокировка общего доступа контейнеров объектов pod к пространству имен идентификатора хост-процесса и пространству имен IPC узла в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.2 и CIS 5.2.3, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | Ограничение возможностей, чтобы сократить направления атак контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 10.1.1 |
| Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | Выполнение контейнеров с доступной только для чтения корневой файловой системой для защиты от изменений во время выполнения с добавлением вредоносных двоичных файлов в переменную PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые объекты pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.1 |
| Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Службы кластера Kubernetes должны прослушивать только разрешенные порты | Ограничение служб на ожидание передачи данных только через разрешенные порты для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| Кластер Kubernetes не должен разрешать привилегированные контейнеры | Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 10.1.0 |
| Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | Запрет выполнения контейнеров с повышением привилегий до корня в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Disabled | 1.5.0 |
| Элемент управления 1208, контролируемый корпорацией Майкрософт, — параметры конфигурации | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1209, контролируемый корпорацией Майкрософт, — параметры конфигурации | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1210, контролируемый корпорацией Майкрософт, — параметры конфигурации | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1211, контролируемый корпорацией Майкрософт, — параметры конфигурации | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Disabled | 1.0.0 |
Автоматическое управление, применение и проверка
Идентификатор: NIST SP 800-53 Rev. 5 CM-6 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1212, контролируемый корпорацией Майкрософт, — параметры конфигурации | Автоматизированное централизованное управление, применение и проверка | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Реагирование на несанкционированные изменения
Идентификатор: NIST SP 800-53 ред. 5 CM-6 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1213, контролируемый корпорацией Майкрософт, — параметры конфигурации | Реагирование на несанкционированные изменения | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Минимальная функциональность
Идентификатор: NIST SP 800-53 Rev. 5 CM-7 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
| Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями | Отслеживайте изменения в поведении групп компьютеров, настроенных для аудита с помощью адаптивных элементов управления приложениями Центра безопасности Azure. Центр безопасности использует машинное обучение, чтобы анализировать запущенные на компьютерах процессы и предложить список известных безопасных приложений. Эти приложения рекомендуется разрешать в политиках адаптивных элементов управления приложениями. | AuditIfNotExists, Disabled | 3.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Элемент управления 1214, контролируемый корпорацией Майкрософт, — минимальная функциональность | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1215, контролируемый корпорацией Майкрософт, — минимальная функциональность | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Периодическая проверка
Идентификатор: NIST SP 800-53 ред. 5 CM-7 (1) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1216, контролируемый корпорацией Майкрософт, — минимальная функциональность | Периодическая проверка | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1217, контролируемый корпорацией Майкрософт, — минимальная функциональность | Периодическая проверка | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Запрет выполнения программы
Идентификатор: NIST SP 800-53 Rev. 5 CM-7 (2) Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
| Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями | Отслеживайте изменения в поведении групп компьютеров, настроенных для аудита с помощью адаптивных элементов управления приложениями Центра безопасности Azure. Центр безопасности использует машинное обучение, чтобы анализировать запущенные на компьютерах процессы и предложить список известных безопасных приложений. Эти приложения рекомендуется разрешать в политиках адаптивных элементов управления приложениями. | AuditIfNotExists, Disabled | 3.0.0 |
| Элемент управления 1218, контролируемый корпорацией Майкрософт, — минимальная функциональность | Запрет выполнения программы | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Авторизованное программное обеспечение Разрешение по исключению
Идентификатор: NIST SP 800-53 Rev. 5 CM-7 (5) Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
| Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями | Отслеживайте изменения в поведении групп компьютеров, настроенных для аудита с помощью адаптивных элементов управления приложениями Центра безопасности Azure. Центр безопасности использует машинное обучение, чтобы анализировать запущенные на компьютерах процессы и предложить список известных безопасных приложений. Эти приложения рекомендуется разрешать в политиках адаптивных элементов управления приложениями. | AuditIfNotExists, Disabled | 3.0.0 |
| Элемент управления 1219, контролируемый корпорацией Майкрософт, — минимальная функциональность | Авторизованное программное обеспечение или список разрешений | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1220, контролируемый корпорацией Майкрософт, — минимальная функциональность | Авторизованное программное обеспечение или список разрешений | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1221, контролируемый корпорацией Майкрософт, — минимальная функциональность | Авторизованное программное обеспечение или список разрешений | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Инвентаризация компонентов системы
Идентификатор: NIST SP 800-53 Rev. 5 CM-8 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1222, контролируемый корпорацией Майкрософт, — учет компонентов информационной системы | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1223, контролируемый корпорацией Майкрософт, — учет компонентов информационной системы | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1229, контролируемый корпорацией Майкрософт, — учет компонентов информационной системы | Нет дублирующего учета компонентов | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Обновления во время установки и удаления
Идентификатор: NIST SP 800-53 Rev. 5 CM-8 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1224, контролируемый корпорацией Майкрософт, — учет компонентов информационной системы | Обновления во время установки или удаления | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Автоматизированное обслуживание
Идентификатор: NIST SP 800-53 ред. 5 CM-8 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1225, контролируемый корпорацией Майкрософт, — учет компонентов информационной системы | Автоматизированное обслуживание | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Автоматическое обнаружение несанкционированных компонентов
Идентификатор: NIST SP 800-53 Rev. 5 CM-8 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1226, контролируемый корпорацией Майкрософт, — учет компонентов информационной системы | Автоматическое обнаружение несанкционированных компонентов | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1227, контролируемый корпорацией Майкрософт, — учет компонентов информационной системы | Автоматическое обнаружение несанкционированных компонентов | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1241, контролируемый корпорацией Майкрософт, — программное обеспечение, установленное пользователем | Оповещения о несанкционированной установке | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Информация об ответственности
Идентификатор: NIST SP 800-53 Rev. 5 CM-8 (4) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1228, контролируемый корпорацией Майкрософт, — учет компонентов информационной системы | Информация об ответственности | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
План управления конфигурацией
Идентификатор: NIST SP 800-53 Rev. 5 CM-9 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1230, контролируемый корпорацией Майкрософт, — план управления конфигурацией | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1231, контролируемый корпорацией Майкрософт, — план управления конфигурацией | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1232, контролируемый корпорацией Майкрософт, — план управления конфигурацией | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1233, контролируемый корпорацией Майкрософт, — план управления конфигурацией | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Ограничения на использование программного обеспечения
Идентификатор: NIST SP 800-53 Rev. 5 CM-10 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
| Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями | Отслеживайте изменения в поведении групп компьютеров, настроенных для аудита с помощью адаптивных элементов управления приложениями Центра безопасности Azure. Центр безопасности использует машинное обучение, чтобы анализировать запущенные на компьютерах процессы и предложить список известных безопасных приложений. Эти приложения рекомендуется разрешать в политиках адаптивных элементов управления приложениями. | AuditIfNotExists, Disabled | 3.0.0 |
| Элемент управления 1234, контролируемый корпорацией Майкрософт, — ограничения на использование программного обеспечения | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1235, контролируемый корпорацией Майкрософт, — ограничения на использование программного обеспечения | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1236, контролируемый корпорацией Майкрософт, — ограничения на использование программного обеспечения | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Программное обеспечение с открытым кодом
Идентификатор: NIST SP 800-53 Rev. 5 CM-10 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1237, контролируемый корпорацией Майкрософт, — ограничения на использование программного обеспечения | Программное обеспечение с открытым исходным кодом | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Программное обеспечение, установленное пользователем
Идентификатор: NIST SP 800-53 Rev. 5 CM-11 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
| Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями | Отслеживайте изменения в поведении групп компьютеров, настроенных для аудита с помощью адаптивных элементов управления приложениями Центра безопасности Azure. Центр безопасности использует машинное обучение, чтобы анализировать запущенные на компьютерах процессы и предложить список известных безопасных приложений. Эти приложения рекомендуется разрешать в политиках адаптивных элементов управления приложениями. | AuditIfNotExists, Disabled | 3.0.0 |
| Элемент управления 1238, контролируемый корпорацией Майкрософт, — программное обеспечение, установленное пользователем | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1239, контролируемый корпорацией Майкрософт, — программное обеспечение, установленное пользователем | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
| Элемент управления 1240, контролируемый корпорацией Майкрософт, — программное обеспечение, установленное пользователем | Корпорация Майкрософт реализует этот элемент управления конфигурацией | audit | 1.0.0 |
Планирование действий на непредвиденные случаи
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 CP-1 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1242, контролируемый корпорацией Майкрософт, — политика и процедуры планирования действий на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1243, контролируемый корпорацией Майкрософт, — политика и процедуры планирования действий на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
План на непредвиденные случаи
Идентификатор: NIST SP 800-53 Rev. 5 CP-2 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1244, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1245, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1246, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1247, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1248, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1249, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1250, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Координация с соответствующими планами
Идентификатор: NIST SP 800-53 Rev. 5 CP-2 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1251, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Координация с соответствующими планами | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
планирование ресурсов;
Идентификатор: NIST SP 800-53 Rev. 5 CP-2 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1252, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Планирование ресурсов | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Возобновление выполнения основных задач и бизнес-функций
Идентификатор: NIST SP 800-53 Rev. 5 CP-2 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1253, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Возобновление выполнения основных задач и бизнес-функций | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1254, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Возобновление выполнения всех задач и бизнес-функций | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Продолжение выполнения основных задач и бизнес-функций
Идентификатор: NIST SP 800-53 Rev. 5 CP-2 (5) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1255, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Продолжение выполнения основных задач и бизнес-функций | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Выявление критически важных ресурсов
Идентификатор: NIST SP 800-53 Rev. 5 CP-2 (8) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1256, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Выявление критически важных ресурсов | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Обучение реагированию на непредвиденные случаи
Идентификатор: NIST SP 800-53 Rev. 5 CP-3 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1257, контролируемый корпорацией Майкрософт, — обучение реагированию на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1258, контролируемый корпорацией Майкрософт, — обучение реагированию на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1259, контролируемый корпорацией Майкрософт, — обучение реагированию на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Смоделированные события
Идентификатор: NIST SP 800-53 Rev. 5 CP-3 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1260, контролируемый корпорацией Майкрософт, — обучение реагированию на непредвиденные случаи | Смоделированные события | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Тестирование плана на непредвиденные случаи
Идентификатор: NIST SP 800-53 Rev. 5 CP-4 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1261, контролируемый корпорацией Майкрософт, — тестирование плана на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1262, контролируемый корпорацией Майкрософт, — тестирование плана на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1263, контролируемый корпорацией Майкрософт, — тестирование плана на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Координация с соответствующими планами
Идентификатор: NIST SP 800-53 Rev. 5 CP-4 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1264, контролируемый корпорацией Майкрософт, — тестирование плана на непредвиденные случаи | Координация с соответствующими планами | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Альтернативный сайт обработки
Идентификатор: NIST SP 800-53 Rev. 5 CP-4 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1265, контролируемый корпорацией Майкрософт, — тестирование плана на непредвиденные случаи | Альтернативный сайт обработки | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1266, контролируемый корпорацией Майкрософт, — тестирование плана на непредвиденные случаи | Альтернативный сайт обработки | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Альтернативный сайт хранилища
Идентификатор: NIST SP 800-53 Rev. 5 CP-6 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование | База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| База данных Azure для MySQL должна использовать геоизбыточное резервное копирование | База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование | База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| Учетные записи хранения должны использовать геоизбыточное хранилище | Использование геоизбыточности для создания высокодоступных приложений | Audit, Disabled | 1.0.0 |
| Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование | Эта политика выполняет аудит баз данных SQL Azure, для которых не включено долгосрочное геоизбыточное резервное копирование. | AuditIfNotExists, Disabled | 2.0.0 |
| Элемент управления 1267, контролируемый корпорацией Майкрософт, — альтернативный сайт хранилища | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1268, контролируемый корпорацией Майкрософт, — альтернативный сайт хранилища | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Отделение от первичного сайта
Идентификатор: NIST SP 800-53 Rev. 5 CP-6 (1) Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование | База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| База данных Azure для MySQL должна использовать геоизбыточное резервное копирование | База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование | База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| Учетные записи хранения должны использовать геоизбыточное хранилище | Использование геоизбыточности для создания высокодоступных приложений | Audit, Disabled | 1.0.0 |
| Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование | Эта политика выполняет аудит баз данных SQL Azure, для которых не включено долгосрочное геоизбыточное резервное копирование. | AuditIfNotExists, Disabled | 2.0.0 |
| Элемент управления 1269, контролируемый корпорацией Майкрософт, — альтернативный сайт хранилища | Отделение от первичного сайта | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Целевые показатели времени восстановления и точки восстановления
Идентификатор: NIST SP 800-53 Rev. 5 CP-6 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1270, контролируемый корпорацией Майкрософт, — альтернативный сайт хранилища | Целевые показатели времени и точки восстановления | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Специальные возможности
Идентификатор: NIST SP 800-53 Rev. 5 CP-6 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1271, контролируемый корпорацией Майкрософт, — альтернативный сайт хранилища | Возможности доступа | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Альтернативный сайт обработки
Идентификатор: NIST SP 800-53 Rev. 5 CP-7 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Аудит виртуальных машин без аварийного восстановления | Аудит виртуальных машин, где не настроено аварийное восстановление. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Элемент управления 1272, контролируемый корпорацией Майкрософт, — альтернативный сайт обработки | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1273, контролируемый корпорацией Майкрософт, — альтернативный сайт обработки | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1274, контролируемый корпорацией Майкрософт, — альтернативный сайт обработки | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Отделение от первичного сайта
Идентификатор: NIST SP 800-53 Rev. 5 CP-7 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1275, контролируемый корпорацией Майкрософт, — альтернативный сайт обработки | Отделение от первичного сайта | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Специальные возможности
Идентификатор: NIST SP 800-53 Rev. 5 CP-7 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1276, контролируемый корпорацией Майкрософт, — альтернативный сайт обработки | Возможности доступа | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Приоритет службы
Идентификатор: NIST SP 800-53 Rev. 5 CP-7 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1277, контролируемый корпорацией Майкрософт, — альтернативный сайт обработки | Приоритет службы | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Подготовка к использованию
Идентификатор: NIST SP 800-53 Rev. 5 CP-7 (4) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1278, контролируемый корпорацией Майкрософт, — альтернативный сайт обработки | Подготовка к использованию | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Телекоммуникационные службы
Идентификатор: NIST SP 800-53 Rev. 5 CP-8 Ответственность: Microsoft
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1279, контролируемый корпорацией Майкрософт, — телекоммуникационные службы | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Приоритет подготовки службы
Идентификатор: NIST SP 800-53 ред. 5 CP-8 (1) Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1280, контролируемый корпорацией Майкрософт, — телекоммуникационные службы | Приоритет подготовки служб | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1281, контролируемый корпорацией Майкрософт, — телекоммуникационные службы | Приоритет подготовки служб | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Единые точки отказа
Идентификатор: NIST SP 800-53 Rev. 5 CP-8 (2) Ответственность: Microsoft
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1282, контролируемый корпорацией Майкрософт, — телекоммуникационные службы | Единые точки отказа | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Разделение первичных и альтернативных поставщиков
Идентификатор: NIST SP 800-53 Rev. 5 CP-8 (3) Ответственность: Microsoft
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1283, контролируемый корпорацией Майкрософт, — телекоммуникационные службы | Разделение первичного и альтернативного поставщиков | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
План поставщика на непредвиденный случай
Идентификатор: NIST SP 800-53 Rev. 5 CP-8 (4) Ответственность: Microsoft
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1284, контролируемый корпорацией Майкрософт, — телекоммуникационные службы | План поставщика на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1285, контролируемый корпорацией Майкрософт, — телекоммуникационные службы | План поставщика на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1286, контролируемый корпорацией Майкрософт, — телекоммуникационные службы | План поставщика на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Резервное копирование системы
Идентификатор: NIST SP 800-53 Rev. 5 CP-9 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить Azure Backup для Виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование | База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| База данных Azure для MySQL должна использовать геоизбыточное резервное копирование | База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование | База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| В хранилищах ключей должна быть включена защита от удаления | Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. | Audit, Deny, Disabled | 2.1.0 |
| В хранилищах ключей должно быть включено обратимое удаление | Если при удалении хранилища ключей отключено обратимое удаление, все секреты, ключи и сертификаты в этом хранилище ключей удалятся без возможности восстановления. Случайное удаление хранилища ключей может привести к необратимой потере данных. Функция обратимого удаления позволяет восстановить случайно удаленное хранилище ключей с настраиваемым периодом хранения. | Audit, Deny, Disabled | 3.0.0 |
| Элемент управления 1287, контролируемый корпорацией Майкрософт, — резервное копирование информационной системы | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1288, контролируемый корпорацией Майкрософт, — резервное копирование информационной системы | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1289, контролируемый корпорацией Майкрософт, — резервное копирование информационной системы | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
| Элемент управления 1290, контролируемый корпорацией Майкрософт, — резервное копирование информационной системы | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Тестирование надежности и целостности
Идентификатор: NIST SP 800-53 ред. 5 CP-9 (1) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1291, контролируемый корпорацией Майкрософт, — резервное копирование информационной системы | Тестирование надежности и целостности | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Тестовое восстановление с использованием выборки
Идентификатор: NIST SP 800-53 ред. 5 CP-9 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1292, контролируемый корпорацией Майкрософт, — резервное копирование информационной системы | Тестовое восстановление с помощью выборки | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Отдельное хранилище для важной информации
Идентификатор: NIST SP 800-53 Rev. 5 CP-9 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1293, контролируемый корпорацией Майкрософт, — резервное копирование информационной системы | Отдельное хранилище для важной информации | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Передача на альтернативный сайт хранилища
Идентификатор: NIST SP 800-53 Rev. 5 CP-9 (5) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1294, контролируемый корпорацией Майкрософт, — резервное копирование информационной системы | Передача на альтернативный сайт хранилища | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Восстановление и воссоздание системы
Идентификатор: NIST SP 800-53 Rev. 5 CP-10 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1295, контролируемый корпорацией Майкрософт, — восстановление и воссоздание информационной системы | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Восстановление транзакции
Идентификатор: NIST SP 800-53 Rev. 5 CP-10 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1296, контролируемый корпорацией Майкрософт, — восстановление и воссоздание информационной системы | Восстановление транзакций | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Восстановление в течение определенного периода времени
Идентификатор: NIST SP 800-53 Rev. 5 CP-10 (4) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1297, контролируемый корпорацией Майкрософт, — восстановление и воссоздание информационной системы | Восстановление в течение определенного периода времени | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | audit | 1.0.0 |
Идентификация и аутентификация
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 IA-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1298, контролируемый корпорацией Майкрософт, — политика и процедуры идентификации и аутентификации | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1299, контролируемый корпорацией Майкрософт, — политика и процедуры идентификации и аутентификации | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Идентификация и проверка подлинности (пользователи организации)
Идентификатор: NIST SP 800-53 Rev. 5 IA-2 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Audit, Deny, Disabled | 1.1.0 |
| Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Элемент управления 1300, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Многофакторная проверка подлинности для привилегированных учетных записей
Идентификатор: NIST SP 800-53 Rev. 5 IA-2 (1) Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Элемент управления 1301, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Сетевой доступ к привилегированным учетным записям | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1303, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Локальный доступ к привилегированным учетным записям | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Многофакторная проверка подлинности для непривилегированных учетных записей
Идентификатор: NIST SP 800-53 Rev. 5 IA-2 (2) Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Элемент управления 1302, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Сетевой доступ к непривилегированным учетным записям | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1304, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Локальный доступ к непривилегированным учетным записям | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Индивидуальная проверка подлинности с помощью проверки подлинности группы
Идентификатор: NIST SP 800-53 Rev. 5 IA-2 (5) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1305, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Проверка подлинности группы | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Доступ к учетным записям и защита от атак с повторением
Идентификатор: NIST SP 800-53 ред. 5 IA-2 (8) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1306, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Сетевой доступ к привилегированным учетным записям — защита от атак с повторением... | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1307, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Сетевой доступ к непривилегированным учетным записям — защита от атак с повторением... | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Принятие учетных данных PIV
Идентификатор: NIST SP 800-53 ред. 5 IA-2 (12) Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1309, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Принятие учетных данных для проверки личности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Идентификация и аутентификация устройства
Идентификатор: NIST SP 800-53 ред. 5 IA-3 Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1310, контролируемый корпорацией Майкрософт, — идентификация и аутентификация устройства | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Управление идентификаторами
Идентификатор: NIST SP 800-53 Rev. 5 IA-4 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Audit, Deny, Disabled | 1.1.0 |
| Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Элемент управления 1311, контролируемый корпорацией Майкрософт, — управление идентификаторами | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1312, контролируемый корпорацией Майкрософт, — управление идентификаторами | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1313, контролируемый корпорацией Майкрософт, — управление идентификаторами | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1314, контролируемый корпорацией Майкрософт, — управление идентификаторами | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1315, контролируемый корпорацией Майкрософт, — управление идентификаторами | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Определение состояния пользователя
Идентификатор: NIST SP 800-53 Rev. 5 IA-4 (4) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1316, контролируемый корпорацией Майкрософт, — управление идентификаторами | Определение состояния пользователя | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Управление структурой проверки подлинности
Идентификатор: NIST SP 800-53 Rev. 5 IA-5 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. | AuditIfNotExists, Disabled | 1.4.0 |
| Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. | AuditIfNotExists, Disabled | 1.0.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Элемент управления 1317, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1318, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1319, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1320, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1321, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1322, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1323, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1324, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1325, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1326, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Аутентификация на основе пароля
Идентификатор: NIST SP 800-53 Rev. 5 IA-5 (1) Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 1.3.0 |
| Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. | AuditIfNotExists, Disabled | 1.4.0 |
| Аудит компьютеров Windows, которые позволяют повторно использовать пароли после указанного количества уникальных паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые позволяют повторно использовать пароли после указанного числа уникальных паролей. Значение по умолчанию для уникальных паролей — 24 | AuditIfNotExists, Disabled | 1.1.0 |
| Аудит компьютеров Windows, не имеющих максимального срока действия пароля, заданного для указанного количества дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет максимального возраста пароля, установленного для указанного количества дней. Значение по умолчанию для максимального срока действия пароля — 70 дней | AuditIfNotExists, Disabled | 1.1.0 |
| Аудит компьютеров Windows, не имеющих минимального возраста пароля, заданного для указанного количества дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет минимального возраста пароля, установленного на указанное количество дней. Значение по умолчанию для минимального возраста пароля — 1 день | AuditIfNotExists, Disabled | 1.1.0 |
| Аудит компьютеров Windows без включенного параметра сложности пароля | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры Windows считаются несоответствующими, если на них не установлен параметр сложности пароля. | AuditIfNotExists, Disabled | 1.0.0 |
| Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля указанным числом символов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые не ограничивают минимальную длину пароля указанным количеством символов. Значение по умолчанию для минимальной длины пароля — 14 символов | AuditIfNotExists, Disabled | 1.1.0 |
| Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. | AuditIfNotExists, Disabled | 1.0.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Элемент управления 1327, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Проверка подлинности на основе пароля | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1328, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Проверка подлинности на основе пароля | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1329, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Проверка подлинности на основе пароля | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1330, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Проверка подлинности на основе пароля | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1331, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Проверка подлинности на основе пароля | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1332, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Проверка подлинности на основе пароля | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1338, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Автоматическая поддержка определения надежности паролей | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Проверка подлинности на основе открытых ключей
Идентификатор: NIST SP 800-53 Rev. 5 IA-5 (2) Ответственность: совместная
Защита средств проверки подлинности
Идентификатор: NIST SP 800-53 Rev. 5 IA-5 (6) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1339, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Защита структур проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Отсутствие внедренных статических средств проверки подлинности без шифрования
Идентификатор: NIST SP 800-53 Rev. 5 IA-5 (7) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1340, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Отсутствие внедренных статических структур проверки подлинности без шифрования | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Несколько системных учетных записей
Идентификатор: NIST SP 800-53 ред. 5 IA-5 (8) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1341, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Учетные записи нескольких информационных систем | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Истечение срока действия кэшированных средств проверки подлинности
Идентификатор: NIST SP 800-53 ред. 5 IA-5 (13) Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1343, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Истечение срока действия кэшированных структур проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Отзыв о проверке подлинности
Идентификатор: NIST SP 800-53 Rev. 5 IA-6 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1344, контролируемый корпорацией Майкрософт, — отзыв о структуре проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Аутентификация криптографического модуля
Идентификатор: NIST SP 800-53 Rev. 5 IA-7 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1345, контролируемый корпорацией Майкрософт, — аутентификация криптографического модуля | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Идентификация и проверка подлинности (пользователи за пределами организации)
Идентификатор: NIST SP 800-53 ред. 5 IA-8 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1346, контролируемый корпорацией Майкрософт, — идентификация и аутентификация (пользователи за пределами организации) | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Принятие учетных данных PIV от других агентств
Идентификатор: NIST SP 800-53 ред. 5 IA-8 (1) Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1347, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности (пользователи за пределами организации) | Принятие учетных данных для проверки личности... | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Принятие внешних средств проверки подлинности
Идентификатор: NIST SP 800-53 ред. 5 IA-8 (2) Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1348, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности (пользователи за пределами организации) | Принятие сторонних... | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
| Элемент управления 1349, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности (пользователи за пределами организации) | Использование продуктов, утвержденных FICAM | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Использование определенных профилей
Идентификатор: NIST SP 800-53 ред. 5 IA-8 (4) Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1350, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности (пользователи за пределами организации) | Использование профилей от FICAM | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | audit | 1.0.0 |
Реакция на инцидент
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 IR-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1351, контролируемый корпорацией Майкрософт, — политика и процедуры реагирования на инциденты | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
| Элемент управления 1352, контролируемый корпорацией Майкрософт, — политика и процедуры реагирования на инциденты | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Обучение реагированию на инциденты
Идентификатор: NIST SP 800-53 Rev. 5 IR-2 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1353, контролируемый корпорацией Майкрософт, — обучение реагированию на инциденты | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
| Элемент управления 1354, контролируемый корпорацией Майкрософт, — обучение реагированию на инциденты | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
| Элемент управления 1355, контролируемый корпорацией Майкрософт, — обучение реагированию на инциденты | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Смоделированные события
Идентификатор: NIST SP 800-53 Rev. 5 IR-2 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1356, контролируемый корпорацией Майкрософт, — обучение реагированию на инциденты | Смоделированные события | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Автоматизированные среды обучения
Идентификатор: NIST SP 800-53 Rev. 5 IR-2 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1357, контролируемый корпорацией Майкрософт, — обучение реагированию на инциденты | Автоматизированные среды для обучения | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Тестирование реагирования на инциденты
Идентификатор: NIST SP 800-53 Rev. 5 IR-3 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1358, контролируемый корпорацией Майкрософт, — тестирование реагирования на инциденты | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Координация с соответствующими планами
Идентификатор: NIST SP 800-53 Rev. 5 IR-3 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1359, контролируемый корпорацией Майкрософт, — тестирование реагирования на инциденты | Координация с соответствующими планами | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Обработка инцидента
Идентификатор: NIST SP 800-53 Rev. 5 IR-4 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для служба хранилища (классическая версия) должна быть включена | Microsoft Defender для служба хранилища (классическая модель) предоставляет обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
| Элемент управления 1360, контролируемый корпорацией Майкрософт, — обработка инцидентов | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
| Элемент управления 1361, контролируемый корпорацией Майкрософт, — обработка инцидентов | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
| Элемент управления 1362, контролируемый корпорацией Майкрософт, — обработка инцидентов | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
Автоматические процессы обработки инцидентов
Идентификатор: NIST SP 800-53 Rev. 5 IR-4 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1363, контролируемый корпорацией Майкрософт, — обработка инцидента | Автоматизированные процессы обработки инцидентов | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Динамическая перенастройка
Идентификатор: NIST SP 800-53 Rev. 5 IR-4 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1364, контролируемый корпорацией Майкрософт, — обработка инцидентов | Динамическая перенастройка | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Непрерывность операций
Идентификатор: NIST SP 800-53 Rev. 5 IR-4 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1365, контролируемый корпорацией Майкрософт, — обработка инцидента | Непрерывность операций | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Корреляция данных
Идентификатор: NIST SP 800-53 Rev. 5 IR-4 (4) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1366, контролируемый корпорацией Майкрософт, — обработка инцидентов | Корреляция данных | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Внутренние угрозы
Идентификатор: NIST SP 800-53 Rev. 5 IR-4 (6) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1367, контролируемый корпорацией Майкрософт, — обработка инцидентов | Внутренние угрозы — специальные возможности | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Корреляция с внешними организациями
Идентификатор: NIST SP 800-53 Rev. 5 IR-4 (8) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1368, контролируемый корпорацией Майкрософт, — обработка инцидента | Корреляция с внешним организациям | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Мониторинг инцидента
Идентификатор: NIST SP 800-53 Rev. 5 IR-5 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для служба хранилища (классическая версия) должна быть включена | Microsoft Defender для служба хранилища (классическая модель) предоставляет обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
| Элемент управления 1369, контролируемый корпорацией Майкрософт, — отслеживание инцидентов | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
Автоматическое отслеживание, сбор данных и анализ
Идентификатор: NIST SP 800-53 ред. 5 IR-5 (1) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1370, контролируемый корпорацией Майкрософт, — отслеживание инцидентов | Автоматизированное отслеживание, сбор данных и анализ | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Отчет об инциденте
Идентификатор: NIST SP 800-53 ред. 5 IR-6 Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1371, контролируемый корпорацией Майкрософт, — подготовка отчетов об инцидентах | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
| Элемент управления 1372, контролируемый корпорацией Майкрософт, — подготовка отчетов об инцидентах | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Автоматическая отчетность
Идентификатор: NIST SP 800-53 Rev. 5 IR-6 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1373, контролируемый корпорацией Майкрософт, — подготовка отчетов об инцидентах | Автоматическая отчетность | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Уязвимости, связанные с инцидентами
Идентификатор: NIST SP 800-53 ред. 5 IR-6 (2) Ответственность: Клиент
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.0.0 |
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
Поддержка реагирования на инциденты
Идентификатор: NIST SP 800-53 Rev. 5 IR-7 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1374, контролируемый корпорацией Майкрософт, — поддержка реагирования на инциденты | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Поддержка автоматизации для доступа к информации и поддержке
Идентификатор: NIST SP 800-53 Rev. 5 IR-7 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1375, контролируемый корпорацией Майкрософт, — поддержка реагирования на инциденты | Поддержка автоматизации для доступа к информации и службе поддержки | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Координация с внешними поставщиками
Идентификатор: NIST SP 800-53 Rev. 5 IR-7 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1376, контролируемый корпорацией Майкрософт, — поддержка реагирования на инциденты | Координация с внешними поставщиками | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
| Элемент управления 1377, контролируемый корпорацией Майкрософт, — поддержка реагирования на инциденты | Координация с внешними поставщиками | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
План реагирования на инциденты
Идентификатор: NIST SP 800-53 Rev. 5 IR-8 Ответственность: совместная
Утечка данных
Идентификатор: NIST SP 800-53 Rev. 5 IR-9 Ответственность: совместная
Обучение
Идентификатор: NIST SP 800-53 Rev. 5 IR-9 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1391, контролируемый корпорацией Майкрософт, — реагирование на разглашение данных | Обучение | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Операции после разглашения
Идентификатор: NIST SP 800-53 ред. 5 IR-9 (3) Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1392, контролируемый корпорацией Майкрософт, — реагирование на разглашение информации | Операции после разглашения | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Воздействие на неавторизованный персонал
Идентификатор: NIST SP 800-53 Rev. 5 IR-9 (4) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1393, контролируемый корпорацией Майкрософт, — реагирование на разглашение информации | Воздействие на неавторизованный персонал | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | audit | 1.0.0 |
Обслуживание
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 MA-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1394, контролируемый корпорацией Майкрософт, — политика и процедуры обслуживания системы | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
| Элемент управления 1395, контролируемый корпорацией Майкрософт, — политика и процедуры обслуживания системы | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
Управляемое обслуживание
Идентификатор: NIST SP 800-53 Rev. 5 MA-2 Ответственность: совместная
Автоматические действия по обслуживанию
Идентификатор: NIST SP 800-53 Rev. 5 MA-2 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1402, контролируемый корпорацией Майкрософт, — управляемое обслуживание | Автоматические действия по обслуживанию | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
| Элемент управления 1403, контролируемый корпорацией Майкрософт, — управляемое обслуживание | Автоматические действия по обслуживанию | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
Средства обслуживания
Идентификатор: NIST SP 800-53 Rev. 5 MA-3 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1404, контролируемый корпорацией Майкрософт, — средства обслуживания | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
Инструменты проверки
Идентификатор: NIST SP 800-53 ред. 5 MA-3 (1) Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1405, контролируемый корпорацией Майкрософт, — средства обслуживания | Проверка средств | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
Проверка носителя
Идентификатор: NIST SP 800-53 Rev. 5 MA-3 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1406, контролируемый корпорацией Майкрософт, — средства обслуживания | Проверка носителей | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
Предотвращение несанкционированного удаления
Идентификатор: NIST SP 800-53 ред. 5 MA-3 (3) Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1407, контролируемый корпорацией Майкрософт, — средства обслуживания | Предотвращение несанкционированного удаления | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
| Элемент управления 1408, контролируемый корпорацией Майкрософт, — средства обслуживания | Предотвращение несанкционированного удаления | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
| Элемент управления 1409, контролируемый корпорацией Майкрософт, — средства обслуживания | Предотвращение несанкционированного удаления | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
| Элемент управления 1410, контролируемый корпорацией Майкрософт, — средства обслуживания | Предотвращение несанкционированного удаления | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
Нелокальное обслуживание
Идентификатор: NIST SP 800-53 Rev. 5 MA-4 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1411, контролируемый корпорацией Майкрософт, — удаленное обслуживание | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
| Элемент управления 1412, контролируемый корпорацией Майкрософт, — удаленное обслуживание | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
| Элемент управления 1413, контролируемый корпорацией Майкрософт, — удаленное обслуживание | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
| Элемент управления 1414, контролируемый корпорацией Майкрософт, — удаленное обслуживание | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
| Элемент управления 1415, контролируемый корпорацией Майкрософт, — удаленное обслуживание | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
Сопоставимый уровень безопасности и очистки
Идентификатор: NIST SP 800-53 Rev. 5 MA-4 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1417, контролируемый корпорацией Майкрософт, — удаленное обслуживание | Сопоставимый уровень безопасности и очистки | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
| Элемент управления 1418, контролируемый корпорацией Майкрософт, — удаленное обслуживание | Сопоставимый уровень безопасности и очистки | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
Криптографическая защита
Идентификатор: NIST SP 800-53 Rev. 5 MA-4 (6) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1419, контролируемый корпорацией Майкрософт, — удаленное обслуживание | Криптографическая защита | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
Персонал по обслуживанию
Идентификатор: NIST SP 800-53 Rev. 5 MA-5 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1420, контролируемый корпорацией Майкрософт, — персонал по обслуживанию | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
| Элемент управления 1421, контролируемый корпорацией Майкрософт, — персонал по обслуживанию | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
| Элемент управления 1422, контролируемый корпорацией Майкрософт, — персонал по обслуживанию | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
Пользователи без соответствующего доступа
Идентификатор: NIST SP 800-53 ред. 5 MA-5 (1) Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1423, контролируемый корпорацией Майкрософт, — персонал по обслуживанию | Пользователи без соответствующего уровня доступа | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
| Элемент управления 1424, контролируемый корпорацией Майкрософт, — персонал по обслуживанию | Пользователи без соответствующего уровня доступа | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
Своевременное обслуживание
Идентификатор: NIST SP 800-53 Rev. 5 MA-6 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1425, контролируемый корпорацией Майкрософт, — своевременное обслуживание | Корпорация Майкрософт реализует этот элемент управления обслуживанием | audit | 1.0.0 |
Защита данных на носителях
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 MP-1 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1426, контролируемый корпорацией Майкрософт, — политика и процедуры защиты данных на носителях | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
| Элемент управления 1427, контролируемый корпорацией Майкрософт, — политика и процедуры защиты данных на носителях | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
Доступ к носителям
Идентификатор: NIST SP 800-53 ред. 5 MP-2 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1428, контролируемый корпорацией Майкрософт, — доступ к носителям | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
Маркировка носителей
Идентификатор: NIST SP 800-53 ред. 5 MP-3 Владение: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1429, контролируемый корпорацией Майкрософт, — маркировка носителей | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
| Элемент управления 1430, контролируемый корпорацией Майкрософт, — маркировка носителей | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
Устройство хранения данных
Идентификатор: NIST SP 800-53 ред. 5 MP-4 Владение: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1431, контролируемый корпорацией Майкрософт, — устройство хранения данных | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
| Элемент управления 1432, контролируемый корпорацией Майкрософт, — устройство хранения данных | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
Передача носителя
Идентификатор: NIST SP 800-53 ред. 5 MP-5 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1433, контролируемый корпорацией Майкрософт, — передача носителя | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
| Элемент управления 1434, контролируемый корпорацией Майкрософт, — передача носителя | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
| Элемент управления 1435, контролируемый корпорацией Майкрософт, — передача носителя | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
| Элемент управления 1436, контролируемый корпорацией Майкрософт, — передача носителя | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
Очистка носителя
Идентификатор: NIST SP 800-53 ред. 5 MP-6 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1438, контролируемый корпорацией Майкрософт, — очистка и утилизация носителя | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
| Элемент управления 1439, контролируемый корпорацией Майкрософт, — очистка и утилизация носителя | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
Проверка, утверждение, отслеживание, документирование и подтверждение
Идентификатор: NIST SP 800-53 ред. 5 MP-6 (1) Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1440, контролируемый корпорацией Майкрософт, — очистка и утилизация носителя | Просмотр, утверждение, отслеживание, документирование и проверка | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
Тестирование оборудования
Идентификатор: NIST SP 800-53 ред. 5 MP-6 (2) Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1441, контролируемый корпорацией Майкрософт, — очистка и утилизация носителя | Тестирование оборудования | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
Неразрушающие методы
Идентификатор: NIST SP 800-53 Rev. 5 MP-6 (3) Ответственность: Microsoft
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1442, контролируемый корпорацией Майкрософт, — очистка и утилизация носителя | Обратимые методы | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
Использование носителя
Идентификатор: NIST SP 800-53 ред. 5 MP-7 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1443, контролируемый корпорацией Майкрософт, — использование носителя | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
| Элемент управления 1444, контролируемый корпорацией Майкрософт, — использование носителя | Запрет использования без владельца | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
Физическая безопасность и защита от неблагоприятного воздействия окружающей среды
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 PE-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1445, контролируемый корпорацией Майкрософт, — политика и процедуры обеспечения физической безопасности и защиты от неблагоприятного воздействия окружающей среды | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1446, контролируемый корпорацией Майкрософт, — политика и процедуры обеспечения физической безопасности и защиты от неблагоприятного воздействия окружающей среды | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Разрешение на физический доступ
Идентификатор: NIST SP 800-53 ред. 5 PE-2 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1447, контролируемый корпорацией Майкрософт, — разрешения на физический доступ | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1448, контролируемый корпорацией Майкрософт, — разрешения на физический доступ | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1449, контролируемый корпорацией Майкрософт, — разрешения на физический доступ | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1450, контролируемый корпорацией Майкрософт, — разрешения на физический доступ | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Контроль физического доступа
Идентификатор: NIST SP 800-53 ред. 5 PE-3 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1451, контролируемый корпорацией Майкрософт, — контроль физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1452, контролируемый корпорацией Майкрософт, — контроль физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1453, контролируемый корпорацией Майкрософт, — контроль физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1454, контролируемый корпорацией Майкрософт, — контроль физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1455, контролируемый корпорацией Майкрософт, — контроль физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1456, контролируемый корпорацией Майкрософт, — контроль физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1457, контролируемый корпорацией Майкрософт, — контроль физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Доступ к системе
Идентификатор: NIST SP 800-53 Rev. 5 PE-3 (1) Ответственность: Microsoft
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1458, контролируемый корпорацией Майкрософт, — контроль физического доступа | Доступ к информационным системам | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Управление доступом для передачи
Идентификатор: NIST SP 800-53 ред. 5 PE-4 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1459, контролируемый корпорацией Майкрософт, — управление доступом для среды передачи | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Управление доступом устройств вывода
Идентификатор: NIST SP 800-53 ред. 5 PE-5 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1460, контролируемый корпорацией Майкрософт, — управление доступом для устройств вывода | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Мониторинг физического доступа
Идентификатор: NIST SP 800-53 Rev. 5 PE-6 Ответственность: Microsoft
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1461, контролируемый корпорацией Майкрософт, — мониторинг физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1462, контролируемый корпорацией Майкрософт, — мониторинг физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1463, контролируемый корпорацией Майкрософт, — мониторинг физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Оборудование для охранной сигнализации и видеонаблюдения
Идентификатор: NIST SP 800-53 ред. 5 PE-6 (1) Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1464, контролируемый корпорацией Майкрософт, — мониторинг физического доступа | Оборудование для охранной сигнализации и видеонаблюдения | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Отслеживание физического доступа к системам
Идентификатор: NIST SP 800-53 Rev. 5 PE-6 (4) Ответственность: Microsoft
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1465, контролируемый корпорацией Майкрософт, — мониторинг физического доступа | Мониторинг физического доступа к информационным системам | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Записи доступа посетителей
Идентификатор: NIST SP 800-53 ред. 5 PE-8 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1466, контролируемый корпорацией Майкрософт, — записи о доступе посетителей | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1467, контролируемый корпорацией Майкрософт, — записи о доступе посетителей | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Автоматическое сохранение и проверка записей
Идентификатор: NIST SP 800-53 Rev. 5 PE-8 (1) Ответственность: Microsoft
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1468, контролируемый корпорацией Майкрософт, — записи о доступе посетителей | Автоматическое обслуживание и проверка записей | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Источники питания и кабели
Идентификатор: NIST SP 800-53 Rev. 5 PE-9 Ответственность: Microsoft
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1469, контролируемый корпорацией Майкрософт, — источники питания и кабели | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Аварийное выключение
Идентификатор: NIST SP 800-53 Rev. 5 PE-10 Ответственность: Microsoft
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1470, контролируемый корпорацией Майкрософт, — аварийное выключение | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1471, контролируемый корпорацией Майкрософт, — аварийное выключение | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1472, контролируемый корпорацией Майкрософт, — аварийное выключение | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Аварийное питание
Идентификатор: NIST SP 800-53 Rev. 5 PE-11 Ответственность: Microsoft
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1473, контролируемый корпорацией Майкрософт, — аварийное питание | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Альтернативный источник питания и минимальные операционные способности
Идентификатор: NIST SP 800-53 Rev. 5 PE-11 (1) Ответственность: Microsoft
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1474, контролируемый корпорацией Майкрософт, — аварийное питание | Долгосрочный альтернативный источник питания — минимальные операционные способности | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Аварийное освещение
Идентификатор: NIST SP 800-53 ред. 5 PE-12 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1475, контролируемый корпорацией Майкрософт, — аварийное освещение | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Пожарная защита
Идентификатор: NIST SP 800-53 ред. 5 PE-13 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1476, контролируемый корпорацией Майкрософт, — противопожарная защита | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Системы обнаружения — автоматическая активация и уведомление
Идентификатор: NIST SP 800-53 ред. 5 PE-13 (1) Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1477, контролируемый корпорацией Майкрософт, — противопожарная защита | Устройства и системы обнаружения | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Системы подавления — автоматическая активация и уведомление
Идентификатор: NIST SP 800-53 ред. 5 PE-13 (2) Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1478, контролируемый корпорацией Майкрософт, — противопожарная защита | Устройства и системы пожаротушения | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1479, контролируемый корпорацией Майкрософт, — противопожарная защита | Автоматическое пожаротушение | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Элементы управления средой
Идентификатор: NIST SP 800-53 ред. 5 PE-14 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1480, контролируемый корпорацией Майкрософт, — контроль температуры и влажности | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1481, контролируемый корпорацией Майкрософт, — контроль температуры и влажности | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Мониторинг с помощью предупреждений и уведомлений
Идентификатор: NIST SP 800-53 ред. 5 PE-14 (2) Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1482, контролируемый корпорацией Майкрософт, — контроль температуры и влажности | Мониторинг с помощью сигнализации и уведомлений | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Защита от ущерба, причиненного водой
Идентификатор: NIST SP 800-53 ред. 5 PE-15 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1483, контролируемый корпорацией Майкрософт, — защита от ущерба, причиняемого водой | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Поддержка автоматизации
Идентификатор: NIST SP 800-53 Rev. 5 PE-15 (1) Ответственность: Microsoft
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1484, контролируемый корпорацией Майкрософт, — защита от ущерба, причиняемого водой | Поддержка службы автоматизации | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Доставка и вывозка
Идентификатор: NIST SP 800-53 ред. 5 PE-16 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1485, контролируемый корпорацией Майкрософт, — доставка и удаление | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Альтернативный веб-сайт
Идентификатор: NIST SP 800-53 ред. 5 PE-17 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1486, контролируемый корпорацией Майкрософт, — альтернативный рабочий сайт | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1487, контролируемый корпорацией Майкрософт, — альтернативный рабочий сайт | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
| Элемент управления 1488, контролируемый корпорацией Майкрософт, — альтернативный рабочий сайт | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Расположение компонентов системы
Идентификатор: NIST SP 800-53 ред. 5 PE-18 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1489, контролируемый корпорацией Майкрософт, — расположение компонентов информационной системы | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | audit | 1.0.0 |
Планирование
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 PL-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1490, контролируемый корпорацией Майкрософт, — политика и процедуры планирования действий безопасности | Корпорация Майкрософт реализует этот элемент управления планированием | audit | 1.0.0 |
| Элемент управления 1491, контролируемый корпорацией Майкрософт, — политика и процедуры планирования действий безопасности | Корпорация Майкрософт реализует этот элемент управления планированием | audit | 1.0.0 |
Планы безопасности и конфиденциальности системы
Идентификатор: NIST SP 800-53 Rev. 5 PL-2 Ответственность: совместная
Правила поведения
Идентификатор: NIST SP 800-53 Rev. 5 PL-4 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1498, контролируемый корпорацией Майкрософт, — правила поведения | Корпорация Майкрософт реализует этот элемент управления планированием | audit | 1.0.0 |
| Элемент управления 1499, контролируемый корпорацией Майкрософт, — правила поведения | Корпорация Майкрософт реализует этот элемент управления планированием | audit | 1.0.0 |
| Элемент управления 1500, контролируемый корпорацией Майкрософт, — правила поведения | Корпорация Майкрософт реализует этот элемент управления планированием | audit | 1.0.0 |
| Элемент управления 1501, контролируемый корпорацией Майкрософт, — правила поведения | Корпорация Майкрософт реализует этот элемент управления планированием | audit | 1.0.0 |
Ограничение использования социальных сетей, внешних веб-сайтов и приложений
Идентификатор: NIST SP 800-53 Rev. 5 PL-4 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1502, контролируемый корпорацией Майкрософт, — правила поведения | Ограничения в отношении социальных сетей и сети контактов | Корпорация Майкрософт реализует этот элемент управления планированием | audit | 1.0.0 |
Архитектура обеспечения безопасности и конфиденциальности
Идентификатор: NIST SP 800-53 Rev. 5 PL-8 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1503, контролируемый корпорацией Майкрософт, — архитектура информационной безопасности | Корпорация Майкрософт реализует этот элемент управления планированием | audit | 1.0.0 |
| Элемент управления 1504, контролируемый корпорацией Майкрософт, — архитектура информационной безопасности | Корпорация Майкрософт реализует этот элемент управления планированием | audit | 1.0.0 |
| Элемент управления 1505, контролируемый корпорацией Майкрософт, — архитектура информационной безопасности | Корпорация Майкрософт реализует этот элемент управления планированием | audit | 1.0.0 |
Безопасность персонала
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 PS-1 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1506, контролируемый корпорацией Майкрософт, — политика и процедуры обеспечения безопасности персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
| Элемент управления 1507, контролируемый корпорацией Майкрософт, — политика и процедуры обеспечения безопасности персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
Обозначение должностного риска
Идентификатор: NIST SP 800-53 Rev. 5 PS-2 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1508, контролируемый корпорацией Майкрософт, — классификация позиции | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
| Элемент управления 1509, контролируемый корпорацией Майкрософт, — классификация позиции | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
| Элемент управления 1510, контролируемый корпорацией Майкрософт, — классификация позиции | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
Проверка данных персонала
Идентификатор: NIST SP 800-53 Rev. 5 PS-3 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1511, контролируемый корпорацией Майкрософт, — проверка данных персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
| Элемент управления 1512, контролируемый корпорацией Майкрософт, — проверка данных персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
Данные, требующие особой защиты
Идентификатор: NIST SP 800-53 Rev. 5 PS-3 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1513, контролируемый корпорацией Майкрософт, — проверка данных персонала | Информация с особыми мерами защиты | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
| Элемент управления 1514, контролируемый корпорацией Майкрософт, — проверка данных персонала | Информация с особыми мерами защиты | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
Увольнение персонала
Идентификатор: NIST SP 800-53 Rev. 5 PS-4 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1515, контролируемый корпорацией Майкрософт, — увольнение персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
| Элемент управления 1516, контролируемый корпорацией Майкрософт, — увольнение персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
| Элемент управления 1517, контролируемый корпорацией Майкрософт, — увольнение персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
| Элемент управления 1518, контролируемый корпорацией Майкрософт, — увольнение персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
| Элемент управления 1519, контролируемый корпорацией Майкрософт, — увольнение персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
| Элемент управления 1520, контролируемый корпорацией Майкрософт, — увольнение персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
Автоматизированные действия
Идентификатор: NIST SP 800-53 Rev. 5 PS-4 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1521, контролируемый корпорацией Майкрософт, — увольнение персонала | Автоматическое уведомление | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
Перевод персонала
Идентификатор: NIST SP 800-53 Rev. 5 PS-5 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1522, контролируемый корпорацией Майкрософт, — перевод персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
| Элемент управления 1523, контролируемый корпорацией Майкрософт, — перевод персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
| Элемент управления 1524, контролируемый корпорацией Майкрософт, — перевод персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
| Элемент управления 1525, контролируемый корпорацией Майкрософт, — перевод персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
Соглашения о доступе
Идентификатор: NIST SP 800-53 Rev. 5 PS-6 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1526, контролируемый корпорацией Майкрософт, — соглашения о доступе | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
| Элемент управления 1527, контролируемый корпорацией Майкрософт, — соглашения о доступе | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
| Элемент управления 1528, контролируемый корпорацией Майкрософт, — соглашения о доступе | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
Безопасность стороннего персонала
Идентификатор: NIST SP 800-53 Rev. 5 PS-7 Ответственность: совместная
Меры в отношении персонала
Идентификатор: NIST SP 800-53 Rev. 5 PS-8 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1534, контролируемый корпорацией Майкрософт, — меры в отношении персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
| Элемент управления 1535, контролируемый корпорацией Майкрософт, — меры в отношении персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | audit | 1.0.0 |
конфиденциальности
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 RA-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1536, контролируемый корпорацией Майкрософт, — политика и процедуры оценки рисков | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
| Элемент управления 1537, контролируемый корпорацией Майкрософт, — политика и процедуры оценки рисков | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
Классификация угроз для безопасности
Идентификатор: NIST SP 800-53 Rev. 5 RA-2 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1538, контролируемый корпорацией Майкрософт, — классификация угроз для безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
| Элемент управления 1539, контролируемый корпорацией Майкрософт, — классификация угроз для безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
| Элемент управления 1540, контролируемый корпорацией Майкрософт, — классификация угроз для безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
конфиденциальности
Идентификатор: NIST SP 800-53 Rev. 5 RA-3 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1541, контролируемый корпорацией Майкрософт, — оценка рисков | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
| Элемент управления 1542, контролируемый корпорацией Майкрософт, — оценка рисков | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
| Элемент управления 1543, контролируемый корпорацией Майкрософт, — оценка рисков | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
| Элемент управления 1544, контролируемый корпорацией Майкрософт, — оценка рисков | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
| Элемент управления 1545, контролируемый корпорацией Майкрософт, — оценка рисков | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
Мониторинг и проверка уязвимостей
Идентификатор: NIST SP 800-53 Rev. 5 RA-5 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для служба хранилища (классическая версия) должна быть включена | Microsoft Defender для служба хранилища (классическая модель) предоставляет обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
| Элемент управления 1546, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
| Элемент управления 1547, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
| Элемент управления 1548, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
| Элемент управления 1549, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
| Элемент управления 1550, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
| Элемент управления 1551, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Возможности средства обновления | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
| Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. | AuditIfNotExists, Disabled | 4.1.0 |
| Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены | Оценка уязвимостей SQL сканирует базу данных на наличие уязвимостей системы безопасности и выявляет любые отклонения от рекомендаций, такие как ошибки конфигурации, избыточные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо устранить уязвимости в конфигурациях безопасности контейнера. | Аудит уязвимостей в конфигурации безопасности на компьютерах с установленным Docker и отображение результатов в качестве рекомендаций в Центре безопасности Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены | Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
| Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. | Аудит наличия уязвимостей ОС в ваших масштабируемых наборах виртуальных машин для защиты их от атак. | AuditIfNotExists, Disabled | 3.0.0 |
| В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 1.0.1 |
| На серверах SQL Server должна быть включена оценка уязвимости | Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 3.0.0 |
| В рабочих областях Synapse должна быть включена оценка уязвимостей | Обнаруживайте, отслеживайте и устраняйте потенциальные уязвимости, настроив регулярную оценку уязвимостей SQL для рабочих областей Synapse. | AuditIfNotExists, Disabled | 1.0.0 |
Обновление сведений об уязвимостях для сканирования
Идентификатор: NIST SP 800-53 Rev. 5 RA-5 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1552, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Обновление по частоте, до новой проверки, при обнаружении | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
Ширина или глубина охвата
Идентификатор: NIST SP 800-53 Rev. 5 RA-5 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1553, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Ширина и глубина охвата | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
Доступные для обнаружения данные
Идентификатор: NIST SP 800-53 Rev. 5 RA-5 (4) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1554, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Доступные для обнаружения данные | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
Привилегированный доступ
Идентификатор: NIST SP 800-53 Rev. 5 RA-5 (5) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1555, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Привилегированный доступ | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
Автоматический анализ тенденций
Идентификатор: NIST SP 800-53 Rev. 5 RA-5 (6) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1556, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Автоматический анализ тенденций | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
Проверка исторических журналов аудита
Идентификатор: NIST SP 800-53 Rev. 5 RA-5 (8) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1557, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Проверка журналов аудита за прошлые периоды | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
Корреляция данных сканирования
Идентификатор: NIST SP 800-53 Rev. 5 RA-5 (10) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1558, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Корреляция данных сканирования | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | audit | 1.0.0 |
Приобретение систем и служб
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 SA-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1559, контролируемый корпорацией Майкрософт, — политика и процедуры приобретения систем и служб | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1560, контролируемый корпорацией Майкрософт, — политика и процедуры приобретения систем и служб | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Выделение ресурсов
Идентификатор: NIST SP 800-53 Rev. 5 SA-2 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1561, контролируемый корпорацией Майкрософт, — выделение ресурсов | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1562, контролируемый корпорацией Майкрософт, — выделение ресурсов | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1563, контролируемый корпорацией Майкрософт, — выделение ресурсов | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Жизненный цикл разработки системы
Идентификатор: NIST SP 800-53 Rev. 5 SA-3 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1564, контролируемый корпорацией Майкрософт, — жизненный цикл разработки системы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1565, контролируемый корпорацией Майкрософт, — жизненный цикл разработки системы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1566, контролируемый корпорацией Майкрософт, — жизненный цикл разработки системы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1567, контролируемый корпорацией Майкрософт, — жизненный цикл разработки системы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Процесс приобретения
Идентификатор: NIST SP 800-53 Rev. 5 SA-4 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1568, контролируемый корпорацией Майкрософт, — процесс приобретения | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1569, контролируемый корпорацией Майкрософт, — процесс приобретения | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1570, контролируемый корпорацией Майкрософт, — процесс приобретения | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1571, контролируемый корпорацией Майкрософт, — процесс приобретения | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1572, контролируемый корпорацией Майкрософт, — процесс приобретения | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1573, контролируемый корпорацией Майкрософт, — процесс приобретения | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1574, контролируемый корпорацией Майкрософт, — процесс приобретения | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Функциональные свойства элементов управления
Идентификатор: NIST SP 800-53 Rev. 5 SA-4 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1575, контролируемый корпорацией Майкрософт, — процесс приобретения | Функциональные свойства элементов управления безопасностью | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Сведения о проектировании и реализации элементов управления
Идентификатор: NIST SP 800-53 Rev. 5 SA-4 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1576, контролируемый корпорацией Майкрософт, — процесс приобретения | Информация по разработке и реализации для элементов управления безопасностью | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
План непрерывного мониторинга элементов управления
Идентификатор: NIST SP 800-53 Rev. 5 SA-4 (8) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1577, контролируемый корпорацией Майкрософт, — процесс приобретения | План непрерывного мониторинга | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Используемые функции, порты, протоколы и службы
Идентификатор: NIST SP 800-53 Rev. 5 SA-4 (9) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1578, контролируемый корпорацией Майкрософт, — процесс приобретения | Используемые функции, порты, протоколы и службы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Использование утвержденных продуктов PIV
Идентификатор: NIST SP 800-53 ред. 5 SA-4 (10) Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1579, контролируемый корпорацией Майкрософт, — процесс приобретения | Использование утвержденных продуктов для проверки личности | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Документация по системе
Идентификатор: NIST SP 800-53 Rev. 5 SA-5 Ответственность: совместная
Принципы обеспечения безопасности и конфиденциальности
Идентификатор: NIST SP 800-53 ред. 5 SA-8 Ownership: Microsoft
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1585, контролируемый корпорацией Майкрософт, — принципы техники обеспечения безопасности | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Службы внешних систем
Идентификатор: NIST SP 800-53 Rev. 5 SA-9 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1586, контролируемый корпорацией Майкрософт, — внешние информационные системные службы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1587, контролируемый корпорацией Майкрософт, — внешние информационные системные службы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1588, контролируемый корпорацией Майкрософт, — внешние информационные системные службы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Оценки рисков и утверждения организацией
Идентификатор: NIST SP 800-53 Rev. 5 SA-9 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1589, контролируемый корпорацией Майкрософт, — внешние информационные системные службы | Оценка рисков и утверждения организацией | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1590, контролируемый корпорацией Майкрософт, — внешние информационные системные службы | Оценка рисков и утверждения организацией | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Определение функций, портов, протоколов и служб
Идентификатор: NIST SP 800-53 Rev. 5 SA-9 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1591, контролируемый корпорацией Майкрософт, — внешние информационные системные службы | Определение функций, портов, протоколов и служб | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Согласованные интересы потребителей и поставщиков
Идентификатор: NIST SP 800-53 Rev. 5 SA-9 (4) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1592, контролируемый корпорацией Майкрософт, — внешние информационные системные службы | Согласованные интересы потребителей и поставщиков | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Обработка, хранение и обнаружение службы
Идентификатор: NIST SP 800-53 Rev. 5 SA-9 (5) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1593, контролируемый корпорацией Майкрософт, — внешние информационные системные службы | Обработка, хранение и расположение службы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Управление конфигурацией со стороны разработчика
Идентификатор: NIST SP 800-53 Rev. 5 SA-10 Ответственность: совместная
Проверка целостности программного обеспечения и встроенного ПО
Идентификатор: NIST SP 800-53 Rev. 5 SA-10 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1599, контролируемый корпорацией Майкрософт, — управление конфигурацией со стороны разработчика | Проверка целостности программного обеспечения и встроенного ПО | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Тестирование и оценка со стороны разработчика
Идентификатор: NIST SP 800-53 Rev. 5 SA-11 Ответственность: совместная
Статический анализ кода
Идентификатор: NIST SP 800-53 ред. 5 SA-11 (1) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1605, контролируемый корпорацией Майкрософт, — тестирование и оценка безопасности со стороны разработчика | Статический анализ кода | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Моделирование угроз и анализ уязвимостей
Идентификатор: NIST SP 800-53 ред. 5 SA-11 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1606, контролируемый корпорацией Майкрософт, — тестирование и оценка безопасности со стороны разработчика | Анализ угроз и уязвимостей | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Анализ динамического кода
Идентификатор: NIST SP 800-53 ред. 5 SA-11 (8) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1607, контролируемый корпорацией Майкрософт, — тестирование и оценка безопасности со стороны разработчика | Динамический анализ кода | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Процессы, стандарты и средства разработки
Идентификатор: NIST SP 800-53 Rev. 5 SA-15 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1609, контролируемый корпорацией Майкрософт, — процессы, стандарты и средства разработки | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1610, контролируемый корпорацией Майкрософт, — процессы, стандарты и средства разработки | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Предоставляемое разработчиком обучение
Идентификатор: NIST SP 800-53 Rev. 5 SA-16 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1611, контролируемый корпорацией Майкрософт, — предоставляемое разработчиком обучение | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Создание разработчиком архитектуры и структуры обеспечения безопасности и конфиденциальности
Идентификатор: NIST SP 800-53 Rev. 5 SA-17 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1612, контролируемый корпорацией Майкрософт, — создание разработчиком архитектуры и структуры безопасности | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1613, контролируемый корпорацией Майкрософт, — создание разработчиком архитектуры и структуры безопасности | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
| Элемент управления 1614, контролируемый корпорацией Майкрософт, — создание разработчиком архитектуры и структуры безопасности | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | audit | 1.0.0 |
Защита системы и средств передачи данных
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 SC-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1615, контролируемый корпорацией Майкрософт, — политика и процедуры защиты системы и средств передачи данных | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
| Элемент управления 1616, контролируемый корпорацией Майкрософт, — политика и процедуры защиты системы и средств передачи данных | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Разделение функций системы и пользователя
Идентификатор: NIST SP 800-53 Rev. 5 SC-2 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1617, контролируемый корпорацией Майкрософт, — секционирование приложений | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Изоляции функций безопасности
Идентификатор: NIST SP 800-53 Rev. 5 SC-3 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection | Аудит наличия и работоспособности решения защиты конечных точек в ваших масштабируемых наборах виртуальных машин для защиты их от угроз и уязвимостей. | AuditIfNotExists, Disabled | 3.0.0 |
| Элемент управления 1618, контролируемый корпорацией Майкрософт, — изоляция функций безопасности | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
| Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure | Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Информация в общих системных ресурсах
Идентификатор: NIST SP 800-53 ред. 5 SC-4 Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1619, контролируемый корпорацией Майкрософт, — информация в общих ресурсах | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Защита от отказа в обслуживании
Идентификатор: NIST SP 800-53 Rev. 5 SC-5 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Защита от атак DDoS Azure должна быть включена | Защита от атак DDoS должна быть включена для всех виртуальных сетей с подсетью, которая является частью шлюза приложений с общедоступным IP-адресом. | AuditIfNotExists, Disabled | 3.0.1 |
| Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 1.0.2 |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, Disabled | 3.0.0 |
| Элемент управления 1620, контролируемый корпорацией Майкрософт, — защита от отказа в обслуживании | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
| Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 2.0.0 |
Доступность ресурсов
Идентификатор: NIST SP 800-53 Rev. 5 SC-6 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1621, контролируемый корпорацией Майкрософт, — доступность ресурсов | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Защита границ
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
| Службы управления API должны использовать виртуальную сеть | Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. | Audit, Deny, Disabled | 1.0.2 |
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Audit, Disabled | 2.0.0 |
| Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Audit, Deny, Disabled | 3.2.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал | С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны отключить доступ к общедоступной сети | При отключении доступа к общедоступной сети повышается уровень безопасность, так как это гарантирует, что служба "Когнитивный поиск Azure" не будет доступна в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных службы поиска. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра | Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. | Audit, Deny, Disabled | 2.0.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, Disabled | 1.0.0 |
| У Azure Key Vault должен быть включен брандмауэр | Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. | Audit, Deny, Disabled | 1.4.1 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 1.0.2 |
| Cognitive Services должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. См. дополнительные сведения о сетевых правилах Реестра контейнеров: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network и https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, Disabled | 3.0.0 |
| Элемент управления 1622, контролируемый корпорацией Майкрософт, — защита границ | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
| Элемент управления 1623, контролируемый корпорацией Майкрософт, — защита границ | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
| Элемент управления 1624, контролируемый корпорацией Майкрософт, — защита границ | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Audit, Disabled | 1.1.0 |
| Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Audit, Deny, Disabled | 1.1.0 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
| Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. | Audit, Deny, Disabled | 1.0.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
| Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 2.0.0 |
Точки доступа
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 (3) Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
| Службы управления API должны использовать виртуальную сеть | Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. | Audit, Deny, Disabled | 1.0.2 |
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Audit, Disabled | 2.0.0 |
| Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Audit, Deny, Disabled | 3.2.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал | С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны отключить доступ к общедоступной сети | При отключении доступа к общедоступной сети повышается уровень безопасность, так как это гарантирует, что служба "Когнитивный поиск Azure" не будет доступна в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных службы поиска. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра | Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. | Audit, Deny, Disabled | 2.0.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, Disabled | 1.0.0 |
| У Azure Key Vault должен быть включен брандмауэр | Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. | Audit, Deny, Disabled | 1.4.1 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 1.0.2 |
| Cognitive Services должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. См. дополнительные сведения о сетевых правилах Реестра контейнеров: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network и https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, Disabled | 3.0.0 |
| Элемент управления 1625, контролируемый корпорацией Майкрософт, — защита границ | Точки доступа | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Audit, Disabled | 1.1.0 |
| Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Audit, Deny, Disabled | 1.1.0 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
| Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. | Audit, Deny, Disabled | 1.0.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
| Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 2.0.0 |
Внешние телекоммуникационные службы
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 (4) Ответственность: совместная
Запрет по умолчанию и разрешение исключений
Идентификатор: NIST SP 800-53 ред. 5 SC-7 (5) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1155, контролируемый корпорацией Майкрософт, — взаимосвязи в системе | Ограничения на подключения внешних систем | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | audit | 1.0.0 |
| Элемент управления 1631, контролируемый корпорацией Майкрософт, — защита границ | Запрет по умолчанию или разрешение исключений | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Раздельное туннелирование для удаленных устройств
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 (7) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1632, контролируемый корпорацией Майкрософт, — защита границ | Предотвращение раздельного туннелирования для удаленных устройств | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Маршрутизация трафика к прокси-серверам с проверкой подлинности
Идентификатор: NIST SP 800-53 ред. 5 SC-7 (8) Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1633, контролируемый корпорацией Майкрософт, — защита границ | Маршрутизация трафика на аутентифицированные прокси-серверы | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Предотвращение извлечения данных
Идентификатор: NIST SP 800-53 ред. 5 SC-7 (10) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1634, контролируемый корпорацией Майкрософт, — защита границ | Предотвращение несанкционированного извлечения данных | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Защита на основе узла
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 (12) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1635, контролируемый корпорацией Майкрософт, — защита границ | Защита на основе узлов | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Изоляция средств и механизмов безопасности и компонентов поддержки
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 (13) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1636, контролируемый корпорацией Майкрософт, — защита границ | Изоляция средств, механизмов безопасности и компонентов поддержки | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Отказоустойчивость
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 (18) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1637, контролируемый корпорацией Майкрософт, — защита границ | Отказоустойчивость | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Динамическая изоляция и разделение
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 (20) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1638, контролируемый корпорацией Майкрософт, — защита границ | Динамическая изоляция и разделение | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Изоляция компонентов системы
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 (21) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1639, контролируемый корпорацией Майкрософт, — защита границ | Изоляция компонентов информационной системы | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Конфиденциальность и целостность передаваемых данных
Идентификатор: NIST SP 800-53 Rev. 5 SC-8 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
| Приложения Службы приложений должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения Службы приложений должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | AuditIfNotExists, Disabled | 2.0.1 |
| Кластеры Azure HDInsight должны использовать шифрование при передаче для шифрования обмена данными между узлами кластеров Azure HDInsight | Данные могут быть изменены во время передачи между узлами кластеров Azure HDInsight. Включение шифрования при передаче устраняет проблемы несанкционированного использования и незаконного изменения данных во время передачи. | Audit, Deny, Disabled | 1.0.0 |
| Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения | База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
| Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения | База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
| Приложения-функции должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 5.0.0 |
| Приложения-функции должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, Disabled | 2.0.1 |
| Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| Элемент управления 1640, контролируемый корпорацией Майкрософт, — конфиденциальность и целостность передаваемых данных | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
| Использование только безопасных подключений к Кэшу Azure для Redis | Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 1.0.0 |
| Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 2.0.0 |
| Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, Disabled | 3.0.1 |
Криптографическая защита
Идентификатор: NIST SP 800-53 Rev. 5 SC-8 (1) Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
| Приложения Службы приложений должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения Службы приложений должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | AuditIfNotExists, Disabled | 2.0.1 |
| Кластеры Azure HDInsight должны использовать шифрование при передаче для шифрования обмена данными между узлами кластеров Azure HDInsight | Данные могут быть изменены во время передачи между узлами кластеров Azure HDInsight. Включение шифрования при передаче устраняет проблемы несанкционированного использования и незаконного изменения данных во время передачи. | Audit, Deny, Disabled | 1.0.0 |
| Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения | База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
| Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения | База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
| Приложения-функции должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 5.0.0 |
| Приложения-функции должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, Disabled | 2.0.1 |
| Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| Элемент управления 1641, контролируемый корпорацией Майкрософт, — конфиденциальность и целостность передаваемых данных | Шифрование или дополнительная физическая защита | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
| Использование только безопасных подключений к Кэшу Azure для Redis | Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 1.0.0 |
| Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 2.0.0 |
| Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, Disabled | 3.0.1 |
Отключение сети
Идентификатор: NIST SP 800-53 Rev. 5 SC-10 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1642, контролируемый корпорацией Майкрософт, — отключение сети | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Установка криптографических ключей и управление ими
Идентификатор: NIST SP 800-53 Rev. 5 SC-12 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Хранилища Служб восстановления Azure должны использовать управляемые клиентом ключи для шифрования данных резервных копий. | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных резервных копий. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Данные Службы подготовки устройств к добавлению в Центр Интернета вещей должны быть зашифрованы ключами под управлением клиента | Используйте ключи, управляемые клиентом, для шифрования неактивных данных в Службе подготовки устройств к добавлению в Центр Интернета вещей. Неактивные данные автоматически шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются управляемые клиентом ключи (CMK). Ключи CMK позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. См. дополнительные сведения о шифровании CMK: https://aka.ms/dps/CMK. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| Учетные записи службы автоматизации Azure должны использовать управляемые клиентом ключи для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в учетных записях службы автоматизации Azure. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/automation-cmk. | Audit, Deny, Disabled | 1.0.0 |
| Учетная запись пакетной службы Azure должна использовать управляемые клиентом ключи для шифрования данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в учетной записи пакетной службы. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/Batch-CMK. | Audit, Deny, Disabled | 1.0.1 |
| Группа контейнеров экземпляров контейнеров Azure должна использовать для шифрования ключ, управляемый клиентом | Защита контейнеров благодаря увеличению гибкости с помощью ключей, управляемых клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Audit, Disabled, Deny | 1.0.0 |
| Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в Azure Cosmos DB. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/cosmosdb-cmk. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| В заданиях Azure Data Box для шифрования пароля разблокировки устройства должен использоваться ключ, управляемый клиентом | Для управления шифрованием пароля разблокировки устройства для Azure Data Box следует использовать ключ, управляемый клиентом. Ключи, управляемые клиентом, также позволяют управлять доступом службы Data Box к паролю разблокировки устройства, чтобы подготовить устройство и автоматически копировать данные. Данные на самом устройстве шифруются при хранении с помощью 256-разрядного шифрования AES, а пароль разблокировки устройства шифруется по умолчанию с помощью ключа, управляемого Майкрософт. | Audit, Deny, Disabled | 1.0.0 |
| Во время шифрования неактивных данных в Azure Data Explorer должен использоваться управляемый клиентом ключ | Включение шифрования неактивных данных с помощью управляемого клиентом ключа в кластере Azure Data Explorer обеспечивает дополнительный контроль над ключом, используемым для шифрования неактивных данных. Эта функция часто применяется для клиентов с особыми нормативными требованиями. Для управления ключами требуется Key Vault. | Audit, Deny, Disabled | 1.0.0 |
| Фабрики данных Azure необходимо шифровать с помощью ключа, управляемого клиентом | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в Фабрике данных Azure. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/adf-cmk. | Audit, Deny, Disabled | 1.0.1 |
| Кластеры Azure HDInsight должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в кластерах Azure HDInsight. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/hdi.cmk. | Audit, Deny, Disabled | 1.0.1 |
| Кластеры Azure HDInsight должны использовать шифрование на узле для шифрования неактивных данных | Включение шифрования на узле помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. При включении шифрования на узле данные, хранящиеся на узле виртуальной машины, шифруются при хранении и передаются в зашифрованном виде в службу хранилища. | Audit, Deny, Disabled | 1.0.0 |
| Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом | Управляйте шифрованием неактивных данных рабочей области Машинного обучения Azure с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
| Кластеры журналов Azure Monitor должны использовать шифрование с ключами, управляемыми клиентом | Создайте кластер журналов Azure Monitor с шифрованием с ключами, управляемыми клиентом. По умолчанию данные журналов шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключ, управляемый клиентом, в Azure Monitor предоставляет более полный контроль над доступом к данным (см. раздел https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys). | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Для шифрования данных задания Azure Stream Analytics должны использоваться ключи, управляемые клиентом | Чтобы обеспечить безопасное хранение метаданных и частных ресурсов данных для заданий Stream Analytics в учетной записи хранения, используйте ключи, управляемые клиентом. Таким образом, вы сможете полностью контролировать шифрование данных Stream Analytics. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Рабочие области Azure Synapse должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте управляемые клиентом ключи для управления шифрованием неактивных данных, хранящихся в рабочих областях Azure Synapse. Кроме того, ключи, управляемые клиентом, обеспечивают двойное шифрование, добавляя второй уровень шифрования поверх заданного по умолчанию способа (с помощью ключей, управляемых службой). | Audit, Deny, Disabled | 1.0.0 |
| Служба Bot должна шифроваться с помощью ключа, управляемого клиентом | Служба Azure Bot автоматически шифрует ваш ресурс для обеспечения защиты данных и соблюдения требований к безопасности и соответствию в организации. По умолчанию используются ключи шифрования, управляемые корпорацией Майкрософт. Для большей гибкости управления ключами или управления доступом к подписке выберите ключи, управляемые клиентом, которые также называются собственными ключами (BYOK). Подробнее о шифровании в службе Azure Bot: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | Шифрование дисков ОС и данных с помощью ключей, управляемых клиентом, обеспечивает больший контроль и большую гибкость в управлении ключами. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Audit, Deny, Disabled | 1.0.1 |
| Учетные записи Cognitive Services должны поддерживать шифрование данных с использованием ключа, управляемого клиентом | Для соблюдения стандартов соответствия нормативным требованиям обычно требуется использовать ключи, управляемые клиентом. Они позволяют шифровать данные, хранящиеся в Cognitive Services, с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения о ключах, управляемых клиентом, см. здесь: https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.1.0 |
| Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого реестров. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
| Для шифрования пространства имен концентратора событий должны использовать ключ, управляемый клиентом | Служба "Центры событий Azure" поддерживает возможность шифрования неактивных данных с помощью ключей, управляемых корпорацией Майкрософт (по умолчанию), или ключей, управляемых клиентом. Шифрование данных с помощью ключей, управляемых клиентом, позволяет назначать, сменять, отключать ключи, которые концентратор событий будет использовать для шифрования данных в вашем пространстве имен, и отменять к ним доступ. Обратите внимание, что концентратор событий поддерживает шифрование с использованием ключей, управляемых клиентом, только для пространств имен в выделенных кластерах. | Audit, Disabled | 1.0.0 |
| Среда службы интеграции Logic Apps должна быть зашифрована с помощью ключей, управляемых клиентом | Выполните развертывание в среде службы интеграции для управления шифрованием неактивных данных Logic Apps с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | Audit, Deny, Disabled | 1.0.0 |
| Управляемые диски должны использовать двойное шифрование с ключами под управлением платформы и клиента | Клиенты с высокими требованиями к безопасности, которых беспокоят риски компрометации тех или иных алгоритмов, реализаций или ключей шифрования, могут использовать дополнительный уровень шифрования с другим режимом или алгоритмом на уровне инфраструктуры с применением ключей, управляемых платформой. Двойное шифрование является обязательным для наборов шифрования дисков. Узнайте больше по адресу https://aka.ms/disks-doubleEncryption. | Audit, Deny, Disabled | 1.0.0 |
| Элемент управления 1643, контролируемый корпорацией Майкрософт, — установка криптографических ключей и управление ими | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
| Диски ОС и диски данных должны быть зашифрованы ключом под управлением клиента | Использование ключей, управляемых клиентом, для управления шифрованием неактивного управляемых дисков. По умолчанию неактивные данные шифруются с помощью ключей, управляемых платформой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 3.0.0 |
| Сохраненные запросы в Azure Monitor должны быть сохранены в учетной записи хранения клиента для шифрования журналов | Свяжите учетную запись хранения с рабочей областью Log Analytics, чтобы защитить сохраненные запросы с помощью шифрования учетной записи хранения. Ключи, управляемые клиентом, обычно требуются для соблюдения нормативных требований и усиления контроля за доступом к сохраненным запросам в Azure Monitor. Дополнительные сведения см. в разделе https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Для шифрования пространства имен Служебной шины уровня "Премиум" должны использовать ключ, управляемый клиентом | Служебная шина Azure поддерживает возможность шифрования неактивных данных с помощью ключей, управляемых корпорацией Майкрософт (по умолчанию), или ключей, управляемых клиентом. Шифрование данных с помощью управляемых клиентом ключей позволяет назначать, сменять, отключать ключи, которые Служебная шина будет использовать для шифрования данных в вашем пространстве имен, и отменять к ним доступ. Учтите, что Служебная шина поддерживает шифрование с использованием ключей, управляемых клиентом, только для пространств имен уровня "Премиум". | Audit, Disabled | 1.0.0 |
| Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Audit, Deny, Disabled | 2.0.0 |
| Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Audit, Deny, Disabled | 2.0.1 |
| В областях шифрования учетных записей хранения следует использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в областях шифрования учетной записи хранения. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения об областях шифрования учетной записи хранения см. здесь: https://aka.ms/encryption-scopes-overview. | Audit, Deny, Disabled | 1.0.0 |
| В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | Обеспечьте более гибкую защиту своей учетной записи хранения BLOB-объектов и файлов, используя ключи, управляемые клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Audit, Disabled | 1.0.3 |
Availability
Идентификатор: NIST SP 800-53 Rev. 5 SC-12 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1644, контролируемый корпорацией Майкрософт, — установка криптографических ключей и управление ими | Доступность | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Симметричные ключи
Идентификатор: NIST SP 800-53 Rev. 5 SC-12 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1645, контролируемый корпорацией Майкрософт, — установка криптографических ключей и управление ими | Симметричные ключи | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Асимметричные ключи
Идентификатор: NIST SP 800-53 Rev. 5 SC-12 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1646, контролируемый корпорацией Майкрософт, — установка криптографических ключей и управление ими | Асимметричные ключи | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Криптографическая защита
Идентификатор: NIST SP 800-53 Rev. 5 SC-13 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1647, контролируемый корпорацией Майкрософт, — использование шифрования | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Совместно используемые вычислительные устройства и приложения
Идентификатор: NIST SP 800-53 ред. 5 SC-15 Ответственность: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1648, контролируемый корпорацией Майкрософт, — совместно работающие вычислительные устройства | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
| Элемент управления 1649, контролируемый корпорацией Майкрософт, — совместно работающие вычислительные устройства | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Сертификаты инфраструктуры открытых ключей
Идентификатор: NIST SP 800-53 Rev. 5 SC-17 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1650, контролируемый корпорацией Майкрософт, — сертификаты инфраструктуры открытого ключа | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Мобильный код
Идентификатор: NIST SP 800-53 Rev. 5 SC-18 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1651, контролируемый корпорацией Майкрософт, — мобильный код | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
| Элемент управления 1652, контролируемый корпорацией Майкрософт, — мобильный код | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
| Элемент управления 1653, контролируемый корпорацией Майкрософт, — мобильный код | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Безопасная служба разрешения имен и адресов (заслуживающий доверия источник)
Идентификатор: NIST SP 800-53 Rev. 5 SC-20 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1656, контролируемый корпорацией Майкрософт, — безопасная служба разрешения имен и адресов (заслуживающий доверия источник) | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
| Элемент управления 1657, контролируемый корпорацией Майкрософт, — безопасная служба разрешения имен и адресов (заслуживающий доверия источник) | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Безопасная служба разрешения имен и адресов (рекурсивный или кэширующий сопоставитель)
Идентификатор: NIST SP 800-53 Rev. 5 SC-21 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1658, контролируемый корпорацией Майкрософт, — безопасная служба разрешения имен и адресов (рекурсивный или кэширующий сопоставитель) | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Архитектура службы разрешения имен и адресов и ее подготовка
Идентификатор: NIST SP 800-53 Rev. 5 SC-22 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1659, контролируемый корпорацией Майкрософт, — архитектура службы разрешения имен и адресов и ее подготовка | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Подлинность сеансов
Идентификатор: NIST SP 800-53 Rev. 5 SC-23 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1660, контролируемый корпорацией Майкрософт, — подлинность сеансов | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Аннулирование идентификаторов сеанса при выходе
Идентификатор: NIST SP 800-53 Rev. 5 SC-23 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1661, контролируемый корпорацией Майкрософт, — подлинность сеансов | Аннулирование идентификаторов сеансов при выходе | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Сбой с переходом в известное состояние
Идентификатор: NIST SP 800-53 Rev. 5 SC-24 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1662, контролируемый корпорацией Майкрософт, — сбой с переходом в известное состояние | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Защита неактивных данных
Идентификатор: NIST SP 800-53 Rev. 5 SC-28 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| В Среде службы приложений должно быть включено внутреннее шифрование | Присвоив параметру InternalEncryption значение true, вы обеспечите шифрование файла подкачки, дисков рабочих ролей и внутреннего сетевого трафика между внешними интерфейсами и рабочими ролями в Среде службы приложений. Дополнительные сведения см. в разделе https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Необходимо включить шифрование для переменных учетной записи службы автоматизации | Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. | Audit, Deny, Disabled | 1.1.0 |
| В заданиях Azure Data Box должно быть включено двойное шифрование для неактивных данных на устройстве | Включите второй уровень программного шифрования для неактивных данных на устройстве. Устройство уже защищено с помощью 256-разрядного шифрования AES для неактивных данных. Этот параметр добавляет второй уровень шифрования данных. | Audit, Deny, Disabled | 1.0.0 |
| Кластеры журналов Azure Monitor должны быть созданы с включенным шифрованием инфраструктуры (двойным шифрованием) | Чтобы обеспечить безопасное шифрование данных на уровне службы и на уровне инфраструктуры с применением двух разных алгоритмов шифрования и двух разных ключей, используйте выделенный кластер Azure Monitor. Этот параметр включен по умолчанию, если поддерживается в регионе (см. раздел https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview). | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Устройства Azure Stack Edge должны использовать двойное шифрование | Для защиты неактивных данных на устройстве убедитесь, что для них используется двойное шифрование, доступ к данным контролируется, а после отключения устройства данные безопасно удаляются с дисков данных. Двойное шифрование — это использование двух уровней шифрования: шифрование BitLocker XTS-AES 256-разрядного шифрования на томах данных и встроенное шифрование жестких дисков. Подробные сведения см. в документации с обзором функций безопасности для конкретного устройства Stack Edge. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| В Azure Data Explorer должно быть включено шифрование дисков | Включение шифрования дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. | Audit, Deny, Disabled | 2.0.0 |
| В Azure Data Explorer должно быть включено двойное шифрование | Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Если включено двойное шифрование, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. | Audit, Deny, Disabled | 2.0.0 |
| Элемент управления 1663, контролируемый корпорацией Майкрософт, — защита неактивных данных | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
| Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign | Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. | Audit, Deny, Disabled | 1.1.0 |
| В учетных записях хранения должно быть включено шифрование инфраструктуры. | Включите шифрование инфраструктуры для более высокого уровня гарантии безопасности данных. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды. | Audit, Deny, Disabled | 1.0.0 |
| Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле | Для повышения безопасности неактивные данные, хранящиеся на узле виртуальной машины в Службе Azure Kubernetes, должны быть зашифрованы. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Audit, Deny, Disabled | 1.0.1 |
| В базах данных SQL должно применяться прозрачное шифрование данных | Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | AuditIfNotExists, Disabled | 2.0.0 |
| Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле | Использование шифрования в узле для сквозного шифрования данных виртуальной машины и масштабируемого набора виртуальных машин. Шифрование на узле применяется для неактивных данных временного диска и кэша дисков с ОС или данными. Для шифрования (при включенном шифровании в узле) временных дисков (в том числе с ОС) используются ключи, управляемые платформой, а для неактивных данных кэша дисков с ОС или данными — управляемые платформой или клиентом, в зависимости от выбранного для диска типа шифрования. Узнайте больше по адресу https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
| Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища | По умолчанию ОС и диски данных виртуальной машины шифруются в неактивном состоянии с помощью ключей, управляемых платформой. Временные диски, кэши данных и данные, передаваемые между вычислениями и хранилищем, не шифруются. Не учитывайте эту рекомендацию, если используется шифрование на узле или если шифрование на стороне сервера для управляемых дисков соответствует вашим требованиям к безопасности. Дополнительные сведения см. в разделах: "Шифрование Хранилища дисков Azure на стороне сервера": https://aka.ms/disksse, "Различные предложения для шифрования дисков": https://aka.ms/diskencryptioncomparison. | AuditIfNotExists, Disabled | 2.0.3 |
Криптографическая защита
Идентификатор: NIST SP 800-53 Rev. 5 SC-28 (1) Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| В Среде службы приложений должно быть включено внутреннее шифрование | Присвоив параметру InternalEncryption значение true, вы обеспечите шифрование файла подкачки, дисков рабочих ролей и внутреннего сетевого трафика между внешними интерфейсами и рабочими ролями в Среде службы приложений. Дополнительные сведения см. в разделе https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Необходимо включить шифрование для переменных учетной записи службы автоматизации | Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. | Audit, Deny, Disabled | 1.1.0 |
| В заданиях Azure Data Box должно быть включено двойное шифрование для неактивных данных на устройстве | Включите второй уровень программного шифрования для неактивных данных на устройстве. Устройство уже защищено с помощью 256-разрядного шифрования AES для неактивных данных. Этот параметр добавляет второй уровень шифрования данных. | Audit, Deny, Disabled | 1.0.0 |
| Кластеры журналов Azure Monitor должны быть созданы с включенным шифрованием инфраструктуры (двойным шифрованием) | Чтобы обеспечить безопасное шифрование данных на уровне службы и на уровне инфраструктуры с применением двух разных алгоритмов шифрования и двух разных ключей, используйте выделенный кластер Azure Monitor. Этот параметр включен по умолчанию, если поддерживается в регионе (см. раздел https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview). | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Устройства Azure Stack Edge должны использовать двойное шифрование | Для защиты неактивных данных на устройстве убедитесь, что для них используется двойное шифрование, доступ к данным контролируется, а после отключения устройства данные безопасно удаляются с дисков данных. Двойное шифрование — это использование двух уровней шифрования: шифрование BitLocker XTS-AES 256-разрядного шифрования на томах данных и встроенное шифрование жестких дисков. Подробные сведения см. в документации с обзором функций безопасности для конкретного устройства Stack Edge. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| В Azure Data Explorer должно быть включено шифрование дисков | Включение шифрования дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. | Audit, Deny, Disabled | 2.0.0 |
| В Azure Data Explorer должно быть включено двойное шифрование | Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Если включено двойное шифрование, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. | Audit, Deny, Disabled | 2.0.0 |
| Элемент управления 1437, контролируемый корпорацией Майкрософт, — передача носителя | Криптографическая защита | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | audit | 1.0.0 |
| Элемент управления 1664, контролируемый корпорацией Майкрософт, — защита неактивных данных | Криптографическая защита | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
| Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign | Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. | Audit, Deny, Disabled | 1.1.0 |
| В учетных записях хранения должно быть включено шифрование инфраструктуры. | Включите шифрование инфраструктуры для более высокого уровня гарантии безопасности данных. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды. | Audit, Deny, Disabled | 1.0.0 |
| Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле | Для повышения безопасности неактивные данные, хранящиеся на узле виртуальной машины в Службе Azure Kubernetes, должны быть зашифрованы. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Audit, Deny, Disabled | 1.0.1 |
| В базах данных SQL должно применяться прозрачное шифрование данных | Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | AuditIfNotExists, Disabled | 2.0.0 |
| Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле | Использование шифрования в узле для сквозного шифрования данных виртуальной машины и масштабируемого набора виртуальных машин. Шифрование на узле применяется для неактивных данных временного диска и кэша дисков с ОС или данными. Для шифрования (при включенном шифровании в узле) временных дисков (в том числе с ОС) используются ключи, управляемые платформой, а для неактивных данных кэша дисков с ОС или данными — управляемые платформой или клиентом, в зависимости от выбранного для диска типа шифрования. Узнайте больше по адресу https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
| Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища | По умолчанию ОС и диски данных виртуальной машины шифруются в неактивном состоянии с помощью ключей, управляемых платформой. Временные диски, кэши данных и данные, передаваемые между вычислениями и хранилищем, не шифруются. Не учитывайте эту рекомендацию, если используется шифрование на узле или если шифрование на стороне сервера для управляемых дисков соответствует вашим требованиям к безопасности. Дополнительные сведения см. в разделах: "Шифрование Хранилища дисков Azure на стороне сервера": https://aka.ms/disksse, "Различные предложения для шифрования дисков": https://aka.ms/diskencryptioncomparison. | AuditIfNotExists, Disabled | 2.0.3 |
Изоляция процессов
Идентификатор: NIST SP 800-53 Rev. 5 SC-39 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1665, контролируемый корпорацией Майкрософт, — изоляция процессов | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | audit | 1.0.0 |
Целостность системы и данных
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 SI-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1666, контролируемый корпорацией Майкрософт, — политика и процедуры защиты целостности системы и данных | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1667, контролируемый корпорацией Майкрософт, — политика и процедуры защиты целостности системы и данных | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Исправление ошибок
Идентификатор: NIST SP 800-53 Rev. 5 SI-2 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Приложения-функции должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
| Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+. | Audit, Disabled | 1.0.2 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для служба хранилища (классическая версия) должна быть включена | Microsoft Defender для служба хранилища (классическая модель) предоставляет обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
| Элемент управления 1668, контролируемый корпорацией Майкрософт, — исправление ошибок | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1669, контролируемый корпорацией Майкрософт, — исправление ошибок | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1670, контролируемый корпорацией Майкрософт, — исправление ошибок | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1671, контролируемый корпорацией Майкрософт, — исправление ошибок | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. | AuditIfNotExists, Disabled | 4.1.0 |
| В масштабируемых наборах виртуальных машин должны быть установлены обновления системы | Аудит отсутствия обновлений для системы безопасности и критических обновлений, которые необходимо установить для защиты ваших масштабируемых наборов виртуальных машин с Windows и Linux. | AuditIfNotExists, Disabled | 3.0.0 |
| На компьютерах должны быть установлены обновления системы | Отсутствие обновлений системы безопасности на серверах будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены | Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
| Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. | Аудит наличия уязвимостей ОС в ваших масштабируемых наборах виртуальных машин для защиты их от атак. | AuditIfNotExists, Disabled | 3.0.0 |
Состояние автоматического исправления недостатков
Идентификатор: NIST SP 800-53 Rev. 5 SI-2 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1673, контролируемый корпорацией Майкрософт, — исправление ошибок | Автоматическое определение состояния исправления ошибок | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Время на исправление уязвимостей и эталоны для корректирующих действий
Идентификатор: NIST SP 800-53 Rev. 5 SI-2 (3) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1674, контролируемый корпорацией Майкрософт, — исправление ошибок | Время на исправление недостатков или эталоны для корректирующих действй | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1675, контролируемый корпорацией Майкрософт, — исправление ошибок | Время на устранение недостатков или эталоны для корректирующих действий | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Удаление предыдущих версий программного обеспечения и встроенного ПО
Идентификатор: NIST SP 800-53 ред. 5 SI-2 (6) Владение: Клиент
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
| Приложения-функции должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
| Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+. | Audit, Disabled | 1.0.2 |
Защита от вредоносного кода
Идентификатор: NIST SP 800-53 Rev. 5 SI-3 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection | Аудит наличия и работоспособности решения защиты конечных точек в ваших масштабируемых наборах виртуальных машин для защиты их от угроз и уязвимостей. | AuditIfNotExists, Disabled | 3.0.0 |
| Элемент управления 1676, контролируемый корпорацией Майкрософт, — защита от вредоносного кода | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1677, контролируемый корпорацией Майкрософт, — защита от вредоносного кода | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1678, контролируемый корпорацией Майкрософт, — защита от вредоносного кода | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1679, контролируемый корпорацией Майкрософт, — защита от вредоносного кода | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1681, контролируемый корпорацией Майкрософт, — защита от вредоносного кода | Автоматические обновления | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1682, контролируемый корпорацией Майкрософт, — защита от вредоносного кода | Обнаружение без использования сигнатур | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure | Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Мониторинг системы
Идентификатор: NIST SP 800-53 Rev. 5 SI-4 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| В подписке должна быть включена автоматическая подготовка агента Log Analytics | Чтобы отслеживать уязвимости и угрозы безопасности, Центр безопасности Azure собирает данные из виртуальных машин Azure. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Мы рекомендуем включить автоматическую подготовку для автоматического развертывания агента на всех поддерживаемых виртуальных машинах Azure, включая те, которые созданы недавно. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| На виртуальной машине должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Эта политика выполняет аудит всех виртуальных машин Windows и Linux, если не установлен агент Log Analytics, который Центр безопасности использует для отслеживания уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| В масштабируемых наборах виртуальных машин должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Центр безопасности собирает данные с виртуальных машин Azure для мониторинга уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для служба хранилища (классическая версия) должна быть включена | Microsoft Defender для служба хранилища (классическая модель) предоставляет обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
| Элемент управления 1683, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1684, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1685, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1686, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1687, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1688, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1689, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Система обнаружения вторжений на уровне системы
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (1) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1690, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Система обнаружения вторжений на уровне системы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Автоматизированные средства и механизмы для анализа в реальном времени
Идентификатор: NIST SP 800-53 Rev. 5 SI-4 (2) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1691, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Автоматизированные средства анализа в реальном времени | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Входящий и исходящий трафик коммуникаций
Идентификатор: NIST SP 800-53 Rev. 5 SI-4 (4) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1692, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Входящий и исходящий трафик коммуникаций | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Системные оповещения
Идентификатор: NIST SP 800-53 Rev. 5 SI-4 (5) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1693, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Системные оповещения | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Анализ аномалий трафика коммуникаций
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (11) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1694, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Анализ аномалий трафика коммуникаций | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Автоматические оповещения, созданные организацией
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (12) Ответственность: Клиент
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.0.0 |
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
Обнаружение вторжения по беспроводной сети
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (14) Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1695, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Обнаружение вторжений по беспроводной сети | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Корреляция сведений мониторинга
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (16) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1696, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Корреляция сведений мониторинга | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Анализ трафика и скрытое извлечение данных
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (18) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1697, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Анализ трафика и скрытое извлечение данных | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Риск для отдельных пользователей
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (19) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1698, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Отдельные пользователи повышающие риск | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Привилегированные пользователи
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (20) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1699, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Привилегированные пользователи | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Несанкционированные сетевые службы
Идентификатор: NIST SP 800-53 Rev. 5 SI-4 (22) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1700, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Несанкционированные сетевые службы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Устройства на основе узла
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (23) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1701, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Устройства на основе узлов | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Индикаторы компрометации
Идентификатор: NIST SP 800-53 Rev. 5 SI-4 (24) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1702, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Индикаторы компрометации | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Оповещения системы безопасности, рекомендации и директивы
Идентификатор: NIST SP 800-53 Rev. 5 SI-5 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1703, управляемый Корпорацией Майкрософт, — оповещения системы безопасности и рекомендации | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1704, управляемый Корпорацией Майкрософт, — оповещения системы безопасности и рекомендации | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1705, управляемый корпорацией Майкрософт, — оповещения системы безопасности и рекомендации | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1706, управляемый Корпорацией Майкрософт, — оповещения системы безопасности и рекомендации | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Автоматические оповещения и предупреждения
Идентификатор: NIST SP 800-53 Rev. 5 SI-5 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1707, управляемый Корпорацией Майкрософт, — оповещения системы безопасности и рекомендации | Автоматизированные оповещения и помощники | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Проверка функций безопасности и конфиденциальности
Идентификатор: NIST SP 800-53 Rev. 5 SI-6 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1708, контролируемый корпорацией Майкрософт, — проверка функций безопасности | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1709, контролируемый корпорацией Майкрософт, — проверка функций безопасности | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1710, контролируемый корпорацией Майкрософт, — проверка функций безопасности | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1711, контролируемый корпорацией Майкрософт, — проверка функций безопасности | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Целостность программного обеспечения, встроенного ПО и данных
Идентификатор: NIST SP 800-53 Rev. 5 SI-7 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1712, управляемый корпорацией Майкрософт, — целостность программного обеспечения и информации | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Проверки целостности
Идентификатор: NIST SP 800-53 Rev. 5 SI-7 (1) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1713, управляемый корпорацией Майкрософт, — целостность программного обеспечения и информации | Проверки целостности | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Автоматические уведомления о нарушении целостности
Идентификатор: NIST SP 800-53 ред. 5 SI-7 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1714, управляемый корпорацией Майкрософт, — целостность программного обеспечения и информации | Автоматическое уведомление о нарушениях целостности | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Автоматическое реагирование на нарушения целостности
Идентификатор: NIST SP 800-53 Rev. 5 SI-7 (5) Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1715, управляемый корпорацией Майкрософт, — целостность программного обеспечения и информации | Автоматическое реагирование на нарушения целостности | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Интеграция обнаружения и реагирования
Идентификатор: NIST SP 800-53 ред. 5 SI-7 (7) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1716, управляемый Корпорацией Майкрософт, — целостность программного обеспечения и информации | Интеграция обнаружения и реагирования | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Защита от спама
Идентификатор: NIST SP 800-53 ред. 5 SI-8 Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1719, контролируемый корпорацией Майкрософт, — защита от спама | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1720, контролируемый корпорацией Майкрософт, — защита от спама | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Автоматическое обновление
Идентификатор: NIST SP 800-53 ред. 5 SI-8 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1722, контролируемый корпорацией Майкрософт, — защита от спама | Автоматические обновления | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Проверка ввода данных
Идентификатор: NIST SP 800-53 Rev. 5 SI-10 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1723, контролируемый корпорацией Майкрософт, — проверка ввода данных | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Обработка ошибок
Идентификатор: NIST SP 800-53 Rev. 5 SI-11 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1724, контролируемый корпорацией Майкрософт, — обработка ошибок | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| Элемент управления 1725, контролируемый корпорацией Майкрософт, — обработка ошибок | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Управление данными и их хранение
Идентификатор: NIST SP 800-53 Rev. 5 SI-12 Ответственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1726, контролируемый корпорацией Майкрософт, — вывод, обработка и хранение информации | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
Защита памяти
Идентификатор: NIST SP 800-53 Rev. 5 SI-16 Собственность: совместная
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Элемент управления 1727, контролируемый корпорацией Майкрософт, — защита памяти | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | audit | 1.0.0 |
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Следующие шаги
Дополнительные статьи о Политике Azure:
- Обзор соответствия нормативным требованиям.
- См. структуру определения инициативы.
- См. другие примеры шаблонов для Политики Azure.
- Изучите сведения о действии политик.
- Узнайте, как исправлять несоответствующие ресурсы.