Azure Policy inbyggda principdefinitioner

Den här sidan är ett index Azure Policy inbyggda principdefinitioner.

Namnet på varje inbyggd länkar till principdefinitionen i Azure Portal. Använd länken i källkolumnen för att visa källan på Azure Policy GitHub lagringsplatsen. De inbyggda är grupperade efter kategoriegenskapen i metadata. Om du vill gå till enviss kategori använder du menyn till höger på sidan. Annars använder du CtrlF för att använda webbläsarens sökfunktion.

API för FHIR

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure API for FHIR bör använda en kund hanterad nyckel för att kryptera vilodata Använd en kund hanterad nyckel för att styra krypteringen i vila av de data som lagras i Azure API for FHIR när detta är ett regel- eller efterlevnadskrav. Kund-hanterade nycklar levererar också dubbel kryptering genom att lägga till ett andra lager med kryptering ovanpå standardnyckeln som görs med tjänst-hanterade nycklar. audit, disabled 1.0.1
Azure API for FHIR bör använda private link Azure API for FHIR måste ha minst en godkänd privat slutpunktsanslutning. Klienter i ett virtuellt nätverk kan på ett säkert sätt komma åt resurser som har privata slutpunktsanslutningar via privata länkar. Mer information finns i: https://aka.ms/fhir-privatelink . Granska, inaktiverad 1.0.0
CORS bör inte tillåta att alla domäner får åtkomst till ditt API för FHIR Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till ditt API för FHIR. Om du vill skydda ditt API för FHIR tar du bort åtkomsten för alla domäner och definierar uttryckligen vilka domäner som tillåts att ansluta. audit, disabled 1.0.0

API Management

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
API Management ska använda en SKU som stöder virtuella nätverk Med stödda SKU:er för API Management låser distributionen av tjänsten till ett virtuellt nätverk upp avancerade API Management-nätverk och säkerhetsfunktioner som ger dig större kontroll över nätverkssäkerhetskonfigurationen. Läs mer på: https://aka.ms/apimvnet . Granska, Neka, Inaktiverad 1.0.0
API Management bör inaktivera offentlig nätverksåtkomst För att förbättra säkerheten för API Management tjänster, se till att slutpunkter inte exponeras för det offentliga Internet. Vissa offentliga slutpunkter exponeras av API Management-tjänster för att stödja användarscenarier, t.ex. direkt åtkomst till API för hantering, hantering av konfiguration med Git, konfiguration av gatewayer med egen värd. Om någon av dessa funktioner inte används ska motsvarande slutpunkter inaktiveras. AuditIfNotExists, Disabled 1.0.0
API Management-tjänster ska använda ett virtuellt nätverk Azure Virtual Network-distributionen ger förbättrad säkerhet, isolering och gör att du kan placera din API Management-tjänst i ett dirigerbart nätverk som inte är ett Internet-dirigerbart nätverk som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina backend-tjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast inom det virtuella nätverket. Granska, inaktiverad 1.0.1
Konfigurera API Management tjänster för att inaktivera offentlig nätverksåtkomst Du kan förbättra säkerheten för API Management genom att inaktivera offentliga slutpunkter. Vissa offentliga slutpunkter exponeras av API Management-tjänster för att stödja användarscenarier, t.ex. direkt åtkomst till API för hantering, hantering av konfiguration med Git, konfiguration av gatewayer med egen värd. Om någon av dessa funktioner inte används ska motsvarande slutpunkter inaktiveras. DeployIfNotExists, Disabled 1.0.0

App Configuration

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
App Configuration ska inaktivera offentlig nätverksåtkomst Att inaktivera offentlig nätverksåtkomst förbättrar säkerheten genom att säkerställa att resursen inte exponeras på det offentliga Internet. Du kan begränsa exponeringen för dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/appconfig/private-endpoint . Granska, Neka, Inaktiverad 1.0.0
App Configuration bör använda en kund hanterad nyckel Kundhanterade nycklar ger förbättrat dataskydd genom att du kan hantera dina krypteringsnycklar. Detta krävs ofta för att uppfylla efterlevnadskraven. Granska, Neka, Inaktiverad 1.1.0
App Configuration bör använda en SKU som stöder private link När du använder en SKU som stöds Azure Private Link du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint . Granska, Neka, Inaktiverad 1.0.0
App Configuration bör använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint . AuditIfNotExists, Disabled 1.0.2
App Configuration bör ha lokala autentiseringsmetoder inaktiverade Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att App Configuration kräver Azure Active Directory identiteter exklusivt för autentisering. Läs mer på: https://go.microsoft.com/fwlink/?linkid=2161954 . Granska, Neka, Inaktiverad 1.0.0
Konfigurera App Configuration för att inaktivera lokala autentiseringsmetoder Inaktivera lokala autentiseringsmetoder så att dina App Configuration kräver Azure Active Directory identiteter exklusivt för autentisering. Läs mer på: https://go.microsoft.com/fwlink/?linkid=2161954 . Ändra, inaktiverad 1.0.0
Konfigurera App Configuration inaktivera offentlig nätverksåtkomst Inaktivera offentlig nätverksåtkomst för App Configuration så att den inte är tillgänglig via det offentliga Internet. Den här konfigurationen hjälper till att skydda dem mot dataläckagerisker. Du kan begränsa exponeringen för dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/appconfig/private-endpoint . Ändra, inaktiverad 1.0.0
Konfigurera privata DNS-zoner för privata slutpunkter som är anslutna till App Configuration Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon kan länkas till ditt virtuella nätverk för att matcha appkonfigurationsinstanser. Läs mer på: https://aka.ms/appconfig/private-endpoint . DeployIfNotExists, Disabled 1.0.0
Konfigurera privata slutpunkter för App Configuration Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser minskar risken för dataläckage. Läs mer på: https://aka.ms/appconfig/private-endpoint . DeployIfNotExists, Disabled 1.0.0

Appplattform

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
[Förhandsversion]: Granska Azure Spring Cloud instanser där distribuerad spårning inte är aktiverat Distribuerade spårningsverktyg i Azure Spring Cloud för felsökning och övervakning av komplexa kopplingar mellan mikrotjänster i ett program. Verktyg för distribuerad spårning ska vara aktiverade och i felfritt tillstånd. Granska, inaktiverad 1.0.0-förhandsversion
Azure Spring Cloud bör använda nätverksinjektion Azure Spring Cloud instanser ska använda virtuell nätverksinjektion för följande ändamål: 1. Isolera Azure Spring Cloud från Internet. 2. Aktivera Azure Spring Cloud att interagera med system i antingen lokala datacenter eller Azure-tjänsten i andra virtuella nätverk. 3. Ge kunderna möjlighet att styra inkommande och utgående nätverkskommunikation för Azure Spring Cloud. Granska, inaktiverad, neka 1.1.0

App Service

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
API-appen bör endast vara tillgänglig via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad 1.0.0
API-appar bör använda en Azure-filresurs för sin innehållskatalog Innehållskatalogen för en API-app ska finnas på en Azure-filresurs. Lagringskontoinformationen för filresursen måste anges före publiceringsaktiviteten. Mer information om hur du använder Azure Files för att vara värd för apptjänstinnehåll finns i https://go.microsoft.com/fwlink/?linkid=2151594 . Granska, inaktiverad 1.0.0
App Service appar ska matas in i ett virtuellt nätverk När du App Service Apps i ett virtuellt nätverk får du tillgång till avancerade App Service nätverks- och säkerhetsfunktioner och ger dig större kontroll över nätverkssäkerhetskonfigurationen. Läs mer på: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet . Granska, Neka, Inaktiverad 1.0.0
App Service bör aktivera utgående icke-RFC 1918-trafik till Azure Virtual Network Om en använder regional Integrering med Azure Virtual Network (VNET) dirigerar appen som standard endast RFC1918-trafik till respektive virtuella nätverk. Genom att använda API:et för att ange "vnetRouteAllEnabled" till true aktiveras all utgående trafik till Azure Virtual Network. Med den här inställningen kan funktioner som nätverkssäkerhetsgrupper och användardefinierade vägar användas för all utgående trafik från App Service appen. AuditIfNotExists, Disabled 1.0.0
App Service bör använda en SKU som stöder private link Med SKU:er som stöds Azure Private Link du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter till appar kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://aka.ms/private-link . Granska, Neka, Inaktiverad 1.0.0
App Service-miljön bör inte nås via offentligt Internet För att säkerställa att appar som distribueras i App Service-miljön inte är tillgängliga via offentligt Internet bör du distribuera App Service-miljön med en IP-adress i det virtuella nätverket. Om du vill ange IP-adressen till en VIRTUELL nätverks-IP App Service-miljön måste distribueras med en intern lastbalanserare. Granska, Neka, Inaktiverad 1.0.0
App Service-miljön ska konfigureras med de starkaste TLS-chiffersviterna De två mest minimala och starkaste chiffersviterna som krävs för App Service-miljön ska fungera korrekt är: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 och TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Granska, inaktiverad 1.0.0
App Service-miljön ska etableras med de senaste versionerna Tillåt endast App Service-miljön version 2 eller version 3 etableras. Äldre versioner av App Service-miljön kräver manuell hantering av Azure-resurser och har större skalningsbegränsningar. Granska, Neka, Inaktiverad 1.0.0
App Service-miljön ska inaktivera TLS 1.0 och 1.1 TLS 1.0 och 1.1 är in date-protokoll som inte stöder moderna krypteringsalgoritmer. Om du inaktiverar inkommande TLS 1.0- och 1.1-trafik kan du skydda appar i en App Service-miljön. Granska, Neka, Inaktiverad 2.0.0
App Service-miljön ska aktivera intern kryptering Om du anger InternalEncryption till true krypteras växlingsfilen, arbetsdiskarna och den interna nätverkstrafiken mellan frontend-ändarna och arbetarna i en App Service-miljön. Mer information finns i https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption . Granska, inaktiverad 1.0.0
App Service ska ha lokala autentiseringsmetoder inaktiverade för FTP-distributioner Inaktivering av lokala autentiseringsmetoder förbättrar säkerheten genom att säkerställa App Service endast kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth . AuditIfNotExists, inaktiverad 1.0.0
App Service ska ha lokala autentiseringsmetoder inaktiverade för SCM-platsdistributioner Inaktivering av lokala autentiseringsmetoder förbättrar säkerheten genom att säkerställa App Service endast kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth . AuditIfNotExists, inaktiverad 1.0.0
App Service ska använda private link Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till App Service kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://aka.ms/private-link . AuditIfNotExists, inaktiverad 1.0.0
App Service ska ha lokala autentiseringsmetoder inaktiverade för FTP-distributioner Inaktivering av lokala autentiseringsmetoder förbättrar säkerheten genom att säkerställa App Service platser endast kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth . AuditIfNotExists, inaktiverad 1.0.0
App Service ska ha lokala autentiseringsmetoder inaktiverade för SCM-platsdistributioner Inaktivering av lokala autentiseringsmetoder förbättrar säkerheten genom att säkerställa App Service platser endast kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth . AuditIfNotExists, inaktiverad 1.0.0
App Services ska inaktivera åtkomst till offentligt nätverk Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att App Service inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen för App Service. Läs mer på: https://aka.ms/app-service-private-endpoint . AuditIfNotExists, inaktiverad 1.0.0
Autentisering ska vara aktiverat i API-appen Azure App Service autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når API-appen eller autentisera dem som har token innan de når API-appen AuditIfNotExists, inaktiverad 1.0.0
Autentisering ska vara aktiverat i funktionsappen Azure App Service autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når funktionsappen eller autentisera dem som har token innan de når funktionsappen AuditIfNotExists, inaktiverad 1.0.0
Autentisering ska vara aktiverat på webbappen Azure App Service autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når webbappen eller autentisera dem som har token innan de når webbappen AuditIfNotExists, inaktiverad 1.0.0
Konfigurera App Service för att inaktivera lokal autentisering för FTP-distributioner. Inaktivera lokala autentiseringsmetoder för FTP-distributioner så att App Services kräver endast Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth . DeployIfNotExists, Disabled 1.0.0
Konfigurera App Service för att inaktivera lokal autentisering för SCM-platser. Inaktivera lokala autentiseringsmetoder för SCM-platser så att dina App Services kräver endast Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth . DeployIfNotExists, Disabled 1.0.0
Konfigurera App Service att inaktivera lokal autentisering för SCM-platser. Inaktivera lokala autentiseringsmetoder för SCM-platser så att App Services kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth . DeployIfNotExists, Disabled 1.0.0
Konfigurera App Service att inaktivera lokal autentisering på FTP-distributioner. Inaktivera lokala autentiseringsmetoder för FTP-distributioner så att App Services kräver endast Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth . DeployIfNotExists, Disabled 1.0.0
Konfigurera App Services inaktivera offentlig nätverksåtkomst Inaktivera offentlig nätverksåtkomst för App Services så att den inte är tillgänglig via det offentliga Internet. Detta kan minska riskerna för dataläckage. Läs mer på: https://aka.ms/app-service-private-endpoint . DeployIfNotExists, Disabled 1.0.0
Konfigurera App Services att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar ett virtuellt nätverk till en App Service. Läs mer på: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns . DeployIfNotExists, Disabled 1.0.0
CORS bör inte tillåta att alla resurser får åtkomst till din API-app Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din API-app. Tillåt endast att obligatoriska domäner interagerar med DIN API-app. AuditIfNotExists, inaktiverad 1.0.0
CORS bör inte tillåta att alla resurser får åtkomst till dina funktionsappar Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att obligatoriska domäner interagerar med funktionsappen. AuditIfNotExists, inaktiverad 1.0.0
CORS (Cross Origin Resource Sharing) bör inte tillåta att alla resurser har åtkomst till dina webbappar Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till webbappen. Tillåt endast att obligatoriska domäner interagerar med din webbapp. AuditIfNotExists, inaktiverad 1.0.0
Kontrollera att API-appen har "Klientcertifikat (inkommande klientcertifikat)" inställt på "På" Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Granska, inaktiverad 1.0.0
Kontrollera att HTTP-versionen är den senaste, om den används för att köra API-appen Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Genom att använda den senaste HTTP-versionen för webbappar kan du dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. Den här principen gäller för närvarande endast för Linux-webbappar. AuditIfNotExists, Disabled 2.0.0
Kontrollera att HTTP-versionen är den senaste, om den används för att köra funktionsappen Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Genom att använda den senaste HTTP-versionen för webbappar kan du dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. Den här principen gäller för närvarande endast för Linux-webbappar. AuditIfNotExists, Disabled 2.0.0
Kontrollera att HTTP-versionen är den senaste om den används för att köra webbappen Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Genom att använda den senaste HTTP-versionen för webbappar kan du dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. Den här principen gäller för närvarande endast för Linux-webbappar. AuditIfNotExists, Disabled 2.0.0
Kontrollera att "Java-versionen" är den senaste, om den används som en del av API-appen Med jämna mellanrum släpps nyare versioner för Java antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Vi rekommenderar att du använder den senaste Python-versionen för API-appar för att kunna dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller för närvarande endast för Linux-webbappar. AuditIfNotExists, Disabled 2.0.0
Kontrollera att "Java-versionen" är den senaste, om den används som en del av funktionsappen Med jämna mellanrum släpps nyare versioner för Java-programvara antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Vi rekommenderar att du använder den senaste Java-versionen för funktionsappar för att kunna dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller för närvarande endast för Linux-webbappar. AuditIfNotExists, Disabled 2.0.0
Kontrollera att "Java-versionen" är den senaste, om den används som en del av webbappen Med jämna mellanrum släpps nyare versioner för Java-programvara antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Vi rekommenderar att du använder den senaste Java-versionen för webbappar för att kunna dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller för närvarande endast för Linux-webbappar. AuditIfNotExists, Disabled 2.0.0
Kontrollera att "PHP-versionen" är den senaste, om den används som en del av API-appen Med jämna mellanrum släpps nyare versioner för PHP-programvara antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Vi rekommenderar att du använder den senaste PHP-versionen för API-appar för att kunna dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller för närvarande endast för Linux-webbappar. AuditIfNotExists, Disabled 2.1.0
Kontrollera att "PHP-versionen" är den senaste, om den används som en del av WEBBappen Med jämna mellanrum släpps nyare versioner för PHP-programvara antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Vi rekommenderar att du använder den senaste PHP-versionen för webbappar för att kunna dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller för närvarande endast för Linux-webbappar. AuditIfNotExists, Disabled 2.1.0
Kontrollera att "Python-versionen" är den senaste, om den används som en del av API-appen Med jämna mellanrum släpps nyare versioner för Python-programvara antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Vi rekommenderar att du använder den senaste Python-versionen för API-appar för att kunna dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller för närvarande endast för Linux-webbappar. AuditIfNotExists, Disabled 3.0.0
Kontrollera att "Python-versionen" är den senaste, om den används som en del av funktionsappen Med jämna mellanrum släpps nyare versioner för Python-programvara antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Vi rekommenderar att du använder den senaste Python-versionen för funktionsappar för att kunna dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller för närvarande endast för Linux-webbappar. AuditIfNotExists, Disabled 3.0.0
Kontrollera att "Python-versionen" är den senaste, om den används som en del av webbappen Med jämna mellanrum släpps nyare versioner för Python-programvara antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Vi rekommenderar att du använder den senaste Python-versionen för webbappar för att kunna dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller för närvarande endast för Linux-webbappar. AuditIfNotExists, Disabled 3.0.0
Kontrollera att WEBBappen har "Klientcertifikat (inkommande klientcertifikat)" inställt på "På" Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan komma åt appen. Granska, inaktiverad 1.0.0
FTPS ska endast krävas i din API-app Aktivera FTPS-tillämpning för förbättrad säkerhet AuditIfNotExists, Disabled 2.0.0
FTPS ska endast krävas i funktionsappen Aktivera FTPS-tillämpning för förbättrad säkerhet AuditIfNotExists, Disabled 2.0.0
FTPS måste vara obligatoriskt i din webbapp Aktivera FTPS-tillämpning för förbättrad säkerhet AuditIfNotExists, Disabled 2.0.0
Funktionsappen bör endast vara tillgänglig via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad 1.0.0
Funktionsappar ska ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kommer att kunna nå appen. Granska, inaktiverad 1.0.1
Funktionsappar bör använda en Azure-filresurs för sin innehållskatalog Innehållskatalogen för en funktionsapp ska finnas på en Azure-filresurs. Lagringskontoinformationen för filresursen måste anges före publiceringsaktiviteten. Mer information om hur du använder Azure Files för att vara värd för apptjänstinnehåll finns i https://go.microsoft.com/fwlink/?linkid=2151594 . Granska, inaktiverad 1.0.0
Den senaste TLS-versionen ska användas i din API-app Uppgradera till den senaste TLS-versionen AuditIfNotExists, Disabled 1.0.0
Den senaste TLS-versionen ska användas i funktionsappen Uppgradera till den senaste TLS-versionen AuditIfNotExists, Disabled 1.0.0
Den senaste TLS-versionen ska användas i din webbapp Uppgradera till den senaste TLS-versionen AuditIfNotExists, Disabled 1.0.0
Hanterad identitet ska användas i din API-app Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, Disabled 2.0.0
Hanterad identitet ska användas i din funktionsapp Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, Disabled 2.0.0
Hanterad identitet ska användas i din webbapp Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, Disabled 2.0.0
Fjärrfelsökning ska vara inaktiverat för API Apps Fjärrfelsökning kräver att inkommande portar öppnas i API-appar. Fjärrfelsökning bör vara inaktiverat. AuditIfNotExists, Disabled 1.0.0
Fjärrfelsökning ska vara inaktiverat för funktionsappar Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning bör vara inaktiverat. AuditIfNotExists, Disabled 1.0.0
Fjärrfelsökning ska vara inaktiverat för webbprogram Fjärrfelsökning kräver att inkommande portar öppnas i ett webbprogram. Fjärrfelsökning bör vara inaktiverat. AuditIfNotExists, Disabled 1.0.0
Resursloggar i App Services ska vara aktiverade Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsloggar i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. AuditIfNotExists, Disabled 1.0.0
Webbprogram bör endast vara tillgängligt via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad 1.0.0
Webbappar bör använda en Azure-filresurs för sin innehållskatalog Innehållskatalogen för en webbapp ska finnas på en Azure-filresurs. Lagringskontoinformationen för filresursen måste anges före publiceringsaktiviteten. Mer information om hur du använder Azure Files för att vara värd för apptjänstinnehåll finns i https://go.microsoft.com/fwlink/?linkid=2151594 . Granska, inaktiverad 1.0.0

Attestering

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure Attestation bör använda privata slutpunkter Privata slutpunkter är ett sätt att ansluta Azure Attestation-leverantörer till dina Azure-resurser utan att skicka trafik via det offentliga Internet. Genom att förhindra offentlig åtkomst hjälper privata slutpunkter till att skydda mot oönskad anonym åtkomst. AuditIfNotExists, Disabled 1.0.0

Automanage

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Konfigurera virtuella datorer som ska publiceras för Azure Automanage Azure Automanage registrerar, konfigurerar och övervakar virtuella datorer med bästa praxis enligt definitionen i Microsoft Cloud Adoption Framework för Azure. Använd den här principen för att tillämpa Automanage på det valda omfånget. DeployIfNotExists, Disabled 4.1.0

Automation

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Automation-kontovariabler ska krypteras Det är viktigt att aktivera kryptering av Automation-kontots variabeltillgångar när känsliga data lagras Granska, Neka, Inaktiverad 1.1.0
Automation-konton bör inaktivera offentlig nätverksåtkomst Att inaktivera offentlig nätverksåtkomst förbättrar säkerheten genom att säkerställa att resursen inte exponeras på det offentliga Internet. Du kan begränsa exponeringen för dina Automation-kontoresurser genom att skapa privata slutpunkter i stället. Läs mer på: https://docs.microsoft.com/azure/automation/how-to/private-link-security . Granska, Neka, Inaktiverad 1.0.0
Azure Automation ska ha lokal autentiseringsmetod inaktiverad Att inaktivera lokala autentiseringsmetoder förbättrar säkerheten genom att säkerställa att Azure Automation-konton endast kräver Azure Active Directory identiteter för autentisering. Granska, Neka, Inaktiverad 1.0.0
Azure Automation-konton ska använda kund hanterade nycklar för att kryptera vilodata Använd kundhanterade nycklar för att hantera krypteringen i resten av dina Azure Automation konton. Som standard krypteras kunddata med tjänst hanterade nycklar, men kund hanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kund hanterade nycklar gör att data kan krypteras med en Azure Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på [ https://aka.ms/automation-cmk ](.. /.. /.. /.. /articles/automation/automation-secure-asset-encryption.md#:~:text=Secure assets in Azure Automation include credentials, certificates, connections,,Using Microsoft-managed keys). Granska, Neka, Inaktiverad 1.0.0
Konfigurera Azure Automation att inaktivera lokal autentisering Inaktivera lokala autentiseringsmetoder så att dina Azure Automation endast kräver Azure Active Directory identiteter för autentisering. Ändra, inaktiverad 1.0.0
Konfigurera Azure Automation-konton för att inaktivera åtkomst till offentligt nätverk Inaktivera offentlig nätverksåtkomst för Azure Automation-konto så att det inte är tillgängligt via det offentliga Internet. Den här konfigurationen hjälper till att skydda dem mot dataläckagerisker. Du kan begränsa exponeringen för dina Automation-kontoresurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/privateendpoints . Ändra, inaktiverad 1.0.0
Konfigurera Azure Automation med privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. Du behöver en korrekt konfigurerad privat DNS-zon för att ansluta Azure Automation till ett konto via Azure Private Link. Läs mer på: https://aka.ms/privatednszone . DeployIfNotExists, Disabled 1.0.0
Konfigurera privata slutpunktsanslutningar på Azure Automation konton Privata slutpunktsanslutningar tillåter säker kommunikation genom att aktivera privat anslutning till Azure Automation-konton utan behov av offentliga IP-adresser vid källan eller målet. Läs mer om privata slutpunkter i Azure Automation på https://docs.microsoft.com/azure/automation/how-to/private-link-security . DeployIfNotExists, Disabled 1.0.0
Privata slutpunktsanslutningar på Automation-konton ska vara aktiverade Privata slutpunktsanslutningar tillåter säker kommunikation genom att aktivera privat anslutning till Automation-konton utan behov av offentliga IP-adresser vid källan eller målet. Läs mer om privata slutpunkter i Azure Automation på https://docs.microsoft.com/azure/automation/how-to/private-link-security AuditIfNotExists, Disabled 1.0.0

Azure Active Directory

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure Active Directory Domain Services-hanterade domäner ska endast använda TLS 1.2-läge Använd endast TLS 1.2-läge för dina hanterade domäner. Som standard Azure AD Domain Services tillåter användning av chiffer som NTLM v1 och TLS v1. Dessa chiffer kan krävas för vissa äldre program, men betraktas som svaga och kan inaktiveras om du inte behöver dem. När endast TLS 1.2-läge är aktiverat misslyckas alla klienter som gör en begäran som inte använder TLS 1.2. Läs mer på https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain . Granska, Neka, Inaktiverad 1.1.0

Azure Arc

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure Arc Private Link ska konfigureras med en privat slutpunkt Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter Azure Arc Private Link omfång minskas riskerna för dataläckage. Läs mer om privata länkar på: https://aka.ms/arc/privatelink . Granska, inaktiverad 1.0.0
Azure Arc Private Link ska inaktivera offentlig nätverksåtkomst Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att Azure Arc resurser inte kan ansluta via det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen för Azure Arc resurser. Läs mer på: https://aka.ms/arc/privatelink . Granska, Neka, Inaktiverad 1.0.0
Azure Arc-aktiverade servrar ska konfigureras med ett Azure Arc Private Link omfång Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att Azure Arc-aktiverade servrar till ett Azure Arc Private Link som har konfigurerats med en privat slutpunkt minskar risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/arc/privatelink . Granska, Neka, Inaktiverad 1.0.0
Konfigurera Azure Arc Private Link omfattningar för att inaktivera åtkomst till offentligt nätverk Inaktivera offentlig nätverksåtkomst för ditt omfång Azure Arc Private Link så att associerade Azure Arc inte kan ansluta till Azure Arc-tjänster via det offentliga Internet. Detta kan minska riskerna för dataläckage. Läs mer på: https://aka.ms/arc/privatelink . Ändra, inaktiverad 1.0.0
Konfigurera Azure Arc Private Link att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha Azure Arc Private Link omfång. Läs mer på: https://aka.ms/arc/privatelink . DeployIfNotExists, Disabled 1.0.0
Konfigurera Azure Arc Private Link scope med privata slutpunkter Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter Azure Arc Private Link omfång kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://aka.ms/arc/privatelink . DeployIfNotExists, Disabled 1.0.0
Konfigurera Azure Arc-aktiverade servrar att använda ett Azure Arc Private Link omfång Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att Azure Arc-aktiverade servrar till ett Azure Arc Private Link som har konfigurerats med en privat slutpunkt minskar risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/arc/privatelink . Ändra, inaktiverad 1.0.0

Öppna Azure-datautforskaren

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure Data Explorer kryptering i vila bör använda en kund hanterad nyckel Aktivering av kryptering i vila med hjälp av en kund hanterad nyckel på Azure Data Explorer kluster ger ytterligare kontroll över nyckeln som används av krypteringen i vila. Den här funktionen är ofta tillämplig för kunder med särskilda efterlevnadskrav och kräver en Key Vault för att hantera nycklarna. Granska, Neka, Inaktiverad 1.0.0
Diskkryptering ska aktiveras på Azure Data Explorer Genom att aktivera diskkryptering kan du skydda dina data så att de uppfyller organisationens säkerhets- och efterlevnadskrav. Granska, Neka, Inaktiverad 2.0.0
Dubbel kryptering ska aktiveras på Azure Data Explorer Aktivering av dubbel kryptering hjälper till att skydda dina data så att de uppfyller organisationens säkerhets- och efterlevnadsåtaganden. När dubbel kryptering har aktiverats krypteras data i lagringskontot två gånger, en gång på servicenivå och en gång på infrastrukturnivå, med hjälp av två olika krypteringsalgoritmer och två olika nycklar. Granska, Neka, Inaktiverad 2.0.0
Virtuell nätverksinjicering ska aktiveras för Azure Data Explorer Skydda din nätverks perimeter med virtuell nätverksinjicering som gör att du kan tillämpa regler för nätverkssäkerhetsgrupp, ansluta lokalt och skydda dina dataanslutningskällor med tjänstslutpunkter. Granska, Neka, Inaktiverad 1.0.0

Azure Edge Hardware Center

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Stöd för dubbel kryptering ska vara aktiverat för Azure Edge Hardware Center-enheter Kontrollera att stöd för dubbel kryptering är aktiverat för enheter som beställts från Azure Edge Hardware Center för att skydda vilodata på enheten. Det här alternativet lägger till ett andra lager med datakryptering. Granska, Neka, Inaktiverad 1.0.0

Azure Stack Edge

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure Stack Edge enheter ska använda dubbelkryptering För att skydda vilodata på enheten ska du se till att de är dubbelkrypterade, att åtkomsten till data styrs och att data raderas på ett säkert sätt från datadiskarna när enheten har inaktiverats. Dubbel kryptering är användningen av två krypteringslager: BitLocker XTS-AES 256-bitars kryptering på datavolymerna och inbyggd kryptering av hårddiskarna. Läs mer i dokumentationen för säkerhetsöversikten för den specifika Stack Edge-enheten. audit, deny, disabled 1.0.0

Backup

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure Backup ska vara aktiverat för Virtual Machines Skydda din Azure-Virtual Machines genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. AuditIfNotExists, inaktiverad 3.0.0
[Förhandsversion]: Azure Recovery Services-valv bör använda kund hanterade nycklar för kryptering av säkerhetskopierade data Använd kundhanterade nycklar för att hantera krypteringen i vila av dina säkerhetskopierade data. Som standard krypteras kunddata med tjänst hanterade nycklar, men kund hanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kund hanterade nycklar gör att data kan krypteras med en Azure Key Vault som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/AB-CmkEncryption . Granska, Neka, Inaktiverad 1.0.0-preview
[Förhandsversion]: Azure Recovery Services-valv bör använda privat länk för säkerhetskopiering Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Recovery Services-valv minskar risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/AB-PrivateEndpoints . Granska, inaktiverad 2.0.0-förhandsversion
[Förhandsversion]: Konfigurera säkerhetskopiering för bloblagringskonton med en viss tagg till ett befintligt säkerhetskopieringsvalv i samma region Framtvinga säkerhetskopiering för blobar på alla lagringskonton som inte innehåller en viss tagg till ett centralt säkerhetskopieringsvalv. Detta kan hjälpa dig att hantera säkerhetskopiering av blobar som finns över flera lagringskonton i stor skala. Mer information finns i https://aka.ms/AB-BlobBackupAzPolicies DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0-preview
Konfigurera säkerhetskopiering på virtuella datorer med en viss tagg till ett nytt Recovery Services-valv med en standardprincip Framtvinga säkerhetskopiering för alla virtuella datorer genom att distribuera ett Recovery Services-valv på samma plats och resursgrupp som den virtuella datorn. Detta är användbart när olika programteam i din organisation tilldelas separata resursgrupper och behöver hantera sina egna säkerhetskopior och återställningar. Du kan även inkludera virtuella datorer som innehåller en angiven tagg för att styra tilldelningsomfånget. Se https://aka.ms/AzureVMAppCentricBackupIncludeTag. deployIfNotExists, auditIfNotExists, inaktiverad 5.0.0
Konfigurera säkerhetskopiering på virtuella datorer med en viss tagg till ett befintligt Recovery Services-valv på samma plats Framtvinga säkerhetskopiering för alla virtuella datorer genom att säkerhetskopiera dem till ett befintligt centralt Recovery Services-valv på samma plats och prenumeration som den virtuella datorn. Detta är användbart när det finns ett centralt team i din organisation som hanterar säkerhetskopior för alla resurser i en prenumeration. Du kan även inkludera virtuella datorer som innehåller en angiven tagg för att styra tilldelningsomfånget. Se https://aka.ms/AzureVMCentralBackupIncludeTag. deployIfNotExists, auditIfNotExists, inaktiverad 5.0.0
Konfigurera säkerhetskopiering på virtuella datorer utan en viss tagg till ett nytt Recovery Services-valv med en standardprincip Framtvinga säkerhetskopiering för alla virtuella datorer genom att distribuera ett Recovery Services-valv på samma plats och resursgrupp som den virtuella datorn. Detta är användbart när olika programteam i din organisation tilldelas separata resursgrupper och behöver hantera sina egna säkerhetskopior och återställningar. Om du vill kan du undanta virtuella datorer som innehåller en angiven tagg för att styra tilldelningsomfånget. Se https://aka.ms/AzureVMAppCentricBackupExcludeTag. deployIfNotExists, auditIfNotExists, inaktiverad 5.0.0
Konfigurera säkerhetskopiering på virtuella datorer utan en viss tagg till ett befintligt Recovery Services-valv på samma plats Framtvinga säkerhetskopiering för alla virtuella datorer genom att säkerhetskopiera dem till ett befintligt centralt Recovery Services-valv på samma plats och prenumeration som den virtuella datorn. Detta är användbart när det finns ett centralt team i din organisation som hanterar säkerhetskopior för alla resurser i en prenumeration. Om du vill kan du undanta virtuella datorer som innehåller en angiven tagg för att styra tilldelningsomfånget. Se https://aka.ms/AzureVMCentralBackupExcludeTag. deployIfNotExists, auditIfNotExists, inaktiverad 5.0.0
[Förhandsversion]: Konfigurera blobsäkerhetskopiering för alla lagringskonton som inte innehåller en viss tagg till ett säkerhetskopieringsvalv i samma region Framtvinga säkerhetskopiering för blobar på alla lagringskonton som inte innehåller en viss tagg till ett centralt säkerhetskopieringsvalv. Detta kan hjälpa dig att hantera säkerhetskopiering av blobar som finns över flera lagringskonton i stor skala. Mer information finns i https://aka.ms/AB-BlobBackupAzPolicies DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0-preview
[Förhandsversion]: Konfigurera Recovery Services-valv till att använda privata DNS-zoner för säkerhetskopiering Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Recovery Services-valvet. Läs mer på: https://aka.ms/AB-PrivateEndpoints . DeployIfNotExists, Disabled 1.0.1-förhandsversion
Distribuera diagnostikverktyg Inställningar Recovery Services-valv till Log Analytics-arbetsyta för resursspecifika kategorier. Distribuera diagnostiska Inställningar Recovery Services-valv för att strömma till Log Analytics-arbetsyta för resursspecifika kategorier. Om någon av de resursspecifika kategorierna inte är aktiverad skapas en ny diagnostikinställning. deployIfNotExists 1.0.2

Batch

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure Batch bör använda kund hanterade nycklar för att kryptera data Använd kundhanterade nycklar för att hantera krypteringen i vila av Batch-kontots data. Som standard krypteras kunddata med tjänst hanterade nycklar, men kund hanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kund hanterade nycklar gör att data kan krypteras med en Azure Key Vault som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/Batch-CMK . Granska, Neka, Inaktiverad 1.0.1
Azure Batch-pooler ska ha diskkryptering aktiverat Genom att Azure Batch diskkryptering säkerställer du att data alltid krypteras i vila på Azure Batch beräkningsnoden. Läs mer om diskkryptering i Batch på https://docs.microsoft.com/azure/batch/disk-encryption . Granska, Inaktiverad, Neka 1.0.0
Batch-konton bör ha lokala autentiseringsmetoder inaktiverade Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att Batch-konton Azure Active Directory identiteter exklusivt för autentisering. Läs mer på: https://aka.ms/batch/auth . Granska, Neka, Inaktiverad 1.0.0
Konfigurera Batch-konton för att inaktivera lokal autentisering Inaktivera autentiseringsmetoder för platser så att dina Batch-konton kräver Azure Active Directory identiteter exklusivt för autentisering. Läs mer på: https://aka.ms/batch/auth . Ändra, inaktiverad 1.0.0
Konfigurera Batch-konton med privata slutpunkter Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Batch-konton kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/batch/private-connectivity . DeployIfNotExists, Disabled 1.0.0
Distribuera – Konfigurera privata DNS-zoner för privata slutpunkter som ansluter till Batch-konton Privat DNS poster tillåter privata anslutningar till privata slutpunkter. Privata slutpunktsanslutningar möjliggör säker kommunikation genom att aktivera privat anslutning till Batch-konton utan behov av offentliga IP-adresser vid källan eller målet. Mer information om privata slutpunkter och DNS-zoner i Batch finns i https://docs.microsoft.com/azure/batch/private-connectivity . DeployIfNotExists, Disabled 1.0.0
Måttaviseringsregler ska konfigureras på Batch-konton Granska konfigurationen av måttaviseringsregler för Batch-kontot för att aktivera det mått som krävs AuditIfNotExists, inaktiverad 1.0.0
Privata slutpunktsanslutningar på Batch-konton ska vara aktiverade Privata slutpunktsanslutningar möjliggör säker kommunikation genom att aktivera privat anslutning till Batch-konton utan behov av offentliga IP-adresser vid källan eller målet. Läs mer om privata slutpunkter i Batch på https://docs.microsoft.com/azure/batch/private-connectivity . AuditIfNotExists, inaktiverad 1.0.0
Offentlig nätverksåtkomst ska inaktiveras för Batch-konton Om du inaktiverar offentlig nätverksåtkomst för ett Batch-konto förbättras säkerheten genom att batchkontot endast kan nås från en privat slutpunkt. Läs mer om hur du inaktiverar offentlig nätverksåtkomst på https://docs.microsoft.com/azure/batch/private-connectivity . Granska, Neka, Inaktiverad 1.0.0
Resursloggar i Batch-konton ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket har komprometterats AuditIfNotExists, inaktiverad 5.0.0

Bot Service

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Bot Service ska vara en giltig HTTPS-URI Data kan manipuleras under överföringen. Det finns protokoll som tillhandahåller kryptering för att hantera problem med missbruk och manipulering. För att säkerställa att dina robotar endast kommunicerar över krypterade kanaler anger du slutpunkten till en giltig HTTPS-URI. Detta säkerställer att HTTPS-protokollet används för att kryptera dina data under överföring och ofta är ett krav för efterlevnad av regel- eller branschstandarder. Besök: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines . audit, deny, disabled 1.0.1
Bot Service krypteras med en kund hanterad nyckel Azure Bot Service krypterar automatiskt din resurs för att skydda dina data och uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Som standard används Microsoft-hanterade krypteringsnycklar. Om du vill ha större flexibilitet när det gäller att hantera nycklar eller styra åtkomsten till din prenumeration väljer du kund hanterade nycklar, även kallat BYOK (Bring Your Own Key). Läs mer om Azure Bot Service kryptering: https://docs.microsoft.com/azure/bot-service/bot-service-encryption . audit, deny, disabled 1.0.0
Bot Service bör ha isolerat läge aktiverat Robotar ska vara inställda på "endast isolerat"-läge. Den här inställningen konfigurerar Bot Service kanaler som kräver att trafik via det offentliga Internet inaktiveras. audit, deny, disabled 1.0.0
Bot Service bör ha lokala autentiseringsmetoder inaktiverade Inaktivering av lokala autentiseringsmetoder förbättrar säkerheten genom att säkerställa att en robot använder AAD enbart för autentisering. Granska, Neka, Inaktiverad 1.0.0
BotService-resurser bör använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din BotService-resurs minskar risken för dataläckage. Granska, inaktiverad 1.0.0
Konfigurera BotService-resurser för att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha med BotService-relaterade resurser. Läs mer på: https://aka.ms/privatednszone . DeployIfNotExists, Disabled 1.0.0
Konfigurera BotService-resurser med privata slutpunkter Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till din BotService-resurs kan du minska riskerna för dataläckage. DeployIfNotExists, Disabled 1.0.0

Cache

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure Cache for Redis inaktivera offentlig nätverksåtkomst Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att Azure Cache for Redis inte exponeras på det offentliga Internet. Du kan begränsa exponeringen för dina Azure Cache for Redis genom att skapa privata slutpunkter i stället. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link . Granska, Neka, Inaktiverad 1.0.0
Azure Cache for Redis ska finnas i ett virtuellt nätverk Azure Virtual Network-distributionen ger förbättrad säkerhet och isolering för dina Azure Cache for Redis, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. När en Azure Cache for Redis-instans har konfigurerats med ett virtuellt nätverk är den inte offentligt adresserbar och kan bara nås från virtuella datorer och program i det virtuella nätverket. Granska, Neka, Inaktiverad 1.0.3
Azure Cache for Redis bör använda private link Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Cache for Redis instanser minskar risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link . AuditIfNotExists, inaktiverad 1.0.0
Konfigurera Azure Cache for Redis inaktivera offentlig nätverksåtkomst Inaktivera offentlig nätverksåtkomst för din Azure Cache for Redis så att den inte är tillgänglig via det offentliga Internet. Detta hjälper till att skydda cachen mot dataläckagerisker. Ändra, inaktiverad 1.0.0
Konfigurera Azure Cache for Redis att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon kan länkas till det virtuella nätverket för att matcha Azure Cache for Redis. Läs mer på: https://aka.ms/privatednszone . DeployIfNotExists, Disabled 1.0.0
Konfigurera Azure Cache for Redis med privata slutpunkter Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Cache for Redis resurser kan du minska riskerna för dataläckage. Läs mer på: https://aka.ms/redis/privateendpoint . DeployIfNotExists, Disabled 1.0.0
Endast säkra anslutningar till Azure Cache for Redis bör vara aktiverade Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från attacker på nätverksnivå, till exempel man-in-the-middle, avlyssning och sessionskapning Granska, Neka, Inaktiverad 1.0.0

Cognitive Services

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Cognitive Services bör inaktivera offentlig nätverksåtkomst Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att Cognitive Services konto inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen för Cognitive Services konto. Läs mer på: https://go.microsoft.com/fwlink/?linkid=2129800 . Granska, Neka, Inaktiverad 2.0.0
Cognitive Services bör aktivera datakryptering med en kund hanterad nyckel Kund hanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kund hanterade nycklar gör att data som lagras i Cognitive Services krypteras med en Azure Key Vault nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om kund hanterade nycklar på https://go.microsoft.com/fwlink/?linkid=2121321 . Granska, Neka, Inaktiverad 2.0.0
Cognitive Services-konton ska ha lokala autentiseringsmetoder inaktiverade Inaktivering av lokala autentiseringsmetoder förbättrar säkerheten genom att säkerställa Cognitive Services-konton kräver Azure Active Directory identiteter exklusivt för autentisering. Läs mer på: https://aka.ms/cs/auth . Granska, Neka, Inaktiverad 1.0.0
Cognitive Services bör begränsa nätverksåtkomsten Nätverksåtkomst till Cognitive Services-konton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Cognitive Services konto. För att tillåta anslutningar från specifika Internetklienter eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till OFFENTLIGA IP-adressintervall på Internet. Granska, Neka, Inaktiverad 2.0.0
Cognitive Services-konton ska använda en hanterad identitet Genom att tilldela en hanterad identitet till ditt Cognitive Service-konto säkerställer du säker autentisering. Den här identiteten används av det här Cognitive Service-kontot för att kommunicera med andra Azure-tjänster, till exempel Azure Key Vault, på ett säkert sätt utan att du behöver hantera autentiseringsuppgifter. Granska, Neka, Inaktiverad 1.0.0
Cognitive Services bör använda kundägd lagring Använd kundägd lagring för att styra de data som lagras i vila i Cognitive Services. Mer information om kundägd lagring finns i https://aka.ms/cogsvc-cmk . Granska, Neka, Inaktiverad 2.0.0
Cognitive Services bör använda private link Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter Cognitive Services kan du minska risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800 . Granska, inaktiverad 2.0.0
Konfigurera Cognitive Services för att inaktivera lokala autentiseringsmetoder Inaktivera lokala autentiseringsmetoder så att dina Cognitive Services-konton kräver Azure Active Directory identiteter exklusivt för autentisering. Läs mer på: https://aka.ms/cs/auth . Ändra, inaktiverad 1.0.0
Konfigurera Cognitive Services-konton för att inaktivera åtkomst till offentligt nätverk Inaktivera offentlig nätverksåtkomst för din Cognitive Services så att den inte är tillgänglig via det offentliga Internet. Detta kan minska riskerna för dataläckage. Läs mer på: https://go.microsoft.com/fwlink/?linkid=2129800 . Inaktiverad, Ändra 2.0.0
Konfigurera Cognitive Services att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha Cognitive Services konton. Läs mer på: https://go.microsoft.com/fwlink/?linkid=2110097 . DeployIfNotExists, Disabled 1.0.0
Konfigurera Cognitive Services-konton med privata slutpunkter Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter Cognitive Services kan du minska risken för dataläckage. Läs mer om privata länkar på: https://go.microsoft.com/fwlink/?linkid=2129800 . DeployIfNotExists, Disabled 2.0.0

Compute

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Tillåtna SKU:er för vm-storlek Med den här principen kan du ange en uppsättning SKU:er för vm-storlek som din organisation kan distribuera. Neka 1.0.1
Granska virtuella datorer utan konfigurerad haveriberedskap Granska virtuella datorer som inte har konfigurerat haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc . auditIfNotExists 1.0.0
Granska virtuella datorer som inte använder hanterade diskar Den här principen granskar virtuella datorer som inte använder hanterade diskar Revision 1.0.0
Konfigurera haveriberedskap på virtuella datorer genom att aktivera replikering via Azure Site Recovery Virtuella datorer utan konfigurationer för haveriberedskap är sårbara för avbrott och andra avbrott. Om den virtuella datorn inte redan har konfigurerat haveriberedskap initierar detta på samma sätt genom att aktivera replikering med förinställda konfigurationer för att underlätta affärskontinuation. Om du vill kan du inkludera/exkludera virtuella datorer som innehåller en angiven tagg för att styra tilldelningsomfånget. Mer information om haveriberedskap finns i https://aka.ms/asr-doc . DeployIfNotExists, Disabled 2.0.0
Konfigurera diskåtkomstresurser för att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till en hanterad disk. Läs mer på: https://aka.ms/disksprivatelinksdoc . DeployIfNotExists, Disabled 1.0.0
Konfigurera diskåtkomstresurser med privata slutpunkter Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till diskåtkomstresurser kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc . DeployIfNotExists, Disabled 1.0.0
Konfigurera hanterade diskar för att inaktivera offentlig nätverksåtkomst Inaktivera offentlig nätverksåtkomst för din hanterade diskresurs så att den inte är tillgänglig via det offentliga Internet. Detta kan minska riskerna för dataläckage. Läs mer på: https://aka.ms/disksprivatelinksdoc . Ändra, inaktiverad 1.0.0
Distribuera Microsoft IaaSAntimalware-standardtillägget för Windows Server Den här principen distribuerar ett Microsoft IaaSAntimalware-tillägg med en standardkonfiguration när en virtuell dator inte har konfigurerats med tillägget för program mot skadlig programvara. deployIfNotExists 1.0.0
Diskåtkomstresurser bör använda privat länk Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter till diskÅtkomst minskar risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/disksprivatelinksdoc . AuditIfNotExists, Disabled 1.0.0
Hanterade diskar bör dubbelkrypteras med både plattforms-hanterade och kund-hanterade nycklar Kunder med hög säkerhetskänsliga problem som är kopplade till en viss krypteringsalgoritm, implementering eller nyckel som komprometteras kan välja ytterligare ett lager med kryptering med hjälp av en annan krypteringsalgoritm/-läge på infrastrukturnivå med plattforms hanterade krypteringsnycklar. Diskkrypteringsuppsättningarna krävs för att använda dubbel kryptering. Läs mer på https://aka.ms/disks-doubleEncryption . Granska, Neka, Inaktiverad 1.0.0
Hanterade diskar bör inaktivera offentlig nätverksåtkomst Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att en hanterad disk inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen för hanterade diskar. Läs mer på: https://aka.ms/disksprivatelinksdoc . Granska, inaktiverad 1.0.0
Hanterade diskar bör använda en specifik uppsättning diskkrypteringsuppsättningar för kund hanterad nyckelkryptering Genom att kräva en specifik uppsättning diskkrypteringsuppsättningar som ska användas med hanterade diskar får du kontroll över de nycklar som används för kryptering i vila. Du kan välja tillåtna krypterade uppsättningar och alla andra nekas när de är anslutna till en disk. Läs mer på https://aka.ms/disks-cmk . Granska, Neka, Inaktiverad 2.0.0
Microsoft Antimalware för Azure ska konfigureras för att automatiskt uppdatera skyddssignaturer Den här principen granskar alla Windows virtuella datorn som inte har konfigurerats med automatisk uppdatering Microsoft Antimalware signaturerna för skydd. AuditIfNotExists, Disabled 1.0.0
Microsoft IaaSAntimalware-tillägget ska distribueras på Windows servrar Den här principen granskar alla Windows virtuella serverdatorn utan att Microsoft IaaSAntimalware-tillägget har distribuerats. AuditIfNotExists, Disabled 1.0.0
Endast godkända VM-tillägg ska installeras Den här principen styr tillägg för virtuella datorer som inte godkänns. Granska, Neka, Inaktiverad 1.0.0
Operativsystem och datadiskar ska krypteras med en kund hanterad nyckel Använd kundhanterade nycklar för att hantera krypteringen i vila av innehållet på dina hanterade diskar. Som standard krypteras data i vila med plattformsbaserade nycklar, men kund hanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kund hanterade nycklar gör att data kan krypteras med en Azure Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/disks-cmk . Granska, Neka, Inaktiverad 3.0.0
Kräv automatisk korrigering av operativsystemavbildning på Virtual Machine Scale Sets Den här principen framtvingar aktivering av automatisk korrigering av operativsystemavbildning på Virtual Machine Scale Sets att alltid skydda Virtual Machines genom att på ett säkert sätt tillämpa de senaste säkerhetskorrigeringarna varje månad. Förneka 1.0.0
Resursloggar i Virtual Machine Scale Sets ska vara aktiverade Vi rekommenderar att du aktiverar loggar så att aktivitetsloggen kan återskapas när undersökningar krävs i händelse av en incident eller ett komprometterat. AuditIfNotExists, Disabled 2.1.0
Virtuella datorer och VM-skalningsuppsättningar bör ha kryptering på värden aktiverad Använd kryptering på värden för att hämta kryptering från slutpunkt till slutpunkt för din virtuella dator och data i VM-skalningsuppsättningen. Kryptering på värden möjliggör kryptering i vila för dina temporära disk- och OS-/datadiskcacheminnen. Tillfälliga och tillfälliga OS-diskar krypteras med plattformsbaserade nycklar när kryptering på värden är aktiverat. OS/datadiskcache krypteras i vila med antingen kund-hanterad eller plattformsbaserad nyckel, beroende på vilken krypteringstyp som valts på disken. Läs mer på https://aka.ms/vm-hbe . Granska, Neka, Inaktiverad 1.0.0
Virtuella datorer ska migreras till nya Azure Resource Manager resurser Använd nya Azure Resource Manager för dina virtuella datorer för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering Granska, Neka, Inaktiverad 1.0.0

Containerinstans

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure Container Instance-containergruppen ska distribueras till ett virtuellt nätverk Säker kommunikation mellan dina containrar med virtuella Azure-nätverk. När du anger ett virtuellt nätverk kan resurser i det virtuella nätverket kommunicera säkert och privat med varandra. Granska, inaktiverad, neka 1.0.0
Azure Container Instance-containergruppen bör använda kund hanterad nyckel för kryptering Skydda dina containrar med större flexibilitet med hjälp av kund hanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Användning av kund hanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller att radera data kryptografiskt. Granska, inaktiverad, neka 1.0.0

Container Registry

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Konfigurera containerregister för att inaktivera lokal autentisering. Inaktivera lokal autentisering så att containerregister endast kräver Azure Active Directory identiteter för autentisering. Läs mer om på: https://aka.ms/acr/authentication . Ändra, inaktiverad 1.0.0
Konfigurera containerregister för att inaktivera offentlig nätverksåtkomst Inaktivera offentlig nätverksåtkomst för din Container Registry så att den inte är tillgänglig via det offentliga Internet. Detta kan minska riskerna för dataläckage. Läs mer på https://aka.ms/acr/portal/public-network och https://aka.ms/acr/private-link . Ändra, inaktiverad 1.0.0
Konfigurera containerregister för att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till det virtuella nätverket för att matcha Container Registry. Läs mer på: https://aka.ms/privatednszone och https://aka.ms/acr/private-link . DeployIfNotExists, Disabled 1.0.0
Konfigurera containerregister med privata slutpunkter Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina premiumcontainerregisterresurser kan du minska riskerna för dataläckage. Läs mer på: https://aka.ms/privateendpoints och https://aka.ms/acr/private-link . DeployIfNotExists, Disabled 1.0.0
Containerregister ska krypteras med en kund hanterad nyckel Använd kundhanterade nycklar för att hantera krypteringen i vila av innehållet i dina register. Som standard krypteras data i vila med tjänst hanterade nycklar, men kundbaserade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kund hanterade nycklar gör att data kan krypteras med en Azure Key Vault som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/acr/CMK . Granska, Neka, Inaktiverad 1.1.2
Containerregister bör ha exporter inaktiverade Att inaktivera exporter förbättrar säkerheten genom att se till att data i ett register endast nås via dataplanet (docker pull). Data kan inte flyttas från registret via "acr import" eller via "acr transfer". För att inaktivera exporter måste offentlig nätverksåtkomst vara inaktiverad. Läs mer på: https://aka.ms/acr/export-policy . Granska, Neka, Inaktiverad 1.0.0
Containerregister bör ha lokala autentiseringsmetoder inaktiverade. Inaktivering av lokala autentiseringsmetoder förbättrar säkerheten genom att säkerställa att containerregister endast kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/acr/authentication . Granska, Neka, Inaktiverad 1.0.0
Containerregister bör ha SKU:er som stöder privata länkar Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till containerregister i stället för hela tjänsten minskar risken för dataläckage. Läs mer på: https://aka.ms/acr/private-link . Granska, Neka, Inaktiverad 1.0.0
Containerregister bör inte tillåta obegränsad nätverksåtkomst Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. För att skydda dina register mot potentiella hot, tillåt åtkomst från endast specifika offentliga IP-adresser eller adressintervall. Om registret inte har någon IP-/brandväggsregel eller ett konfigurerat virtuellt nätverk visas det i de resurser som inte är fel. Läs mer om Container Registry nätverksregler här: https://aka.ms/acr/portal/public-network och här https://aka.ms/acr/vnet . Granska, Neka, Inaktiverad 1.1.0
Containerregister bör använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till containerregister i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link . Granska, inaktiverad 1.0.1
Offentlig nätverksåtkomst ska inaktiveras för containerregister Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att se till att containerregister inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen för containerregisterresurser. Läs mer på: https://aka.ms/acr/portal/public-network och https://aka.ms/acr/private-link . Granska, Neka, Inaktiverad 1.0.0

Cosmos DB

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure Cosmos DB-konton ska ha brandväggsregler Brandväggsregler bör definieras på dina Azure Cosmos DB för att förhindra trafik från obehöriga källor. Konton som har minst en IP-regel som definierats med det aktiverade filtret för virtuellt nätverk anses vara kompatibla. Konton som inaktiverar offentlig åtkomst anses också vara kompatibla. Granska, Neka, Inaktiverad 2.0.0
Azure Cosmos DB bör använda kund hanterade nycklar för att kryptera vilodata Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänst hanterade nycklar, men kundbaserade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kund hanterade nycklar gör att data kan krypteras med en Azure Key Vault som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk . audit, deny, disabled 1.0.2
Azure Cosmos DB tillåtna platser Med den här principen kan du begränsa vilka platser din organisation kan ange när du distribuerar Azure Cosmos DB resurser. Den används för att genomdriva kraven på geo-efterlevnad. [parameters('policyEffect')] 1.0.0
Azure Cosmos DB nyckelbaserad skrivåtkomst till metadata ska inaktiveras Med den här principen kan du se till att alla Azure Cosmos DB-konton inaktiverar nyckelbaserad åtkomst till metadataskrivning. Lägg till 1.0.0
Azure Cosmos DB ska inaktivera åtkomst till offentligt nätverk Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att ditt CosmosDB-konto inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa cosmosDB-kontots exponering. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation . Granska, Neka, Inaktiverad 1.0.0
Azure Cosmos DB dataflöde bör vara begränsat Med den här principen kan du begränsa det maximala dataflöde som din organisation kan ange när du skapar Azure Cosmos DB-databaser och containrar via resursprovidern. Det blockerar skapandet av autoskalningsresurser. audit, deny, disabled 1.0.0
Konfigurera Cosmos DB databaskonton för att inaktivera lokal autentisering Inaktivera lokala autentiseringsmetoder så att Cosmos DB databaskonton exklusivt kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth . Ändra, inaktiverad 1.0.0
Konfigurera CosmosDB-konton för att inaktivera offentlig nätverksåtkomst Inaktivera offentlig nätverksåtkomst för din CosmosDB-resurs så att den inte är tillgänglig via det offentliga Internet. Detta kan minska riskerna för dataläckage. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation . Ändra, inaktiverad 1.0.0
Konfigurera CosmosDB-konton för att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till CosmosDB-kontot. Läs mer på: https://aka.ms/privatednszone . DeployIfNotExists, Disabled 1.0.0
Konfigurera CosmosDB-konton med privata slutpunkter Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till ditt CosmosDB-konto kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints . DeployIfNotExists, Disabled 1.0.0
Cosmos DB databaskonton ska ha lokala autentiseringsmetoder inaktiverade Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att Cosmos DB databaskonton endast kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth . Granska, Neka, Inaktiverad 1.0.0
CosmosDB-konton bör använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt CosmosDB-konto minskar risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints . Granska, inaktiverad 1.0.0
Distribuera Advanced Threat Protection för Cosmos DB konton Den här principen aktiverar Advanced Threat Protection för Cosmos DB konton. DeployIfNotExists, Disabled 1.0.0

Anpassad provider

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Distribuera associationer för en anpassad provider Distribuerar en associationsresurs som associerar valda resurstyper med den angivna anpassade providern. Den här principdistributionen stöder inte kapslade resurstyper. deployIfNotExists 1.0.0

Data Box

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure Data Box ska aktivera dubbel kryptering för vilodata på enheten Aktivera ett andra lager med programvarubaserad kryptering för vilodata på enheten. Enheten är redan skyddad via Advanced Encryption Standard 256-bitars kryptering för vilodata. Det här alternativet lägger till ett andra lager med datakryptering. Granska, Neka, Inaktiverad 1.0.0
Azure Data Box ska använda en kund hanterad nyckel för att kryptera lösenordet för upplåsning av enhet Använd en kund hanterad nyckel för att styra krypteringen av enhetens upplåsningslösenord för Azure Data Box. Kundhanterade nycklar hjälper också till att hantera åtkomsten till enhetens upplåsningslösenord av Data Box-enhet tjänsten för att förbereda enheten och kopiera data på ett automatiserat sätt. Data på själva enheten är redan krypterade i vila med Advanced Encryption Standard 256-bitarskryptering och lösenordet för upplåsning av enheten krypteras som standard med en hanterad Microsoft-nyckel. Granska, Neka, Inaktiverad 1.0.0

Data Factory

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure-datafabriker ska krypteras med en kund hanterad nyckel Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Data Factory. Som standard krypteras kunddata med tjänst hanterade nycklar, men kund hanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kund hanterade nycklar gör att data kan krypteras med en Azure Key Vault som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/adf-cmk . Granska, Neka, Inaktiverad 1.0.1
[Förhandsversion]: Azure Data Factory integration runtime bör ha en gräns för antalet kärnor Om du vill hantera dina resurser och kostnader begränsar du antalet kärnor för en Integreringskörning. Granska, Neka, Inaktiverad 1.0.0-preview
[Förhandsversion]: Azure Data Factory resurstyp för länkad tjänst ska finnas i listan över tillåtna Definiera listan över tillåtna Azure Data Factory länkade tjänsttyper. Begränsning av tillåtna resurstyper möjliggör kontroll över gränsen för dataförflyttning. Begränsa till exempel ett omfång till att endast tillåta bloblagring med Data Lake Storage Gen1 och Gen2 för analys eller ett omfång för att endast tillåta SQL- och Kusto-åtkomst för realtidsfrågor. Granska, Neka, Inaktiverad 1.0.0-preview
[Förhandsversion]: Azure Data Factory länkade tjänster ska använda Key Vault för att lagra hemligheter För att säkerställa att hemligheter (till exempel anslutningssträngar) hanteras på ett säkert sätt måste användarna tillhandahålla hemligheter med hjälp av en Azure Key Vault i stället för att ange dem infogade i länkade tjänster. Granska, Neka, Inaktiverad 1.0.0-preview
[Förhandsversion]: Azure Data Factory länkade tjänster ska använda system tilldelad hanterad identitetsautentisering när det stöds Om du använder system tilldelad hanterad identitet vid kommunikation med datalager via länkade tjänster undviker du att använda mindre säkra autentiseringsuppgifter, till exempel lösenord eller anslutningssträngar. Granska, Neka, Inaktiverad 2.0.0-förhandsversion
[Förhandsversion]: Azure Data Factory bör använda en Git-lagringsplats för källkontroll Aktivera källkontroll på datafabriker för att få funktioner som ändringsspårning, samarbete, kontinuerlig integrering och distribution. Granska, Neka, Inaktiverad 1.0.0-preview
Azure Data Factory ska använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Data Factory minskar risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link . AuditIfNotExists, inaktiverad 1.0.0
Konfigurera datafabriker för att inaktivera offentlig nätverksåtkomst Inaktivera offentlig nätverksåtkomst för Data Factory så att den inte är tillgänglig via det offentliga Internet. Detta kan minska riskerna för dataläckage. Läs mer på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link . Ändra, inaktiverad 1.0.0
Konfigurera privata DNS-zoner för privata slutpunkter som ansluter till Azure Data Factory Privat DNS poster tillåter privata anslutningar till privata slutpunkter. Privata slutpunktsanslutningar möjliggör säker kommunikation genom att aktivera privat anslutning till Azure Data Factory utan behov av offentliga IP-adresser vid källan eller målet. Mer information om privata slutpunkter och DNS-zoner i Azure Data Factory finns i https://docs.microsoft.com/azure/data-factory/data-factory-private-link . DeployIfNotExists, Disabled 1.0.0
Konfigurera privata slutpunkter för datafabriker Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Data Factory kan du minska riskerna för dataläckage. Läs mer på: https://docs.microsoft.com/azure/data-factory/data-factory-private-link . DeployIfNotExists, Disabled 1.0.0
Offentlig nätverksåtkomst på Azure Data Factory ska inaktiveras Om du inaktiverar egenskapen för offentlig nätverksåtkomst förbättras säkerheten genom att Azure Data Factory kan endast nås från en privat slutpunkt. Granska, Neka, Inaktiverad 1.0.0
SQL Server Integration Services-integreringskörningar på Azure Data Factory ska vara ansluten till ett virtuellt nätverk Azure Virtual Network-distributionen ger förbättrad säkerhet och isolering för dina integreringskörningar för SQL Server Integration Services på Azure Data Factory, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. Granska, Neka, Inaktiverad 2.0.0

Data Lake

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Kräv kryptering på Data Lake Store konton Den här principen säkerställer att kryptering är aktiverat på alla Data Lake Store konton Förneka 1.0.0
Resursloggar i Azure Data Lake Store ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket har komprometterats AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Data Lake Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket har komprometterats AuditIfNotExists, inaktiverad 5.0.0

Event Grid

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure Event Grid bör inaktivera offentlig nätverksåtkomst Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att se till att resursen inte exponeras på det offentliga Internet. Du kan begränsa exponeringen för dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/privateendpoints . Granska, Neka, Inaktiverad 1.0.0
Azure Event Grid ska ha lokala autentiseringsmetoder inaktiverade Inaktivering av lokala autentiseringsmetoder förbättrar säkerheten genom att säkerställa Azure Event Grid domäner exklusivt kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/aeg-disablelocalauth . Granska, Neka, Inaktiverad 1.0.0
Azure Event Grid bör använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter Event Grid din domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints . Granska, inaktiverad 1.0.2
Azure Event Grid ska ha lokala autentiseringsmetoder inaktiverade Inaktivering av lokala autentiseringsmetoder förbättrar säkerheten genom att Azure Event Grid partnernamnrymder exklusivt kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/aeg-disablelocalauth . Granska, Neka, Inaktiverad 1.0.0
Azure Event Grid bör inaktivera offentlig nätverksåtkomst Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att se till att resursen inte exponeras på det offentliga Internet. Du kan begränsa exponeringen för dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/privateendpoints . Granska, Neka, Inaktiverad 1.0.0
Azure Event Grid bör ha lokala autentiseringsmetoder inaktiverade Inaktivering av lokala autentiseringsmetoder förbättrar säkerheten genom att säkerställa Azure Event Grid ämnen endast kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/aeg-disablelocalauth . Granska, Neka, Inaktiverad 1.0.0
Azure Event Grid bör använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Event Grid i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints . Granska, inaktiverad 1.0.2
Konfigurera Azure Event Grid för att inaktivera lokal autentisering Inaktivera lokala autentiseringsmetoder så att dina Azure Event Grid domäner exklusivt kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/aeg-disablelocalauth . Ändra, inaktiverad 1.0.0
Konfigurera Azure Event Grid partnernamnrymder för att inaktivera lokal autentisering Inaktivera lokala autentiseringsmetoder så att Azure Event Grid partnernamnrymder exklusivt kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/aeg-disablelocalauth . Ändra, inaktiverad 1.0.0
Konfigurera Azure Event Grid för att inaktivera lokal autentisering Inaktivera lokala autentiseringsmetoder så att dina Azure Event Grid endast kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/aeg-disablelocalauth . Ändra, inaktiverad 1.0.0
Distribuera – Konfigurera Azure Event Grid att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. Läs mer på: https://aka.ms/privatednszone . deployIfNotExists, Disabled 1.0.0
Distribuera – Konfigurera Azure Event Grid domäner med privata slutpunkter Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina resurser skyddas de mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints . DeployIfNotExists, Disabled 1.0.0
Distribuera – Konfigurera Azure Event Grid för att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. Läs mer på: https://aka.ms/privatednszone . deployIfNotExists, Disabled 1.0.0
Distribuera – Konfigurera Azure Event Grid ämnen med privata slutpunkter Med privata slutpunkter kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina resurser skyddas de mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints . DeployIfNotExists, Disabled 1.0.0
Ändra – Konfigurera Azure Event Grid för att inaktivera åtkomst till offentligt nätverk Inaktivera offentlig nätverksåtkomst för Azure Event Grid så att den inte är tillgänglig via det offentliga Internet. Detta hjälper till att skydda dem mot risker med dataläckage. Du kan begränsa exponeringen för dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/privateendpoints . Ändra, inaktiverad 1.0.0
Ändra – Konfigurera Azure Event Grid för att inaktivera åtkomst till offentligt nätverk Inaktivera offentlig nätverksåtkomst för Azure Event Grid så att den inte är tillgänglig via det offentliga Internet. Detta hjälper till att skydda dem mot risker med dataläckage. Du kan begränsa exponeringen för dina resurser genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/privateendpoints . Ändra, inaktiverad 1.0.0

Händelsehubb

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Alla auktoriseringsregler utom RootManageSharedAccessKey bör tas bort från Event Hub-namnområdet Event Hub-klienter bör inte använda en åtkomstprincip på namnområdesnivå som ger åtkomst till alla köer och ämnen i ett namnområde. Om du vill anpassa dig till säkerhetsmodellen med minsta behörighet bör du skapa åtkomstprinciper på entitetsnivå för köer och ämnen för att endast ge åtkomst till den specifika entiteten Granska, Neka, Inaktiverad 1.0.1
Auktoriseringsregler för Event Hub-instansen ska definieras Granska förekomsten av auktoriseringsregler för Event Hub-entiteter för att bevilja åtkomst med lägsta privilegier AuditIfNotExists, inaktiverad 1.0.0
Azure Event Hub-namnområden bör ha lokala autentiseringsmetoder inaktiverade Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att se till att Azure Event Hub-namnrymder uteslutande Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/disablelocalauth-eh . Granska, Neka, Inaktiverad 1.0.0
Konfigurera Azure Event Hub-namnrymder för att inaktivera lokal autentisering Inaktivera lokala autentiseringsmetoder så att dina Azure Event Hub-namnrymder exklusivt kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/disablelocalauth-eh . Ändra, inaktiverad 1.0.0
Konfigurera Event Hub-namnrymder för att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha händelsehubbens namnrymder. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service . DeployIfNotExists, Disabled 1.0.0
Konfigurera event hub-namnrymder med privata slutpunkter Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Event Hub-namnrymder kan du minska riskerna för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service . DeployIfNotExists, Disabled 1.0.0
Event Hub-namnområden bör ha dubbel kryptering aktiverat Aktivering av dubbel kryptering hjälper till att skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När dubbel kryptering har aktiverats krypteras data i lagringskontot två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå, med hjälp av två olika krypteringsalgoritmer och två olika nycklar. Granska, Neka, Inaktiverad 1.0.0
Event Hub-namnområden bör använda en kund hanterad nyckel för kryptering Azure Event Hubs stöder alternativet att kryptera vilodata med antingen Microsoft-hanterade nycklar (standard) eller kund hanterade nycklar. Om du väljer att kryptera data med kund hanterade nycklar kan du tilldela, rotera, inaktivera och återkalla åtkomst till de nycklar som Event Hub använder för att kryptera data i namnområdet. Observera att Event Hub endast stöder kryptering med kund hanterade nycklar för namnrymder i dedikerade kluster. Granska, inaktiverad 1.0.0
Event Hub-namnområden bör använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter till Event Hub-namnrymder minskar risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/event-hubs/private-link-service . AuditIfNotExists, Disabled 1.0.0
Resursloggar i händelsehubben ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket har komprometterats AuditIfNotExists, Disabled 5.0.0

Allmänt

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Tillåtna platser Med den här principen kan du begränsa vilka platser som organisationen kan ange när den distribuerar resurser. Den används för att genomdriva kraven på geo-efterlevnad. Resursgrupper, Microsoft.AzureActiveDirectory/b2cDirectories och resurser som använder regionen ”global” undantas. Förneka 1.0.0
Tillåtna platser för resursgrupper Med den här principen kan du begränsa de platser som din organisation kan skapa resursgrupper i. Den används för att genomdriva kraven på geo-efterlevnad. Förneka 1.0.0
Tillåtna resurstyper Med den här principen kan du ange de resurstyper som din organisation kan distribuera. Endast resurstyper som stöder "taggar" och "plats" påverkas av den här principen. Om du vill begränsa alla resurser duplicerar du den här principen och ändrar läget till Alla. Förneka 1.0.0
Granska resursplatsmatchning av resursgruppsplats Granska att resursplatsen matchar resursgruppens plats Revision 2.0.0
Granska användningen av anpassade RBAC-regler Granska inbyggda roller som "Ägare, Bidragsläsare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granska, inaktiverad 1.0.0
Anpassade prenumerationsägare bör inte finnas Den här principen säkerställer att det inte finns några ägarroller för anpassade prenumerationer. Granska, inaktiverad 2.0.0
Otillåtna resurstyper Begränsa vilka resurstyper som kan distribueras i din miljö. Begränsning av resurstyper kan minska komplexiteten och angreppsytan i din miljö och samtidigt hjälpa till att hantera kostnader. Kompatibilitetsresultat visas endast för icke-kompatibla resurser. Granska, Neka, Inaktiverad 2.0.0

Gästkonfiguration

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Lägg till systemtilldelning av hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer utan identiteter Den här principen lägger till en system tilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfigurationen men som inte har några hanterade identiteter. En system tilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol . modify 1.1.0
Lägg till system tilldelad hanterad identitet för att aktivera gästkonfigurationstilldelningar på virtuella datorer med en användar tilldelad identitet Den här principen lägger till en system tilldelad hanterad identitet till virtuella datorer som finns i Azure och som stöds av gästkonfigurationen och som har minst en användar tilldelad identitet men som inte har en system tilldelad hanterad identitet. En system tilldelad hanterad identitet är en förutsättning för alla gästkonfigurationstilldelningar och måste läggas till på datorer innan du använder några principdefinitioner för gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol . modify 1.1.0
Granska Linux-datorer som tillåter fjärranslutningar från konton utan lösenord Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om Linux-datorer som tillåter fjärranslutningar från konton utan lösenord AuditIfNotExists, Disabled 1.2.0
Granska Linux-datorer som inte har behörigheten passwd-fil inställd på 0644 Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om Linux-datorer som inte har behörigheten passwd-fil inställd på 0644 AuditIfNotExists, Disabled 1.2.0
Granska Linux-datorer som inte har de angivna programmen installerade Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om Chef InSpec-resursen anger att ett eller flera av paketen som tillhandahålls av parametern inte har installerats. AuditIfNotExists, inaktiverad 3.1.0
Granska Linux-datorer som har konton utan lösenord Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om Linux-datorer som har konton utan lösenord AuditIfNotExists, inaktiverad 1.2.0
Granska Linux-datorer som har de angivna programmen installerade Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om Chef InSpec-resursen anger att ett eller flera av paketen som tillhandahålls av parametern har installerats. AuditIfNotExists, inaktiverad 3.2.0
Granska Windows datorer som saknar någon av de angivna medlemmarna i gruppen Administratörer Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om den lokala gruppen Administratörer inte innehåller en eller flera medlemmar som anges i principparametern. auditIfNotExists 1.0.0
Granska Windows datorers nätverksanslutning Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om en nätverksanslutningsstatus till en IP-adress och TCP-porten inte matchar principparametern. auditIfNotExists 1.0.0
Granska Windows datorer där DSC-konfigurationen inte är kompatibel Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om Windows PowerShell kommando Get-DSCConfigurationStatus returnerar att DSC-konfigurationen för datorn inte är kompatibel. auditIfNotExists 1.0.0
Granska Windows datorer där Log Analytics-agenten inte är ansluten som förväntat Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om agenten inte är installerad, eller om den är installerad men COM-objektet AgentConfigManager.MgmtSvcCfg returnerar att den är registrerad på en annan arbetsyta än det ID som anges i principparametern. auditIfNotExists 1.0.0
Granska Windows datorer där de angivna tjänsterna inte är installerade och "Körs" Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om resultatet av Windows PowerShell kommando Get-Service inte innehåller tjänstnamnet med matchande status som anges av principparametern. auditIfNotExists 1.0.0
Granska Windows datorer där Windows seriekonsolen inte är aktiverad Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om datorn inte har seriekonsolprogramvaran installerad eller om EMS-portnumret eller överföringshastigheten inte har konfigurerats med samma värden som principparametrarna. auditIfNotExists 1.0.0
Granska Windows datorer som tillåter återanvändning av de föregående 24 lösenorden Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om Windows datorer som tillåter återanvändning av de föregående 24 lösenorden AuditIfNotExists, inaktiverad 1.0.0
Granska Windows datorer som inte är ansluten till den angivna domänen Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om värdet för egenskapen Domän i WMI-win32_computersystem inte matchar värdet i principparametern. auditIfNotExists 1.0.0
Granska Windows datorer som inte är inställda på den angivna tidszonen Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om värdet för egenskapen StandardName i WMI-Win32_TimeZone inte matchar den valda tidszonen för principparametern. auditIfNotExists 1.0.0
Granska Windows datorer som innehåller certifikat som upphör att gälla inom det angivna antalet dagar Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om certifikaten i det angivna arkivet har ett utgångsdatum utanför intervallet för det antal dagar som anges som parameter. Principen ger också möjlighet att endast söka efter specifika certifikat eller exkludera specifika certifikat, och om du vill rapportera om utgångna certifikat. auditIfNotExists 1.0.0
Granska Windows datorer som inte innehåller de angivna certifikaten i betrodd rot Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om datorns betrodda rotcertifikatarkiv (Cert:\LocalMachine\Root) inte innehåller ett eller flera av de certifikat som anges av principparametern. auditIfNotExists 1.0.1
Granska Windows datorer som inte har en högsta lösenordsålder på 70 dagar Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om Windows datorer som inte har en högsta lösenordsålder på 70 dagar AuditIfNotExists, inaktiverad 1.0.0
Granska Windows datorer som inte har en minsta lösenordsålder på 1 dag Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om Windows datorer som inte har en minsta lösenordsålder på 1 dag AuditIfNotExists, inaktiverad 1.0.0
Granska Windows datorer som inte har inställningen för lösenordskomplexitet aktiverad Kräver att krav distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om Windows datorer som inte har inställningen för lösenordskomplexitet aktiverad AuditIfNotExists, inaktiverad 1.0.0
Granska Windows datorer som inte har den angivna Windows PowerShell körningsprincipen Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om Windows PowerShell kommando Get-ExecutionPolicy returnerar ett annat värde än det som valdes i principparametern. AuditIfNotExists, Disabled 1.1.0
Granska Windows datorer som inte har de angivna Windows PowerShell modulerna installerade Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om en modul inte är tillgänglig på en plats som anges av miljövariabeln PSModulePath. AuditIfNotExists, Disabled 2.0.0
Granska Windows datorer som inte begränsar den minsta lösenordslängden till 14 tecken Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om Windows datorer som inte begränsar den minsta lösenordslängden till 14 tecken AuditIfNotExists, Disabled 1.0.0
Granska Windows datorer som inte lagrar lösenord med hjälp av omvändbar kryptering Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om Windows datorer som inte lagrar lösenord med hjälp av omvändbar kryptering AuditIfNotExists, Disabled 1.0.0
Granska Windows datorer som inte har de angivna programmen installerade Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om programnamnet inte finns i någon av följande registersökvägar: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 1.0.0
Granska Windows datorer som har extra konton i gruppen Administratörer Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om den lokala gruppen Administratörer innehåller medlemmar som inte finns med i principparametern. auditIfNotExists 1.0.0
Granska Windows datorer som inte har startats om inom det angivna antalet dagar Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om WMI-egenskapen LastBootUpTime i klassen Win32_Operatingsystem ligger utanför det antal dagar som anges av principparametern. auditIfNotExists 1.0.0
Granska Windows datorer som har de angivna programmen installerade Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om programnamnet finns i någon av följande registersökvägar: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 1.0.0
Granska Windows datorer som har de angivna medlemmarna i gruppen Administratörer Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om den lokala gruppen Administratörer innehåller en eller flera av de medlemmar som anges i principparametern. auditIfNotExists 1.0.0
Granska Windows virtuella datorer med en väntande omstart Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om datorn väntar på omstart av någon av följande orsaker: komponentbaserad underhåll, Windows Update, väntande filbyte, väntande datorbyte, konfigurationshanteraren väntar på omstart. Varje identifiering har en unik registersökväg. auditIfNotExists 1.0.0
Autentisering till Linux-datorer bör kräva SSH-nycklar Även om SSH i sig tillhandahåller en krypterad anslutning gör användningen av lösenord med SSH fortfarande att den virtuella datorn är sårbar för råstyrkattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt/privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed . AuditIfNotExists, Disabled 2.2.0
Konfigurera tidszon på Windows datorer. Den här principen skapar en tilldelning av gästkonfiguration för att ange en angiven tidszon Windows virtuella datorer. deployIfNotExists 1.1.0
Distribuera Linux-gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på virtuella Linux-datorer Den här principen distribuerar Linux-gästkonfigurationstillägget till virtuella Linux-datorer i Azure som stöds av gästkonfigurationen. Linux-gästkonfigurationstillägget är ett krav för alla Tilldelningar av Linux-gästkonfiguration och måste distribueras till datorer innan du använder en principdefinition för Linux-gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol . deployIfNotExists 1.2.0
Distribuera Windows gästkonfigurationstillägget för att aktivera gästkonfigurationstilldelningar på Windows virtuella datorer Den här principen distribuerar Windows gästkonfigurationstillägget till Windows virtuella datorer i Azure som stöds av gästkonfigurationen. Tillägget Windows gästkonfiguration är en förutsättning för alla Windows-gästkonfigurationstilldelningar och måste distribueras till datorer innan du använder en principdefinition Windows gästkonfiguration. Mer information om gästkonfiguration finns i https://aka.ms/gcpol . deployIfNotExists 1.2.0
Linux-datorer bör ha Log Analytics-agenten installerad på Azure Arc Datorer är icke-kompatibla om Log Analytics-agenten inte är installerad på Azure Arc aktiverad Linux-server. AuditIfNotExists, Disabled 1.1.0
Linux-datorer bör uppfylla kraven för azure-beräkningssäkerhetsbaslinjen Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i azure-beräkningssäkerhetsbaslinjen. AuditIfNotExists, Disabled 1.3.0
Linux-datorer bör endast ha lokala konton som tillåts Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Att hantera användarkonton med Azure Active Directory är bästa praxis för hantering av identiteter. Genom att minska de lokala datorkontona kan du förhindra spridning av identiteter som hanteras utanför ett centralt system. Datorer är icke-kompatibla om det finns lokala användarkonton som är aktiverade och som inte visas i principparametern. AuditIfNotExists, Disabled 1.1.0
Privata slutpunkter för gästkonfigurationstilldelningar ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till gästkonfiguration för virtuella datorer. Virtuella datorer kommer att vara icke-kompatibla om de inte har taggen "EnablePrivateNetworkGC". Den här taggen framtvingar säker kommunikation via privat anslutning till gästkonfiguration för Virtual Machines. Privata anslutningar begränsar åtkomsten till trafik som endast kommer från kända nätverk och förhindrar åtkomst från alla andra IP-adresser, inklusive inom Azure. Granska, Neka, Inaktiverad 1.0.0
Windows Defender Exploit Guard ska vara aktiverat på dina datorer Windows Defender Exploit Guard använder Azure Policy gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika angreppsvektorer och blockera beteenden som ofta används i attacker med skadlig kod samtidigt som företag kan balansera sina säkerhetsrisker och produktivitetskrav (endast Windows). AuditIfNotExists, inaktiverad 1.1.1
Windows datorer måste ha Log Analytics-agenten installerad på Azure Arc Datorer är icke-kompatibla om Log Analytics-agenten inte är installerad Azure Arc Windows Server. AuditIfNotExists, inaktiverad 1.0.0
Windows ska uppfylla kraven för "Administrativa mallar – Kontrollpanelen" Windows ska ha de angivna grupprincip-inställningarna i kategorin "Administrativa mallar – Kontrollpanelen" för anpassning av indata och för att förhindra aktivering av låsskärmar. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 2.0.0
Windows datorer måste uppfylla kraven för "Administrativa mallar – MSS (äldre)" Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Administrativa mallar – MSS (äldre)" för automatisk inloggning, skärmsläckare, nätverksbeteende, säker DLL och händelselogg. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 2.0.0
Windows datorer måste uppfylla kraven för "Administrativa mallar – nätverk" Windows ska ha de angivna grupprincip-inställningarna i kategorin "Administrativa mallar – Nätverk" för gästinloggningar, samtidiga anslutningar, nätverksbrygga, ICS och multicast-namnmatchning. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 2.0.0
Windows datorer måste uppfylla kraven för "Administrativa mallar – System" Windows datorer ska ha de grupprincip inställningarna i kategorin "Administrativa mallar - System" för inställningar som styr den administrativa upplevelsen och Fjärrhjälp. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 2.0.0
Windows datorer måste uppfylla kraven för säkerhetsalternativ – konton Windows datorer ska ha de grupprincip inställningarna i kategorin "Säkerhetsalternativ – Konton" för att begränsa användningen av tomma lösenord och gästkontostatus för lokala konton. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 2.0.0
Windows datorer måste uppfylla kraven för säkerhetsalternativ – granskning Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Säkerhetsalternativ – granskning" för att framtvinga granskningsprincipunderkategori och stänga av om det inte går att logga säkerhetsgranskningar. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 2.0.0
Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – enheter" Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Säkerhetsalternativ – Enheter" för avdockning utan inloggning, installation av utskriftsdrivrutiner och formatering/utmatning av media. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 2.0.0
Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – interaktiv inloggning" Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Säkerhetsalternativ – interaktiv inloggning" för att visa efternamn och kräva ctrl-alt-del. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 2.0.0
Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – Microsoft-nätverksklient" Windows datorer ska ha de grupprincip inställningarna i kategorin "Säkerhetsalternativ – Microsoft-nätverksklient" för Microsoft-nätverksklient/-server och SMB v1. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 2.0.0
Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – Microsoft Network Server" Windows datorer ska ha de grupprincip inställningarna i kategorin "Säkerhetsalternativ – Microsoft-nätverksserver" för att inaktivera SMB v1-servern. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 2.0.0
Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – nätverksåtkomst" Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Säkerhetsalternativ – Nätverksåtkomst" för att inkludera åtkomst för anonyma användare, lokala konton och fjärråtkomst till registret. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 2.0.0
Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – Nätverkssäkerhet" Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Säkerhetsalternativ – Nätverkssäkerhet" för att inkludera lokalt systembeteende, PKU2U, LAN Manager, LDAP-klient och NTLM SSP. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 2.0.0
Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – återställningskonsol" Windows datorer ska ha de grupprincip inställningarna i kategorin "Säkerhetsalternativ – återställningskonsol" för att tillåta diskettkopiering och åtkomst till alla enheter och mappar. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 2.0.0
Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – avstängning" Windows datorer ska ha de grupprincip inställningarna i kategorin "Säkerhetsalternativ – avstängning" för att tillåta avstängning utan inloggning och rensa den virtuella växlingsfilen för minne. Den här principen kräver att förhandskrav för gästkonfiguration har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 2.0.0
Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – Systemobjekt" Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Säkerhetsalternativ – Systemobjekt" för att det ska vara okänsligt för icke-Windows undersystem och behörigheter för interna systemobjekt. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – Systeminställningar" Windows datorer ska ha de grupprincip inställningarna i kategorin "Säkerhetsalternativ – Systeminställningar" för certifikatregler på körbara filer för SRP och valfria undersystem. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows datorer måste uppfylla kraven för "Säkerhetsalternativ – User Account Control" Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Säkerhetsalternativ – User Account Control" för läge för administratörer, beteende för fråga om utökade privilegier samt virtualisering av skrivfel för filer och register. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows datorer måste uppfylla kraven för "Security Inställningar - Account Policies" (Säkerhet Inställningar – Kontoprinciper) Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Säkerhet Inställningar – kontoprinciper" för lösenordshistorik, ålder, längd, komplexitet och lagring av lösenord med hjälp av omvändbar kryptering. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows datorer måste uppfylla kraven för systemgranskningsprinciper – kontoinloggning Windows datorer ska ha de grupprincip inställningarna i kategorin Systemgranskningsprinciper – Kontoinloggning för granskning av verifiering av autentiseringsuppgifter och andra kontoinloggningshändelser. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows datorer måste uppfylla kraven för systemgranskningsprinciper – kontohantering Windows datorer ska ha de grupprincip inställningarna i kategorin Systemgranskningsprinciper – Kontohantering för granskning av program, säkerhet och hantering av användargrupper och andra hanteringshändelser. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows datorer måste uppfylla kraven för systemgranskningsprinciper – detaljerad spårning Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin Systemgranskningsprinciper – detaljerad spårning för granskning av DPAPI, processskapande/-avslutning, RPC-händelser och PNP-aktivitet. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows datorer måste uppfylla kraven för systemgranskningsprinciper – inloggning Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin Systemgranskningsprinciper – inloggning-utloggning för granskning av IPSec, nätverksprincip, anspråk, kontolåsning, gruppmedlemskap och inloggnings-/utloggningshändelser. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows datorer uppfylla kraven för systemgranskningsprinciper – objektåtkomst Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin Systemgranskningsprinciper – objektåtkomst för granskningsfil, register, SAM, lagring, filtrering, kernel och andra systemtyper. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows datorer måste uppfylla kraven för systemgranskningsprinciper – principändring Windows datorer ska ha de grupprincip inställningarna i kategorin "Systemgranskningsprinciper – Principändring" för granskning av ändringar i systemgranskningsprinciper. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows datorer måste uppfylla kraven för systemgranskningsprinciper – privilegiumanvändning Windows datorer ska ha de grupprincip inställningarna i kategorin Systemgranskningsprinciper – Behörighetsanvändning för granskning av behörighetsanvändning och annan behörighetsanvändning. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows datorer måste uppfylla kraven för systemgranskningsprinciper – system Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Systemgranskningsprinciper – System" för granskning av IPsec-drivrutin, systemintegritet, systemtillägg, tillståndsändring och andra systemhändelser. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows datorer måste uppfylla kraven för tilldelning av användarrättigheter Windows datorer ska ha de grupprincip inställningarna i kategorin "Tilldelning av användarrättigheter" för att tillåta lokal inloggning, RDP, åtkomst från nätverket och många andra användaraktiviteter. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows datorer måste uppfylla kraven för "Windows Components" Windows datorer ska ha de angivna grupprincip-inställningarna i kategorin "Windows-komponenter" för grundläggande autentisering, okrypterad trafik, Microsoft-konton, telemetri, Cortana och andra Windows beteenden. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows datorer måste uppfylla kraven för "Windows-brandväggsegenskaper" Windows datorer ska ha de grupprincip inställningarna i kategorin "Windows-brandväggsegenskaper" för brandväggstillstånd, anslutningar, regelhantering och meddelanden. Den här principen kräver att kraven för gästkonfigurationen har distribuerats till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. AuditIfNotExists, Disabled 2.0.0
Windows datorer måste uppfylla kraven för azure-beräkningssäkerhetsbaslinjen Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Datorer är icke-kompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i azure-beräkningssäkerhetsbaslinjen. AuditIfNotExists, Disabled 1.0.1
Windows datorer endast ha lokala konton som tillåts Kräver att kraven distribueras till principtilldelningsomfånget. Mer information finns på https://aka.ms/gcpol. Den här definitionen stöds inte på Windows Server 2012 eller 2012 R2. Att hantera användarkonton med Azure Active Directory är bästa praxis för hantering av identiteter. Genom att minska de lokala datorkontona kan du förhindra spridning av identiteter som hanteras utanför ett centralt system. Datorer är icke-kompatibla om det finns lokala användarkonton som är aktiverade och som inte visas i principparametern. AuditIfNotExists, inaktiverad 1.0.0
Windows webbservrar ska konfigureras för att använda säkra kommunikationsprotokoll För att skydda sekretessen för information som kommuniceras via Internet bör webbservrarna använda den senaste versionen av det branschstandardbaserade kryptografiska protokollet Transport Layer Security (TLS). TLS skyddar kommunikationen över ett nätverk med hjälp av säkerhetscertifikat för att kryptera en anslutning mellan datorer. AuditIfNotExists, inaktiverad 3.0.0

HDInsight

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure HDInsight ska matas in i ett virtuellt nätverk Genom att Azure HDInsight kluster i ett virtuellt nätverk låses avancerade nätverks- och säkerhetsfunktioner i HDInsight upp och du får kontroll över nätverkssäkerhetskonfigurationen. Granska, Inaktiverad, Neka 1.0.0
Azure HDInsight ska använda kund hanterade nycklar för att kryptera vilodata Använd kundhanterade nycklar för att hantera krypteringen i vila Azure HDInsight kluster. Som standard krypteras kunddata med tjänst hanterade nycklar, men kund hanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kund hanterade nycklar gör att data kan krypteras med en Azure Key Vault som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/hdi.cmk . Granska, Neka, Inaktiverad 1.0.1
Azure HDInsight ska använda kryptering på värden för att kryptera vilodata Genom att aktivera kryptering på värden kan du skydda dina data så att de uppfyller organisationens säkerhets- och efterlevnadsåtaganden. När du aktiverar kryptering på värden krypteras data som lagras på den virtuella datorns värd i vila och flöden krypteras till Storage tjänsten. Granska, Neka, Inaktiverad 1.0.0
Azure HDInsight ska använda kryptering under överföring för att kryptera kommunikationen mellan Azure HDInsight klusternoder Data kan manipuleras under överföringen mellan Azure HDInsight klusternoder. Aktivering av kryptering under överföring löser problem med missbruk och manipulering under överföringen. Granska, Neka, Inaktiverad 1.0.0
Azure HDInsight ska använda private link Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter Azure HDInsight kluster kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://aka.ms/hdi.pl . AuditIfNotExists, inaktiverad 1.0.0
Konfigurera Azure HDInsight att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha Azure HDInsight kluster. Läs mer på: https://aka.ms/hdi.pl . DeployIfNotExists, Disabled 1.0.0
Konfigurera Azure HDInsight kluster med privata slutpunkter Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter Azure HDInsight kluster kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://aka.ms/hdi.pl . DeployIfNotExists, Disabled 1.0.0

API:er för hälsovård

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
CORS bör inte tillåta att alla domäner får åtkomst till din FHIR-tjänst Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din FHIR-tjänst. Om du vill skydda din FHIR-tjänst tar du bort åtkomsten för alla domäner och definierar uttryckligen vilka domäner som tillåts att ansluta. granska, inaktiverad 1.0.0

Sakernas Internet

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure-enhetsuppdatering för IoT Hub-konton ska använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Device Update för IoT Hub-konton minskar risken för dataläckage. AuditIfNotExists, inaktiverad 1.0.0
Azure IoT Hub ska ha lokala autentiseringsmetoder inaktiverade för Tjänst-API:er Inaktivering av lokala autentiseringsmetoder förbättrar säkerheten genom att säkerställa Azure IoT Hub endast kräver Azure Active Directory identiteter för Service Api-autentisering. Läs mer på: https://aka.ms/iothubdisablelocalauth . Granska, Neka, Inaktiverad 1.0.0
[Förhandsversion]: Azure IoT Hub använda kund hanterad nyckel för att kryptera vilodata Kryptering av vilodata i IoT Hub med kundhanterade nycklar lägger till ett andra krypteringslager ovanpå de tjänsthanterade standardnycklarna, ger kunden kontroll över nycklar, anpassade rotationsprinciper och möjlighet att hantera åtkomst till data via nyckelåtkomstkontroll. Kund hanterade nycklar måste konfigureras när du skapar IoT Hub. Mer information om hur du konfigurerar kund hanterade nycklar finns i https://aka.ms/iotcmk . Granska, Neka, Inaktiverad 1.0.0-preview
Konfigurera Azure IoT Hub att inaktivera lokal autentisering Inaktivera lokala autentiseringsmetoder så att Azure IoT Hub endast kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/iothubdisablelocalauth . Ändra, inaktiverad 1.0.0
Konfigurera IoT Hub enhetsetableringsinstanser för att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha IoT Hub en instans av enhetsetableringstjänsten. Läs mer på: https://aka.ms/iotdpsvnet . DeployIfNotExists, Disabled 1.0.0
Konfigurera IoT Hub för enhetsetableringstjänsten för att inaktivera åtkomst till offentligt nätverk Inaktivera offentlig nätverksåtkomst för din IoT Hub för enhetsetablering så att den inte är tillgänglig via det offentliga Internet. Detta kan minska riskerna för dataläckage. Läs mer på: https://aka.ms/iotdpsvnet . Ändra, inaktiverad 1.0.0
Konfigurera IoT Hub för enhetsetableringstjänsten med privata slutpunkter Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter IoT Hub enhetsetableringstjänsten kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet . DeployIfNotExists, Disabled 1.0.0
Distribuera – Konfigurera Azure IoT Hubs för att använda privata DNS-zoner Azure Privat DNS tillhandahåller en tillförlitlig, säker DNS-tjänst för att hantera och matcha domännamn i ett virtuellt nätverk utan att du behöver lägga till en anpassad DNS-lösning. Du kan använda privata DNS-zoner för att åsidosätta DNS-upplösningen genom att använda dina egna anpassade domännamn för en privat slutpunkt. Den här principen distribuerar en privat DNS-zon IoT Hub privata slutpunkter. deployIfNotExists, inaktiverad 1.0.0
Distribuera – Konfigurera Azure IoT Hubs med privata slutpunkter En privat slutpunkt är en privat IP-adress som allokeras i ett kundägt virtuellt nätverk som en Azure-resurs kan nås via. Den här principen distribuerar en privat slutpunkt för din IoT-hubb så att tjänster i ditt virtuella nätverk kan nå IoT Hub utan att trafik behöver skickas till IoT Hub offentliga slutpunkt. DeployIfNotExists, Disabled 1.0.0
[Förhandsversion]: IoT Hub data för enhetsetableringstjänsten ska krypteras med kund hanterade nycklar (CMK) Använd kundhanterade nycklar för att hantera krypteringen i vila IoT Hub enhetsetableringstjänsten. Data krypteras automatiskt i vila med tjänst hanterade nycklar, men kund hanterade nycklar (CMK) krävs ofta för att uppfylla regelefterlevnadsstandarder. MED CMK:er kan data krypteras med en Azure Key Vault nyckel som skapats och ägs av dig. Läs mer om CMK-kryptering på https://aka.ms/dps/CMK . Granska, Neka, Inaktiverad 1.0.0-preview
IoT Hub av instanser av enhetsetableringstjänsten ska inaktivera offentlig nätverksåtkomst Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom IoT Hub att instansen av enhetsetableringstjänsten inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen för IoT Hub enhetsetableringsinstanser. Läs mer på: https://aka.ms/iotdpsvnet . Granska, Neka, Inaktiverad 1.0.0
IoT Hub instanser av enhetsetableringstjänsten ska använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter IoT Hub enhetsetableringstjänsten minskar risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/iotdpsvnet . Granska, inaktiverad 1.0.0
Ändra – Konfigurera Azure IoT Hubs för att inaktivera åtkomst till offentligt nätverk Om du inaktiverar egenskapen för offentlig nätverksåtkomst förbättras säkerheten genom att Azure IoT Hub kan endast nås från en privat slutpunkt. Den här principen inaktiverar offentlig nätverksåtkomst på IoT Hub resurser. Ändra, inaktiverad 1.0.0
Privat slutpunkt ska vara aktiverad för IoT Hub Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till IoT Hub. Konfigurera en privat slutpunktsanslutning för att ge åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive inom Azure. Granska, inaktiverad 1.0.0
Offentlig nätverksåtkomst på Azure IoT Hub ska inaktiveras Om du inaktiverar egenskapen för offentlig nätverksåtkomst förbättras säkerheten genom att Azure IoT Hub kan endast nås från en privat slutpunkt. Granska, Neka, Inaktiverad 1.0.0
Resursloggar i IoT Hub ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket har komprometterats AuditIfNotExists, inaktiverad 3.0.1

Key Vault

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
[Förhandsversion]: Azure Key Vault HSM ska inaktivera offentlig nätverksåtkomst Inaktivera offentlig nätverksåtkomst för din Azure Key Vault HSM så att den inte är tillgänglig via det offentliga Internet. Detta kan minska riskerna för dataläckage. Läs mer på: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm . Granska, Neka, Inaktiverad 1.0.0-preview
Azure Key Vault Managed HSM ska ha rensningsskydd aktiverat Skadlig borttagning av en Azure Key Vault HSM kan leda till permanent dataförlust. En obehörig insider i din organisation kan potentiellt ta bort och rensa Azure Key Vault Managed HSM. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuk borttagning Azure Key Vault Managed HSM. Ingen i din organisation eller Microsoft kommer att kunna rensa din Azure Key Vault Managed HSM under kvarhållningsperioden för mjuk borttagning. Granska, Neka, Inaktiverad 1.0.0
[Förhandsversion]: Azure Key Vault Managed HSM ska använda private link Privat länk är ett sätt att ansluta Azure Key Vault Managed HSM till dina Azure-resurser utan att skicka trafik via det offentliga Internet. Private Link ger skydd på djupet mot data exfiltrering. Läs mer på: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link Granska, inaktiverad 1.0.0-preview
[Förhandsversion]: Azure Key Vault inaktivera offentlig nätverksåtkomst Inaktivera åtkomst till offentligt nätverk för ditt nyckelvalv så att det inte är tillgängligt via det offentliga Internet. Detta kan minska riskerna för dataläckage. Läs mer på: https://aka.ms/akvprivatelink . Granska, Neka, Inaktiverad 2.0.0-förhandsversion
[Förhandsversion]: Azure Key Vaults bör använda private link Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink . Granska, Neka, Inaktiverad 1.0.0-förhandsversion
Certifikat ska utfärdas av den angivna integrerade certifikatutfärdaren Hantera organisationens efterlevnadskrav genom att ange de Azure-integrerade certifikatutfärdare som kan utfärda certifikat i nyckelvalvet, till exempel Digicert eller GlobalSign. audit, deny, disabled 2.0.1
Certifikat ska utfärdas av den angivna icke-integrerade certifikatutfärdaren Hantera organisationens efterlevnadskrav genom att ange de anpassade eller interna certifikatutfärdare som kan utfärda certifikat i nyckelvalvet. audit, deny, disabled 2.0.1
Certifikat ska ha de angivna utlösarna för livstidsåtgärden Hantera organisationens efterlevnadskrav genom att ange om en åtgärd för certifikatets livstid utlöses vid en viss procentandel av dess livslängd eller ett visst antal dagar innan den upphör att gälla. audit, deny, disabled 2.0.1
[Förhandsversion]: Certifikaten ska ha den angivna maximala giltighetsperioden Hantera organisationens efterlevnadskrav genom att ange den maximala tid som ett certifikat kan vara giltigt i ditt nyckelvalv. audit, deny, disabled 2.1.0-förhandsversion
[Förhandsversion]: Certifikaten får inte upphöra att gälla inom det angivna antalet dagar Hantera certifikat som upphör att gälla inom ett angivet antal dagar för att se till att din organisation har tillräckligt med tid för att rotera certifikatet innan det upphör att gälla. audit, deny, disabled 2.0.1-förhandsversion
Certifikat ska använda tillåtna nyckeltyper Hantera organisationens efterlevnadskrav genom att begränsa de nyckeltyper som tillåts för certifikat. audit, deny, disabled 2.0.1
Certifikat som använder kryptografi med ellipskurva bör ha tillåtna kurvanamn Hantera de tillåtna ellipskurvanamnen för ECC-certifikat som lagras i nyckelvalvet. Mer information finns på https://aka.ms/akvpolicy . audit, deny, disabled 2.0.1
Certifikat som använder RSA-kryptografi bör ha den angivna minsta nyckelstorleken Hantera organisationens efterlevnadskrav genom att ange en minsta nyckelstorlek för RSA-certifikat som lagras i nyckelvalvet. audit, deny, disabled 2.0.1
[Förhandsversion]: Konfigurera Azure Key Vault HSM för att inaktivera åtkomst till offentligt nätverk Inaktivera offentlig nätverksåtkomst för din Azure Key Vault Managed HSM så att den inte är tillgänglig via det offentliga Internet. Detta kan minska riskerna för dataläckage. Läs mer på: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm . Ändra, inaktiverad 2.0.0-förhandsversion
[Förhandsversion]: Konfigurera Azure Key Vault HSM med privata slutpunkter Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Key Vault Managed HSM kan du minska riskerna för dataläckage. Läs mer på: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link . DeployIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: Konfigurera Azure Key Vaults för att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha nyckelvalvet. Läs mer på: https://aka.ms/akvprivatelink . DeployIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: Konfigurera Azure Key Vaults med privata slutpunkter Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink . DeployIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: Konfigurera nyckelvalv för att inaktivera offentlig nätverksåtkomst Inaktivera åtkomst till offentligt nätverk för nyckelvalvet så att det inte är tillgängligt via det offentliga Internet. Detta kan minska riskerna för dataläckage. Läs mer på: https://aka.ms/akvprivatelink . Ändra, inaktiverad 1.0.0-förhandsversion
Distribuera – Konfigurera diagnostikinställningar för att Azure Key Vault log Analytics-arbetsyta Distribuerar diagnostikinställningarna för Azure Key Vault att strömma resursloggar till en Log Analytics-arbetsyta när Key Vault som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 1.0.1
Distribuera – Konfigurera diagnostikinställningar till en händelsehubb så att de aktiveras på Azure Key Vault Managed HSM Distribuerar diagnostikinställningarna för Azure Key Vault Managed HSM för att strömma till en regional händelsehubb när en Azure Key Vault Managed HSM som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 1.0.0
Distribuera diagnostikdata Inställningar för Key Vault till Händelsehubb Distribuerar diagnostikinställningarna för Key Vault att strömma till en regional händelsehubb när Key Vault som saknar de här diagnostikinställningarna skapas eller uppdateras. deployIfNotExists 3.0.0
Key Vault-nycklar ska ha ett förfallodatum Kryptografiska nycklar ska ha ett definierat förfallodatum och ska inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Det är en rekommenderad säkerhetspraxis att ange förfallodatum för kryptografiska nycklar. Granska, Neka, Inaktiverad 1.0.2
Key Vault hemligheter ska ha ett förfallodatum Hemligheter ska ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Det är en rekommenderad säkerhetspraxis att ange förfallodatum för hemligheter. Granska, Neka, Inaktiverad 1.0.2
Rensningsskydd ska vara aktiverat för nyckelvalv Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. En illvillig insider i din organisation kan potentiellt ta bort och rensa nyckelvalv. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjukt borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Granska, Neka, Inaktiverad 2.0.0
Mjuk borttagning ska vara aktiverat för nyckelvalv Om du tar bort ett nyckelvalv utan mjuk borttagning aktiverat tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. Granska, Neka, Inaktiverad 2.0.0
Nycklar bör backas upp av en maskinvarusäkerhetsmodul (HSM) En HSM är en maskinvarusäkerhetsmodul som lagrar nycklar. En HSM ger ett fysiskt skyddslager för kryptografiska nycklar. Den kryptografiska nyckeln kan inte lämna en fysisk HSM som ger en högre säkerhetsnivå än en programvarunyckel. Granska, Neka, Inaktiverad 1.0.1
Nycklarna ska vara den angivna kryptografiska typen RSA eller EC Vissa program kräver användning av nycklar som backas upp av en specifik kryptografisk typ. Framtvinga en viss typ av kryptografinyckel, RSA eller EC, i din miljö. Granska, Neka, Inaktiverad 1.0.1
Nycklar bör ha mer än det angivna antalet dagar innan de upphör att gälla Om en nyckel är för nära förfallotid kan en organisationsfördröjning för att rotera nyckeln resultera i ett avbrott. Nycklarna ska roteras vid ett angivet antal dagar innan de upphör att gälla för att ge tillräckligt med tid för att reagera på ett fel. Granska, Neka, Inaktiverad 1.0.1
Nycklarna ska ha den angivna maximala giltighetsperioden Hantera organisationens efterlevnadskrav genom att ange den maximala tid i dagar som en nyckel kan vara giltig i ditt nyckelvalv. Granska, Neka, Inaktiverad 1.0.1
Nycklar bör inte vara aktiva längre än det angivna antalet dagar Ange hur många dagar en nyckel ska vara aktiv. Nycklar som används under en längre tidsperiod ökar sannolikheten för att en angripare kan kompromettera nyckeln. Som en bra säkerhetspraxis bör du se till att dina nycklar inte har varit aktiva längre än två år. Granska, Neka, Inaktiverad 1.0.1
Nycklar som använder kryptografi med ellipskurvan ska ha de angivna kurvans namn Nycklar som backas upp av kryptografi med ellipskurva kan ha olika kurvanamn. Vissa program är endast kompatibla med specifika elliptiska kurva-nycklar. Framtvinga de typer av elliptiska kurvanycklar som tillåts skapas i din miljö. Granska, Neka, Inaktiverad 1.0.1
Nycklar som använder RSA-kryptografi bör ha en angiven minsta nyckelstorlek Ange den minsta tillåtna nyckelstorleken för användning med dina nyckelvalv. Att använda RSA-nycklar med små nyckelstorlekar är inte en säker metod och uppfyller inte många branschcertifieringskrav. Granska, Neka, Inaktiverad 1.0.1
[Förhandsversion]: Privat slutpunkt ska konfigureras för Key Vault Private Link är ett sätt att ansluta Key Vault till dina Azure-resurser utan att skicka trafik via det offentliga Internet. Private Link ger skydd på djupet mot data exfiltrering. Granska, Neka, Inaktiverad 1.1.0-förhandsversion
Resursloggar i Azure Key Vault Managed HSM ska vara aktiverade Om du vill återskapa aktivitetsloggar i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket har komprometterats, kan du granska genom att aktivera resursloggar på hanterade HSM:er. Följ anvisningarna här: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging . AuditIfNotExists, Disabled 1.0.0
Resursloggar i Key Vault ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket har komprometterats AuditIfNotExists, Disabled 5.0.0
Hemligheter ska ha innehållstypsuppsättning En innehållstypstagg hjälper dig att identifiera om en hemlighet är ett lösenord, en anslutningssträng osv. Olika hemligheter har olika rotationskrav. Tagg för innehållstyp ska anges för hemligheter. Granska, Neka, Inaktiverad 1.0.1
Hemligheter bör ha mer än det angivna antalet dagar innan de upphör att gälla Om en hemlighet är för nära förfallodatum kan en organisationsfördröjning för att rotera hemligheten resultera i ett avbrott. Hemligheter bör roteras vid ett angivet antal dagar innan de upphör att gälla för att ge tillräckligt med tid för att reagera på ett fel. Granska, Neka, Inaktiverad 1.0.1
Hemligheter ska ha den angivna maximala giltighetsperioden Hantera organisationens efterlevnadskrav genom att ange den maximala tid i dagar som en hemlighet kan vara giltig i ditt nyckelvalv. Granska, Neka, Inaktiverad 1.0.1
Hemligheter bör inte vara aktiva längre än det angivna antalet dagar Om dina hemligheter har skapats med ett aktiveringsdatum som angetts i framtiden måste du se till att dina hemligheter inte har varit aktiva längre än den angivna varaktigheten. Granska, Neka, Inaktiverad 1.0.1

Kubernetes

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
[Förhandsversion]: Azure Arc aktiverat Kubernetes-kluster ska Azure Defender har installerats Azure Defender tillägget för Azure Arc skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från noder i klustret och skickar dem till Azure Defender för Kubernetes i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arc . AuditIfNotExists, Disabled 4.0.0-förhandsversion
[Förhandsversion]: Azure Arc aktiverade Kubernetes-kluster ska ha Azure Policy installerat Tillägget Azure Policy för Azure Arc tillhandahåller skalningsåtgärder och skydd i stor skala på dina Arc-aktiverade Kubernetes-kluster på ett centraliserat, konsekvent sätt. Läs mer på https://aka.ms/akspolicydoc . AuditIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: Azure Kubernetes Service ska ha Defender-profil aktiverad Microsoft Defender for Containers tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner som miljöhärdning, arbetsbelastningsskydd och körningsskydd. När du aktiverar SecurityProfile.AzureDefender Azure Kubernetes Service klustret distribueras en agent till klustret för att samla in säkerhetshändelsedata. Läs mer om Microsoft Defender för containrar i https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-introduction Granska, inaktiverad 1.0.1-förhandsversion
Azure Kubernetes Service ska ha lokala autentiseringsmetoder inaktiverade Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att Azure Kubernetes Service kluster endast kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/aks-disable-local-accounts . Granska, Neka, Inaktiverad 1.0.0
Azure Kubernetes Service privata kluster ska vara aktiverade Aktivera funktionen för privat kluster för ditt Azure Kubernetes Service för att säkerställa att nätverkstrafiken mellan API-servern och dina nodpooler endast finns kvar i det privata nätverket. Detta är ett vanligt krav i många standarder för regelefterlevnad och branschefterlevnad. Granska, Neka, Inaktiverad 1.0.0
Azure Policy för Kubernetes Service (AKS) ska installeras och aktiveras i dina kluster Azure Policy-tillägget för Kubernetes Service (AKS) utökar Gatekeeper v3, en webhook för antagningskontrollant för Open Policy Agent (OPA), för att tillämpa tvingande åtgärder i stor skala på dina kluster på ett centraliserat, konsekvent sätt. Granska, inaktiverad 1.0.2
Både operativsystem och datadiskar i Azure Kubernetes Service ska krypteras med kund hanterade nycklar Kryptering av operativsystem och datadiskar med kund hanterade nycklar ger mer kontroll och större flexibilitet i nyckelhantering. Detta är ett vanligt krav i många standarder för regelefterlevnad och branschefterlevnad. Granska, Neka, Inaktiverad 1.0.0
Konfigurera AAD integrerade Azure Kubernetes Service-kluster med nödvändig administratörsgruppåtkomst Se till att förbättra klustersäkerheten genom att centralt styra administratörsåtkomsten Azure Active Directory integrerade AKS-kluster. DeployIfNotExists, Disabled 1.0.0
[Förhandsversion]: Konfigurera Azure Arc Kubernetes-kluster för att Azure Defender installera tillägget Azure Defender tillägget för Azure Arc skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arc . DeployIfNotExists, Disabled 3.0.0-förhandsversion
[Förhandsversion]: Konfigurera Azure Arc Kubernetes-kluster för att installera Azure Policy tillägget Distribuera Azure Policy tillägget för Azure Arc att tillhandahålla skalningsåtgärder och skydda dina Arc-aktiverade Kubernetes-kluster på ett centraliserat, konsekvent sätt. Läs mer på https://aka.ms/akspolicydoc . DeployIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: Konfigurera Azure Kubernetes Service för att aktivera Defender-profilen Microsoft Defender for Containers tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner som miljöhärdning, arbetsbelastningsskydd och körningsskydd. När du aktiverar SecurityProfile.AzureDefender Azure Kubernetes Service klustret distribueras en agent till klustret för att samla in säkerhetshändelsedata. Läs mer om Microsoft Defender for Containers: https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-introduction . DeployIfNotExists, Disabled 1.1.0-förhandsversion
Konfigurera Kubernetes-kluster med angiven GitOps-konfiguration med hjälp av HTTPS-hemligheter Distribuera en "sourceControlConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade git-lagringsplatsen. Den här definitionen kräver HTTPS-användar- och nyckelhemligheter som lagras Key Vault. Anvisningar finns i https://aka.ms/K8sGitOpsPolicy . deployIfNotExists, auditIfNotExists, disabled 1.0.1
Konfigurera Kubernetes-kluster med angiven GitOps-konfiguration utan hemligheter Distribuera en "sourceControlConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade git-lagringsplatsen. Den här definitionen kräver inga hemligheter. Anvisningar finns i https://aka.ms/K8sGitOpsPolicy . deployIfNotExists, auditIfNotExists, disabled 1.0.0
Konfigurera Kubernetes-kluster med angiven GitOps-konfiguration med hjälp av SSH-hemligheter Distribuera en "sourceControlConfiguration" till Kubernetes-kluster för att säkerställa att klustren får sin sanningskälla för arbetsbelastningar och konfigurationer från den definierade git-lagringsplatsen. Den här definitionen kräver en hemlighet för privat SSH-nyckel i Key Vault. Anvisningar finns i https://aka.ms/K8sGitOpsPolicy . deployIfNotExists, auditIfNotExists, disabled 1.0.1
Distribuera – Konfigurera diagnostikinställningar för att Azure Kubernetes Service log Analytics-arbetsyta Distribuerar diagnostikinställningarna för att Azure Kubernetes Service strömma resursloggar till en Log Analytics-arbetsyta. DeployIfNotExists, Disabled 1.0.0
Distribuera Azure Policy-tillägg till Azure Kubernetes Service kluster Använd Azure Policy-tillägg för att hantera och rapportera om kompatibilitetstillståndet för dina Azure Kubernetes Service-kluster (AKS). Mer information finns i https://aka.ms/akspolicydoc. DeployIfNotExists, Disabled 3.0.0
Kubernetes-klustercontainrarnas processor- och minnesresursgränser får inte överskrida de angivna gränserna Framtvinga gränser för containerns PROCESSOR- och minnesresurser för att förhindra attacker med resursbelastning i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsgranskning för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 7.0.1
Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde Blockera poddcontainrar från att dela värdprocessens ID-namnrymd och värdens IPC-namnområde i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.2 och CIS 5.2.3 som är avsedda att förbättra säkerheten för dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsgranskning för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 3.0.2
Kubernetes-klustercontainrar bör inte använda förbjudna sysctl-gränssnitt Containrar får inte använda förbjudna sysctl-gränssnitt i ett Kubernetes-kluster. Den här rekommendationen är en del av poddsäkerhetsprinciper som är avsedda att förbättra säkerheten för dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsgranskning för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 4.0.2
Kubernetes-klustercontainrar bör endast lyssna på tillåtna portar Begränsa containrar så att de endast lyssnar på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsgranskning för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 6.1.2
Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler Containrar bör endast använda tillåtna AppArmor-profiler i ett Kubernetes-kluster. Den här rekommendationen är en del av poddsäkerhetsprinciper som är avsedda att förbättra säkerheten för dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsgranskning för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 4.0.2
Kubernetes-klustercontainrar bör endast använda tillåtna funktioner Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten för dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 4.0.2
Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar Använd avbildningar från betrodda register för att minska Kubernetes-klustrets exponeringsrisk för okända säkerhetsrisker, säkerhetsproblem och skadliga bilder. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 7.0.4
Kubernetes-klustercontainrar bör endast använda tillåten ProcMountType Poddcontainrar kan bara använda tillåtna ProcMountTypes i ett Kubernetes-kluster. Den här rekommendationen är en del av poddsäkerhetsprinciper som är avsedda att förbättra säkerheten för dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 5.0.2
Kubernetes-klustercontainrar bör endast använda tillåtna seccomp-profiler Poddcontainrar kan bara använda tillåtna seccomp-profiler i ett Kubernetes-kluster. Den här rekommendationen är en del av poddsäkerhetsprinciper som är avsedda att förbättra säkerheten för dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 4.0.2
Kubernetes-klustercontainrar bör köras med ett skrivskyddade rotfilsystem Kör containrar med ett skrivskyddad rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 4.0.2
FlexVolume-volymer i Kubernetes-klusterpodden bör endast använda tillåtna drivrutiner FlexVolume-volymer i poddar bör endast använda tillåtna drivrutiner i ett Kubernetes-kluster. Den här rekommendationen är en del av poddsäkerhetsprinciper som är avsedda att förbättra säkerheten för dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 3.0.2
Värdsökvägar för Kubernetes-klusterpoddar bör endast använda tillåtna värdsökvägar Begränsa podd-HostPath-volymmonteringar till tillåtna värdsökvägar i ett Kubernetes-kluster. Den här rekommendationen är en del av poddsäkerhetsprinciper som är avsedda att förbättra säkerheten för dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 4.0.2
Kubernetes-klusterpoddar och containrar bör endast köras med godkända användar- och grupp-ID:er Kontrollera de användar-, primärgrupps-, tilläggsgrupps- och filsystemgrupps-ID:er som poddar och containrar kan använda för att köra i ett Kubernetes-kluster. Den här rekommendationen är en del av poddsäkerhetsprinciper som är avsedda att förbättra säkerheten för dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 4.0.3
Kubernetes-klusterpoddar och containrar bör endast använda tillåtna SELinux-alternativ Poddar och containrar bör endast använda tillåtna SELinux-alternativ i ett Kubernetes-kluster. Den här rekommendationen är en del av poddsäkerhetsprinciper som är avsedda att förbättra säkerheten för dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 4.0.2
Kubernetes-klusterpoddar bör endast använda tillåtna volymtyper Poddar kan bara använda tillåtna volymtyper i ett Kubernetes-kluster. Den här rekommendationen är en del av poddsäkerhetsprinciper som är avsedda att förbättra säkerheten för dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 3.0.2
Kubernetes-klusterpoddar bör endast använda godkända värdnätverk och portintervall Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten för dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 4.0.2
Kubernetes-klusterpoddar bör använda angivna etiketter Använd angivna etiketter för att identifiera poddar i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 6.0.1
Kubernetes-klustertjänster bör endast lyssna på tillåtna portar Begränsa tjänster så att de endast lyssnar på tillåtna portar för säker åtkomst till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 6.1.2
Kubernetes-klustertjänster bör endast använda tillåtna externa IP-adresser Använd tillåtna externa IP-adresser för att undvika potentiella attacker (CVE-2020-8554) i ett Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 3.0.2
Kubernetes-kluster bör inte tillåta privilegierade containrar Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten för dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 7.0.1
Kubernetes-kluster bör endast vara tillgängliga via HTTPS Användning av HTTPS garanterar autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för AKS Engine och Azure Arc aktiverat Kubernetes. Mer information finns på https://aka.ms/kubepolicydoc audit, deny, disabled 6.0.1
Kubernetes-kluster bör inaktivera autentiseringsuppgifter för API:et automounting Inaktivera autentiseringsuppgifter för API:et automounting för att förhindra att en potentiellt komprometterad poddresurs kör API-kommandon mot Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 2.0.2
[Förhandsversion]: Kubernetes-kluster bör skydda distributionen av sårbara avbildningar Skydda dina Kubernetes-kluster och containerarbetsbelastningar från potentiella hot genom att begränsa distributionen av containeravbildningar med sårbara programvarukomponenter. Använd Azure Defender CI/CD-genomsökning ( ) och Azure Defender för containerregister ( ) för att identifiera och korrigera https://aka.ms/AzureDefenderCICDscanninghttps://aka.ms/AzureDefenderForContainerRegistries sårbarheter före distributionen. Utvärderingsförutsättning: Princip addon Azure Defender profil. Gäller endast för kunder med privat förhandsversion. Granska, Neka, Inaktiverad 1.0.2-förhandsversion
Kubernetes-kluster bör inte tillåta privilegieeskalering i containrar Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten för dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 4.0.1
Kubernetes-kluster bör inte tillåta slutpunktsredigeringsbehörigheter för ClusterRole/system:aggregate-to-edit ClusterRole/system:aggregate-to-edit bör inte tillåta slutpunktsredigeringsbehörigheter på grund av CVE-2021-25740, Endpoint EndpointSlice-behörigheter tillåter vidarebefordran mellan & namnområden, https://github.com/kubernetes/kubernetes/issues/103675 . Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för AKS-motorn och Azure Arc aktiverat Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. Granska, inaktiverad 1.0.1
Kubernetes-kluster bör inte CAP_SYS_ADMIN säkerhetsfunktioner Du kan minska risken för angrepp på dina containrar genom CAP_SYS_ADMIN Linux-funktioner. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 3.0.2
Kubernetes-kluster bör inte använda specifika säkerhetsfunktioner Förhindra specifika säkerhetsfunktioner i Kubernetes-kluster för att förhindra obehöriga privilegier på poddresursen. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 3.0.2
Kubernetes-kluster bör inte använda standardnamnrymden Förhindra användning av standardnamnrymden i Kubernetes-kluster för att skydda mot obehörig åtkomst för resurstyperna ConfigMap, Pod, Secret, Service och ServiceAccount. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 2.1.2
Kubernetes-kluster bör använda interna lastbalanserare Använd interna lastbalanserare för att göra en Kubernetes-tjänst tillgänglig endast för program som körs i samma virtuella nätverk som Kubernetes-klustret. Mer information finns i https://aka.ms/kubepolicydoc. audit, deny, disabled 6.0.1
Resursloggar i Azure Kubernetes Service ska vara aktiverade Azure Kubernetes Service resursloggar kan hjälpa dig att återskapa aktivitetsloggar när du undersöker säkerhetsincidenter. Aktivera det för att se till att loggarna finns när det behövs AuditIfNotExists, inaktiverad 1.0.0
Temporära diskar och cacheminnen för agentnodpooler i Azure Kubernetes Service ska krypteras på värden För att förbättra datasäkerheten bör de data som lagras på den virtuella datorns (VM) värd för dina virtuella Azure Kubernetes Service-noder krypteras i vila. Detta är ett vanligt krav i många standarder för regelefterlevnad och branschefterlevnad. Granska, Neka, Inaktiverad 1.0.0

Lighthouse

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Tillåt att hantering av klientorganisations-ID:n publiceras Azure Lighthouse Att Azure Lighthouse delegeringar till specifika hanteringsklienter ökar säkerheten genom att begränsa de som kan hantera dina Azure-resurser. Förneka 1.0.1
Granska delegering av omfång till en hanterande klientorganisation Granska delegering av omfång till en hanterande klient via Azure Lighthouse. Granska, inaktiverad 1.0.0

Logic Apps

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Logic Apps Integration Service Environment krypteras med kund hanterade nycklar Distribuera till Integration Service Environment för att hantera kryptering i vila Logic Apps data med kundhanterade nycklar. Som standard krypteras kunddata med tjänst hanterade nycklar, men kund hanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kund hanterade nycklar gör att data kan krypteras med en Azure Key Vault som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Granska, Neka, Inaktiverad 1.0.0
Logic Apps bör distribueras till Integration Service Environment Distribution Logic Apps till Integration Service Environment i ett virtuellt nätverk låser upp avancerade Logic Apps-nätverks- och säkerhetsfunktioner och ger dig större kontroll över din nätverkskonfiguration. Läs mer på: https://aka.ms/integration-service-environment . Distribution till Integration Service Environment också kryptering med kundhanterade nycklar som ger förbättrat dataskydd genom att du kan hantera dina krypteringsnycklar. Detta är ofta för att uppfylla efterlevnadskrav. Granska, Neka, Inaktiverad 1.0.0
Resursloggar i Logic Apps ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket har komprometterats AuditIfNotExists, inaktiverad 5.0.0

Machine Learning

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Granska Azure Machine Learning beräkningskluster och instanser ligger bakom det virtuella nätverket Azure Virtual Network-distributionen ger förbättrad säkerhet och isolering för dina Azure Machine Learning Compute-kluster och -instanser, samt undernät, principer för åtkomstkontroll och andra funktioner för att ytterligare begränsa åtkomsten. När am Azure Machine Learning Compute-instansen har konfigurerats med ett virtuellt nätverk är den inte offentligt adresserbar och kan bara nås från virtuella datorer och program i det virtuella nätverket. Granska, inaktiverad 1.0.0
Azure Machine Learning bör krypteras med en kund hanterad nyckel Hantera kryptering i vila Azure Machine Learning arbetsytedata med kundhanterade nycklar. Som standard krypteras kunddata med tjänst hanterade nycklar, men kund hanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kund hanterade nycklar gör att data kan krypteras med en Azure Key Vault som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/azureml-workspaces-cmk . Granska, Neka, Inaktiverad 1.0.3
Azure Machine Learning bör inaktivera offentlig nätverksåtkomst Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att maskininlärningsarbetsytorna inte exponeras på det offentliga Internet. Du kan begränsa exponeringen för dina arbetsytor genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/privateendpoints . Granska, Neka, Inaktiverad 1.0.0
Azure Machine Learning arbetsytor ska använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter Azure Machine Learning arbetsytor minskar risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link . Granska, Neka, Inaktiverad 1.1.0
Azure Machine Learning arbetsytor ska använda användar tilldelad hanterad identitet Hantera åtkomst till Azure ML-arbetsyta och associerade resurser, Azure Container Registry, KeyVault, Storage och App Insights med hjälp av användar tilldelad hanterad identitet. Som standard används system tilldelad hanterad identitet av Azure ML för att få åtkomst till de associerade resurserna. Med användartilldelning av hanterad identitet kan du skapa identiteten som en Azure-resurs och upprätthålla identitetens livscykel. Läs mer på https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python . Granska, Neka, Inaktiverad 1.0.0
[Förhandsversion]: Konfigurera tillåtna modulförfattare för Azure Machine Learning beräkningar Ange tillåtna modulförfattare i Azure Machine Learning beräkningar och kan tilldelas på arbetsytan. Mer information finns i https://aka.ms/amlpolicydoc . enforceSetting, inaktiverad 3.0.0-preview
[Förhandsversion]: Konfigurera tillåtna Python-paket för Azure Machine Learning beräkningar Ange tillåtna Python-paket i Azure Machine Learning beräkningar och kan tilldelas på arbetsytan. Mer information finns i https://aka.ms/amlpolicydoc . enforceSetting, inaktiverad 3.0.0-preview
[Förhandsversion]: Konfigurera tillåtna register för angivna Azure Machine Learning beräkningar Ange register som tillåts i angivna Azure Machine Learning beräkningar och som kan tilldelas på arbetsytan. Mer information finns i https://aka.ms/amlpolicydoc . enforceSetting, inaktiverad 3.0.0-preview
[Förhandsversion]: Konfigurera en slutpunkt för godkännande som anropas innan jobb körs för Azure Machine Learning beräkningar Konfigurera en slutpunkt för godkännande som anropas innan jobb körs för Azure Machine Learning beräkningar och kan tilldelas på arbetsytan. Mer information. Mer information finns i https://aka.ms/amlpolicydoc . enforceSetting, inaktiverad 3.0.0-preview
Konfigurera Azure Machine Learning för att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha Azure Machine Learning arbetsytor. Läs mer på: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview . DeployIfNotExists, Disabled 1.0.0
Konfigurera Azure Machine Learning arbetsytor för att inaktivera åtkomst till offentligt nätverk Inaktivera offentlig nätverksåtkomst för Azure Machine Learning arbetsytor så att dina arbetsytor inte är tillgängliga via det offentliga Internet. Detta hjälper till att skydda arbetsytorna mot dataläckagerisker. Du kan begränsa exponeringen för dina maskininlärningsarbetsytor genom att skapa privata slutpunkter i stället. Läs mer på: https://aka.ms/privateendpoints . Ändra, inaktiverad 1.0.0
Konfigurera Azure Machine Learning arbetsytor med privata slutpunkter Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Machine Learning arbetsyta kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link . DeployIfNotExists, Disabled 1.0.0
[Förhandsversion]: Konfigurera kodsignering för träningskod för angivna Azure Machine Learning beräkningar Ange kodsignering för träningskod i angivna Azure Machine Learning beräkningar och kan tilldelas på arbetsytan. Mer information finns i https://aka.ms/amlpolicydoc . enforceSetting, inaktiverad 3.1.0-förhandsversion
[Förhandsversion]: Konfigurera loggfilteruttryck och datalager som ska användas för fullständiga loggar för Azure Machine Learning beräkningar Ange loggfilteruttryck och datalager som ska användas för fullständiga loggar i Azure Machine Learning beräkningar och som kan tilldelas på arbetsytan. Mer information finns i https://aka.ms/amlpolicydoc . enforceSetting, inaktiverad 3.0.0-preview
Konfigurera Machine Learning för att inaktivera lokala autentiseringsmetoder Inaktivera metoder för platsautentisering så att Machine Learning beräkningar kräver Azure Active Directory identiteter exklusivt för autentisering. Läs mer på: https://aka.ms/azure-ml-aad-policy . Ändra, inaktiverad 1.0.0
Machine Learning bör ha lokala autentiseringsmetoder inaktiverade Inaktivering av lokala autentiseringsmetoder förbättrar säkerheten genom att säkerställa Machine Learning beräkningar kräver Azure Active Directory identiteter exklusivt för autentisering. Läs mer på: https://aka.ms/azure-ml-aad-policy . Granska, Neka, Inaktiverad 1.0.0

Hanterat program

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Programdefinitionen för hanterat program bör använda det kundtilldeerade lagringskontot Använd ditt eget lagringskonto för att kontrollera programdefinitionsdata när detta är ett regel- eller efterlevnadskrav. Du kan välja att lagra definitionen för det hanterade programmet i ett lagringskonto som du angav när du skapade det, så att dess plats och åtkomst kan hanteras fullständigt av dig för att uppfylla regelefterlevnadskraven. audit, deny, disabled 1.0.0
Distribuera associationer för ett hanterat program Distribuerar en associationsresurs som associerar valda resurstyper med det angivna hanterade programmet. Den här principdistributionen stöder inte kapslade resurstyper. deployIfNotExists 1.0.0

Media Services

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure Media Services bör inaktivera offentlig nätverksåtkomst Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att Media Services resurser inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen för Media Services resurser. Läs mer på: https://aka.ms/mediaservicesprivatelinkdocs . Granska, Neka, Inaktiverad 1.0.0
Azure Media Services-konton ska använda ett API som stöder Private Link Media Services-konton ska skapas med ett API som stöder private link. Granska, Neka, Inaktiverad 1.0.0
Azure Media Services-konton som tillåter åtkomst till det äldre v2-API:et ska blockeras Det Media Services äldre v2-API:et tillåter begäranden som inte kan hanteras med hjälp av Azure Policy. Media Services resurser som skapats med API:et 2020-05-01 eller senare blockerar åtkomsten till det äldre v2-API:et. Granska, Neka, Inaktiverad 1.0.0
Azure Media Services principer för innehållsnyckel bör använda tokenautentisering Innehållsnyckelprinciper definierar de villkor som måste uppfyllas för att komma åt innehållsnycklar. En tokenbegränsning säkerställer att innehållsnycklar endast kan nås av användare som har giltiga token från en autentiseringstjänst, till exempel Azure Active Directory. Granska, Neka, Inaktiverad 1.0.0
Azure Media Services jobb med HTTPS-indata bör begränsa indata-URI:er till tillåtna URI-mönster Begränsa HTTPS-indata som används Media Services jobb till kända slutpunkter. Indata från HTTPS-slutpunkter kan inaktiveras helt och hållet genom att ange en tom lista över tillåtna jobbindatamönster. När jobbindata anger en "baseUri" matchas mönstren mot det här värdet. När "baseUri" inte har angetts matchas mönstret mot egenskapen "files". Neka, inaktiverad 1.0.1
Azure Media Services använda kund hanterade nycklar för att kryptera vilodata Använd kundhanterade nycklar för att hantera krypteringen i vila av dina Media Services konton. Som standard krypteras kunddata med tjänst hanterade nycklar, men kund hanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kund hanterade nycklar gör att data kan krypteras med en Azure Key Vault som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/mediaservicescmkdocs . Granska, Neka, Inaktiverad 1.0.0
Azure Media Services bör använda private link Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Media Services kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://aka.ms/mediaservicesprivatelinkdocs . AuditIfNotExists, inaktiverad 1.0.0
Konfigurera Azure Media Services att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha Media Services konto. Läs mer på: https://aka.ms/mediaservicesprivatelinkdocs . DeployIfNotExists, Disabled 1.0.0
Konfigurera Azure Media Services med privata slutpunkter Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Media Services kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://aka.ms/mediaservicesprivatelinkdocs . DeployIfNotExists, Disabled 1.0.0

Migrera

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Konfigurera Azure Migrate att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha Azure Migrate projekt. Läs mer på: https://aka.ms/privatednszone . DeployIfNotExists, Disabled 1.0.0

Övervakning

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Aktivitetsloggen ska behållas i minst ett år Den här principen granskar aktivitetsloggen om kvarhållningen inte har angetts för 365 dagar eller för alltid (kvarhållningsdagar har angetts till 0). AuditIfNotExists, inaktiverad 1.0.0
Det bör finnas en aktivitetsloggavisering för specifika administrativa åtgärder Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. AuditIfNotExists, inaktiverad 1.0.0
Det bör finnas en aktivitetsloggavisering för specifika principåtgärder Den här principen granskar specifika principåtgärder utan konfigurerade aktivitetsloggaviseringar. AuditIfNotExists, inaktiverad 3.0.0
Det bör finnas en aktivitetsloggavisering för specifika säkerhetsåtgärder Den här principen granskar specifika säkerhetsåtgärder utan konfigurerade aktivitetsloggaviseringar. AuditIfNotExists, inaktiverad 1.0.0
Program Insights ska blockera logginmatning och frågor från offentliga nätverk Förbättra programsäkerhet Insights genom att blockera logginmatning och frågor från offentliga nätverk. Endast privata länkanslutna nätverk kan mata in och fråga loggar för den här komponenten. Läs mer på https://aka.ms/AzMonPrivateLink#configure-application-insights . audit, deny, disabled 1.0.0
Program Insights ska blockera icke-Azure Active Directory inmatning. Framtvinga logginmatning för att kräva Azure Active Directory-autentisering förhindrar oautentisering av loggar från en angripare, vilket kan leda till felaktig status, falska aviseringar och felaktiga loggar som lagras i systemet. Neka, granska, inaktiverad 1.0.0
Program Insights-komponenter med Private Link aktiverat bör använda Bring Your Own Storage-konton för profilerare och felsökare. Skapa ett eget lagringskonto för profilerare och felsökare för att stödja principer för privat länk och kund hanterad nyckel. Läs mer i https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage Neka, granska, inaktiverad 1.0.0
Granska diagnostikinställning Granska diagnostikinställning för valda resurstyper AuditIfNotExists 1.0.0
Azure Log Search-aviseringar via Log Analytics-arbetsytor bör använda kundhanteringsnycklar Se till att Azure Log Search-aviseringar implementerar kundhanteringsnycklar genom att lagra frågetexten med hjälp av det lagringskonto som kunden har angett för den efterfrågade Log Analytics-arbetsytan. Mer information finns i https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview . Granska, Inaktiverad, Neka 1.0.0
Azure Monitor bör samla in loggar för kategorierna "skriva", "ta bort" och "åtgärd" Den här principen säkerställer att en loggprofil samlar in loggar för kategorierna "skriva", "ta bort" och "åtgärd" AuditIfNotExists, inaktiverad 1.0.0
Azure Monitor loggar ska skapas med infrastrukturkryptering aktiverat (dubbel kryptering) För att säkerställa att säker datakryptering är aktiverat på tjänstnivå och infrastrukturnivå med två olika krypteringsalgoritmer och två olika nycklar använder du ett Azure Monitor dedikerat kluster. Det här alternativet är aktiverat som standard när det stöds i regionen, se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview . audit, deny, disabled 1.0.0
Azure Monitor-loggkluster ska krypteras med kund hanterad nyckel Skapa Azure Monitor-loggar med kryptering av kund hanterade nycklar. Som standard krypteras loggdata med tjänst hanterade nycklar, men kund hanterade nycklar krävs ofta för att uppfylla regelefterlevnad. Kund hanterad nyckel i Azure Monitor ger dig mer kontroll över åtkomsten till dina data, se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys . audit, deny, disabled 1.0.0
Azure Monitor loggar för program Insights ska länkas till en Log Analytics-arbetsyta Länka komponenten Application Insights till en Log Analytics-arbetsyta för kryptering av loggar. Kund hanterade nycklar krävs ofta för att uppfylla regelefterlevnad och för mer kontroll över åtkomsten till dina data i Azure Monitor. Om du länkar komponenten till en Log Analytics-arbetsyta som är aktiverad med en kund hanterad nyckel ser du till att dina programloggar Insights uppfyller det här efterlevnadskravet. Se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys . audit, deny, disabled 1.0.0
Azure Monitor Private Link Omfång ska blockera åtkomst till icke-privata länkresurser Azure Private Link kan du ansluta dina virtuella nätverk till Azure-resurser via en privat slutpunkt till ett AZURE MONITOR PRIVATE LINK-omfång (AMPLS). Private Link åtkomstlägen anges på din AMPLS för att styra om inmatnings- och frågebegäranden från dina nätverk kan nå alla resurser eller bara Private Link resurser (för att förhindra data exfiltrering). Läs mer om privata länkar på: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open . Granska, Neka, Inaktiverad 1.0.0
Azure Monitor Private Link ska använda private link Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Monitor Omfång för privata länkar kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security . AuditIfNotExists, inaktiverad 1.0.0
Azure Monitor bör samla in aktivitetsloggar från alla regioner Den här principen granskar Azure Monitor som inte exporterar aktiviteter från alla Azure-regioner som stöds, inklusive globala. AuditIfNotExists, inaktiverad 2.0.0
Azure Monitor "Säkerhet och granskning" måste distribueras Den här principen säkerställer Säkerhet och granskning distribueras. AuditIfNotExists, inaktiverad 1.0.0
Azure-prenumerationer ska ha en loggprofil för aktivitetsloggen Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om det inte finns någon loggprofil som skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. AuditIfNotExists, inaktiverad 1.0.0
Konfigurera Azure-aktivitetsloggar för att strömma till angiven Log Analytics-arbetsyta Distribuerar diagnostikinställningarna för Azure-aktivitet för att strömma prenumerationers granskningsloggar till en Log Analytics-arbetsyta för att övervaka händelser på prenumerationsnivå DeployIfNotExists, Disabled 1.0.0
Konfigurera Azure Application Insights komponenter för att inaktivera offentlig nätverksåtkomst för logginmatning och frågor Inaktivera komponenter logga inmatning och frågor från offentliga nätverk åtkomst för att förbättra säkerheten. Endast privata länkanslutna nätverk kan mata in och fråga loggar på den här arbetsytan. Läs mer på https://aka.ms/AzMonPrivateLink#configure-application-insights . Ändra, inaktiverad 1.1.0
Konfigurera Azure Log Analytics-arbetsytor för att inaktivera offentlig nätverksåtkomst för logginmatning och frågor Förbättra säkerheten för arbetsytan genom att blockera logginmatning och frågor från offentliga nätverk. Endast privata länkanslutna nätverk kan mata in och fråga loggar på den här arbetsytan. Läs mer på https://aka.ms/AzMonPrivateLink#configure-log-analytics . Ändra, inaktiverad 1.1.0
Konfigurera Azure Monitor Private Link för att blockera åtkomst till icke-privata länkresurser Azure Private Link kan du ansluta dina virtuella nätverk till Azure-resurser via en privat slutpunkt till ett AZURE MONITOR PRIVATE LINK-omfång (AMPLS). Private Link åtkomstlägen anges på din AMPLS för att styra om inmatnings- och frågebegäranden från dina nätverk kan nå alla resurser eller bara Private Link resurser (för att förhindra data exfiltrering). Läs mer om privata länkar på: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open . Ändra, inaktiverad 1.0.0
Konfigurera Azure Monitor Private Link omfång för att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha Azure Monitor privata länkomfånget. Läs mer på: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint . DeployIfNotExists, Disabled 1.0.0
Konfigurera Azure Monitor Private Link-omfång med privata slutpunkter Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter Azure Monitor Private Link omfång kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security . DeployIfNotExists, Disabled 1.0.0
Konfigurera beroendeagenten på Azure Arc linux-servrar Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera tillägget för den virtuella datorn Dependency Agent. VM-insikter använder beroendeagenten för att samla in nätverksmått och identifierade data om processer som körs på datorn och externa processberoenden. Se mer – https://aka.ms/vminsightsdocs . DeployIfNotExists, Disabled 2.0.0
Konfigurera beroendeagenten på Azure Arc aktiverade Windows servrar Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera tillägget för den virtuella datorn Dependency Agent. VM-insikter använder beroendeagenten för att samla in nätverksmått och identifierade data om processer som körs på datorn och externa processberoenden. Se mer – https://aka.ms/vminsightsdocs . DeployIfNotExists, Disabled 2.0.0
Konfigurera Linux Arc-datorer att köra Azure Monitor Agent Automatisera distributionen av Azure Monitor Agent på dina Linux Arc-datorer för att samla in telemetridata från gästoperativsystemet. Den här principen installerar tillägget om regionen stöds. Läs mer: https://aka.ms/AMAOverview . DeployIfNotExists, Disabled 1.0.0
Konfigurera Linux-datorer så att de associeras med en regel för datainsamling Distribuera en regelassociatisering för datainsamling för att länka en virtuell Linux-dator, VM-skalningsuppsättning eller Arc-dator till den angivna datainsamlingsregeln. Listan över platser och OS-avbildningar uppdateras med tiden när stödet ökar. DeployIfNotExists, Disabled 2.0.0
Konfigurera skalningsuppsättningar för virtuella Linux-datorer så att de Azure Monitor Agent Automatisera distributionen av Azure Monitor agenttillägget på dina VM-skalningsuppsättningar för Linux för att samla in telemetridata från gästoperativsystemet. Den här principen installerar tillägget om operativsystemet och regionen stöds och den system tilldelade hanterade identiteten är aktiverad och hoppar över installationen annars. Läs mer: https://aka.ms/AMAOverview . DeployIfNotExists, Disabled 1.0.0
Konfigurera virtuella Linux-datorer att köra Azure Monitor Agent Automatisera distributionen av Azure Monitor Agent på dina virtuella Linux-datorer för att samla in telemetridata från gästoperativsystemet. Den här principen installerar tillägget om operativsystemet och regionen stöds och den system tilldelade hanterade identiteten är aktiverad och hoppar över installationen annars. Läs mer: https://aka.ms/AMAOverview . DeployIfNotExists, Disabled 1.1.0
Konfigurera Log Analytics-tillägg på Azure Arc linux-servrar Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera log analytics-tillägget för virtuella datorer. VM-insikter använder Log Analytics-agenten för att samla in prestandadata för gästoperativsystem och ger insikter om deras prestanda. Se mer – https://aka.ms/vminsightsdocs . DeployIfNotExists, Disabled 2.0.1
Konfigurera Log Analytics-tillägg på Azure Arc aktiverade Windows servrar Aktivera VM-insikter på servrar och datorer som är anslutna till Azure via Arc-aktiverade servrar genom att installera log analytics-tillägget för virtuella datorer. VM-insikter använder Log Analytics-agenten för att samla in prestandadata för gästoperativsystem och ger insikter om deras prestanda. Se mer – https://aka.ms/vminsightsdocs . DeployIfNotExists, Disabled 2.0.1
Konfigurera Log Analytics-arbetsyta och Automation-konto för att centralisera loggar och övervakning Distribuera en resursgrupp som innehåller Log Analytics-arbetsytan och ett länkat Automation-konto för att centralisera loggar och övervakning. Automation-kontot är enförberedd plats för lösningar som uppdateringar och Ändringsspårning. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
[Förhandsversion]: Konfigurera systemtilldelning av hanterad identitet för att Azure Monitor tilldelningar på virtuella datorer Konfigurera system tilldelad hanterad identitet till virtuella datorer i Azure som stöds av Azure Monitor och som inte har en system tilldelad hanterad identitet. En system tilldelad hanterad identitet är en förutsättning för alla Azure Monitor tilldelningar och måste läggas till i datorer innan du använder Azure Monitor tillägg. Virtuella måldatorer måste finnas på en plats som stöds. Ändra, inaktiverad 4.0.0-preview
Konfigurera Windows Arc-datorer att köra Azure Monitor Agent Automatisera distributionen av Azure Monitor Agent-tillägget på dina Windows Arc-datorer för att samla in telemetridata från gästoperativsystemet. Den här principen installerar tillägget om operativsystemet och regionen stöds och den system tilldelade hanterade identiteten är aktiverad och hoppar över installationen annars. Läs mer: https://aka.ms/AMAOverview . DeployIfNotExists, Disabled 1.0.0
Konfigurera Windows datorer som ska associeras med en regel för datainsamling Distribuera Association för att länka Windows virtuella datorer till den angivna datainsamlingsregeln. Listan över OS-avbildningar uppdateras med tiden när stödet ökar. DeployIfNotExists, Disabled 1.0.1
Konfigurera Windows VM-skalningsuppsättningar för att köra Azure Monitor Agent Automatisera distributionen av Azure Monitor Agent-tillägget på din Windows vm-skalningsuppsättningar för att samla in telemetridata från gästoperativsystemet. Den här principen installerar tillägget om operativsystemet och regionen stöds och den system tilldelade hanterade identiteten är aktiverad och hoppar över installationen annars. Läs mer: https://aka.ms/AMAOverview . DeployIfNotExists, Disabled 1.0.0
Konfigurera Windows virtuella datorer att köra Azure Monitor Agent Automatisera distributionen av Azure Monitor Agent på dina virtuella Windows för att samla in telemetridata från gästoperativsystemet. Den här principen installerar tillägget om operativsystemet och regionen stöds och den system tilldelade hanterade identiteten är aktiverad och hoppar över installationen annars. Läs mer: https://aka.ms/AMAOverview . DeployIfNotExists, Disabled 2.0.1
Beroendeagenten ska vara aktiverad för avbildningar av virtuella datorer i listan Rapporterar att virtuella datorer är icke-kompatibla om avbildningen av den virtuella datorn inte finns med i listan och agenten inte är installerad. Listan över OS-avbildningar uppdateras med tiden när stödet uppdateras. AuditIfNotExists, Disabled 2.0.0
Beroendeagenten ska vara aktiverad i VM-skalningsuppsättningar för avbildningar av virtuella datorer i listan Rapporterar vm-skalningsuppsättningar som icke-kompatibla om avbildningen av den virtuella datorn inte finns med i listan och agenten inte är installerad. Listan över OS-avbildningar uppdateras med tiden när stödet uppdateras. AuditIfNotExists, Disabled 2.0.0
Distribuera – Konfigurera beroendeagenten så att den aktiveras på Windows VM-skalningsuppsättningar Distribuera beroendeagenten för Windows VM-skalningsuppsättningar om avbildningen av den virtuella datorn finns i listan som definierats och agenten inte är installerad. Om din upgradePolicy för skalningsuppsättningen är inställd på Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att uppdatera dem. DeployIfNotExists, Disabled 2.0.0
Distribuera – Konfigurera beroendeagenten så att den aktiveras på Windows virtuella datorer Distribuera beroendeagenten för Windows virtuella datorer om avbildningen av den virtuella datorn finns i listan som definierats och agenten inte har installerats. DeployIfNotExists, Disabled 2.0.0
Distribuera – Konfigurera diagnostikinställningar till en Log Analytics-arbetsyta som ska aktiveras på Azure Key Vault Managed HSM Distribuerar diagnostikinställningarna för Azure Key Vault Managed HSM för att strömma till en regional Log Analytics-arbetsyta när en Azure Key Vault Managed HSM som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 1.0.0
Distribuera – Konfigurera Log Analytics-tillägget så att det aktiveras Windows skalningsuppsättningar för virtuella datorer Distribuera Log Analytics-tillägget för Windows vm-skalningsuppsättningar om avbildningen av den virtuella datorn finns i listan som definierats och tillägget inte har installerats. Om din upgradePolicy för skalningsuppsättningen är inställd på Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att uppdatera dem. DeployIfNotExists, Disabled 2.0.1
Distribuera – Konfigurera Log Analytics-tillägget så att det aktiveras på Windows virtuella datorer Distribuera Log Analytics-tillägget Windows virtuella datorer om avbildningen av den virtuella datorn finns i listan som definierats och tillägget inte har installerats. DeployIfNotExists, Disabled 2.0.1
Distribuera beroendeagenten för VM-skalningsuppsättningar i Linux Distribuera beroendeagenten för VM-skalningsuppsättningar för Linux om VM-avbildningen (OS) finns i listan som definierats och agenten inte är installerad. Obs! Om din upgradePolicy för skalningsuppsättningen är inställd på Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att anropa uppgradering på dem. I CLI är detta az vmss update-instances. deployIfNotExists 1.3.0
Distribuera beroendeagenten för virtuella Linux-datorer Distribuera beroendeagenten för virtuella Linux-datorer om VM-avbildningen (OS) finns i den definierade listan och agenten inte är installerad. deployIfNotExists 1.3.0
Distribuera diagnostikdata Inställningar Batch-konto till händelsehubb Distribuerar diagnostikinställningarna för Batch-kontot för att strömma till en regional händelsehubb när ett Batch-konto som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 2.0.0
Distribuera diagnostikdata Inställningar Batch-konto till Log Analytics-arbetsyta Distribuerar diagnostikinställningarna för Batch-kontot för att strömma till en regional Log Analytics-arbetsyta när ett Batch-konto som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 1.0.0
Distribuera diagnostikdata Inställningar för Data Lake Analytics till Händelsehubb Distribuerar diagnostikinställningarna för Data Lake Analytics att strömma till en regional händelsehubb när Data Lake Analytics som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 2.0.0
Distribuera diagnostiska Inställningar för Data Lake Analytics till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för Data Lake Analytics att strömma till en regional Log Analytics-arbetsyta när Data Lake Analytics som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 1.0.0
Distribuera Inställningar för Data Lake Storage Gen1 till Event Hub Distribuerar diagnostikinställningarna för Data Lake Storage Gen1 för att strömma till en regional händelsehubb när Data Lake Storage Gen1 som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 2.0.0
Distribuera diagnostikdata Inställningar Data Lake Storage Gen1 till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för Data Lake Storage Gen1 för att strömma till en regional Log Analytics-arbetsyta när Data Lake Storage Gen1 som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 1.0.0
Distribuera Inställningar händelsehubb till händelsehubb Distribuerar diagnostikinställningarna för händelsehubben för att strömma till en regional händelsehubb när en händelsehubb som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 2.1.0
Distribuera diagnostikdata Inställningar Event Hub till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för händelsehubben för att strömma till en regional Log Analytics-arbetsyta när en händelsehubb som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 1.1.0
Distribuera diagnostiska Inställningar för Key Vault till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för Key Vault att strömma till en regional Log Analytics-arbetsyta när Key Vault som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 2.0.0
Distribuera diagnostikdata Inställningar för Logic Apps till Händelsehubb Distribuerar diagnostikinställningarna för Logic Apps att strömma till en regional händelsehubb när Logic Apps som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 2.0.0
Distribuera diagnostiska Inställningar för Logic Apps till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för Logic Apps att strömma till en regional Log Analytics-arbetsyta när Logic Apps som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 1.0.0
Distribuera Inställningar för nätverkssäkerhetsgrupper Den här principen distribuerar automatiskt diagnostikinställningar till nätverkssäkerhetsgrupper. Ett lagringskonto med namnet {storagePrefixParameter}{NSGLocation} skapas automatiskt. deployIfNotExists 2.0.0
Distribuera diagnostikdata Inställningar Search Services till Event Hub Distribuerar diagnostikinställningarna för Söktjänster för att strömma till en regional händelsehubb när alla söktjänster som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 2.0.0
Distribuera diagnostikdata Inställningar Search Services till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för Search Services för att strömma till en regional Log Analytics-arbetsyta när söktjänster som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 1.0.0
Distribuera diagnostikdata Inställningar för Service Bus till Händelsehubb Distribuerar diagnostikinställningarna för Service Bus att strömma till en regional händelsehubb när Service Bus som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 2.0.0
Distribuera diagnostiska Inställningar för Service Bus till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för Service Bus att strömma till en regional Log Analytics-arbetsyta när Service Bus som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 2.0.0
Distribuera diagnostikdata Inställningar för Stream Analytics till Händelsehubb Distribuerar diagnostikinställningarna för Stream Analytics att strömma till en regional händelsehubb när Stream Analytics som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 2.0.0
Distribuera diagnostiska Inställningar för Stream Analytics till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för Stream Analytics att strömma till en regional Log Analytics-arbetsyta när Stream Analytics som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 1.0.0
Distribuera Log Analytics-tillägg för VM-skalningsuppsättningar för Linux Distribuera Log Analytics-tillägget för skalningsuppsättningar för virtuella Linux-datorer om VM-avbildningen (OS) finns i listan och tillägget inte är installerat. Obs! Om din upgradePolicy för skalningsuppsättningen är inställd på Manuell måste du tillämpa tillägget på alla virtuella datorer i uppsättningen genom att anropa uppgradering på dem. I CLI är detta az vmss update-instances. deployIfNotExists 2.0.1
Distribuera Log Analytics-tillägg för virtuella Linux-datorer Distribuera Log Analytics-tillägget för virtuella Linux-datorer om VM-avbildningen (OS) finns i listan och tillägget inte är installerat. deployIfNotExists 2.0.1
Linux Arc-datorer måste ha Azure Monitor Agent installerat Linux Arc-datorer bör övervakas och skyddas via den distribuerade Azure Monitor Agent. Den Azure Monitor agenten samlar in telemetridata från gästoperativsystemet. Den här principen granskar Arc-datorer i regioner som stöds. Läs mer: https://aka.ms/AMAOverview . AuditIfNotExists, Disabled 1.0.0
Skalningsuppsättningar för virtuella Linux-datorer måste ha Azure Monitor agenten installerad Skalningsuppsättningar för virtuella Linux-datorer bör övervakas och skyddas via den distribuerade Azure Monitor Agent. Den Azure Monitor agenten samlar in telemetridata från gästoperativsystemet. Den här principen granskar VM-skalningsuppsättningar med operativsystemavbildningar som stöds i regioner som stöds. Läs mer: https://aka.ms/AMAOverview . AuditIfNotExists, Disabled 1.0.0
Virtuella Linux-datorer måste ha Azure Monitor Agent installerat Virtuella Linux-datorer bör övervakas och skyddas via den distribuerade Azure Monitor Agent. Den Azure Monitor agenten samlar in telemetridata från gästoperativsystemet. Den här principen granskar virtuella datorer med operativsystemavbildningar som stöds i regioner som stöds. Läs mer: https://aka.ms/AMAOverview . AuditIfNotExists, Disabled 1.0.0
[Förhandsversion]: Log Analytics-tillägget ska vara aktiverat för avbildningar av virtuella datorer i listan Rapporterar att virtuella datorer är icke-kompatibla om avbildningen av den virtuella datorn inte finns med i listan och tillägget inte är installerat. AuditIfNotExists, Disabled 2.0.1-förhandsversion
Log Analytics-tillägget ska vara aktiverat i VM-skalningsuppsättningar för avbildningar av virtuella datorer i listan Rapporterar vm-skalningsuppsättningar som icke-kompatibla om avbildningen av den virtuella datorn inte finns med i listan och tillägget inte är installerat. AuditIfNotExists, Disabled 2.0.1
[Förhandsversion]: Log Analytics-tillägget ska installeras på dina Linux Azure Arc datorer Den här principen granskar Linux Azure Arc datorer om Log Analytics-tillägget inte är installerat. AuditIfNotExists, Disabled 1.0.1-förhandsversion
[Förhandsversion]: Log Analytics-tillägget ska installeras på Windows Azure Arc datorer Den här principen Windows Azure Arc datorer om Log Analytics-tillägget inte är installerat. AuditIfNotExists, Disabled 1.0.1-förhandsversion
Log Analytics-arbetsytor bör blockera logginmatning och frågor från offentliga nätverk Förbättra säkerheten för arbetsytan genom att blockera logginmatning och frågor från offentliga nätverk. Endast privata länkanslutna nätverk kan mata in och fråga loggar på den här arbetsytan. Läs mer på https://aka.ms/AzMonPrivateLink#configure-log-analytics . audit, deny, disabled 1.0.0
Log Analytics-arbetsytor bör blockera icke-Azure Active Directory-baserad inmatning. Tvingande logginmatning för att kräva Azure Active Directory-autentisering förhindrar oautentisering av loggar från en angripare, vilket kan leda till felaktig status, falska aviseringar och felaktiga loggar som lagras i systemet. Neka, granska, inaktiverad 1.0.0
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik ska vara installerad på virtuella Linux-datorer Security Center använder Microsoft Dependency Agent för att samla in data om nätverkstrafik från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner, till exempel trafikvisualisering på nätverkskartan, nätverkshärdningsrekommendationer och specifika nätverkshot. AuditIfNotExists, Disabled 1.0.1-förhandsversion
[Förhandsversion]: Agenten för insamling av nätverkstrafikdata ska installeras på Windows virtuella datorer Security Center använder Microsoft Dependency Agent för att samla in data om nätverkstrafik från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner, till exempel trafikvisualisering på nätverkskartan, nätverkshärdningsrekommendationer och specifika nätverkshot. AuditIfNotExists, Disabled 1.0.1-förhandsversion
Offentliga IP-adresser ska ha resursloggar aktiverade för Azure DDoS Protection Standard Aktivera resursloggar för offentliga IP-adresser i diagnostikinställningar för att strömma till en Log Analytics-arbetsyta. Få detaljerad insyn i attacktrafik och åtgärder som vidtas för att minimera DDoS-attacker via meddelanden, rapporter och flödesloggar. AuditIfNotExists, DeployIfNotExists, Disabled 1.0.0
Sparade frågor i Azure Monitor i kundens lagringskonto för kryptering av loggar Länka lagringskontot till Log Analytics-arbetsytan för att skydda sparade frågor med kryptering av lagringskonto. Kund hanterade nycklar krävs ofta för att uppfylla regelefterlevnad och för att få mer kontroll över åtkomsten till dina sparade frågor i Azure Monitor. Mer information om ovanstående finns i https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries . audit, deny, disabled 1.0.0
Storage-konto som innehåller containern med aktivitetsloggar måste krypteras med BYOK Den här principen granskar om Storage som innehåller containern med aktivitetsloggar krypteras med BYOK. Principen fungerar bara om lagringskontot finns i samma prenumeration som aktivitetsloggar. Mer information om Azure Storage kryptering i vila finns https://aka.ms/azurestoragebyok här. AuditIfNotExists, Disabled 1.0.0
Log Analytics-tillägget ska installeras på Virtual Machine Scale Sets Den här principen granskar alla Windows/Linux Virtual Machine Scale Sets om Log Analytics-tillägget inte är installerat. AuditIfNotExists, Disabled 1.0.1
Virtuella datorer ska anslutas till en angiven arbetsyta Rapporterar virtuella datorer som icke-kompatibla om de inte loggas till Log Analytics-arbetsytan som anges i princip-/initiativtilldelningen. AuditIfNotExists, inaktiverad 1.1.0
Log Analytics-tillägget ska vara installerat på virtuella datorer Den här principen granskar alla Windows/Linux-datorer om Log Analytics-tillägget inte är installerat. AuditIfNotExists, inaktiverad 1.0.1
Windows Arc-datorer måste ha Azure Monitor Agent installerat Windows Arc-datorer ska övervakas och skyddas via den distribuerade Azure Monitor Agent. Agenten Azure Monitor samlar in telemetridata från gästoperativsystemet. Windows Arc-datorer i regioner som stöds övervakas för Azure Monitor agentdistribution. Läs mer: https://aka.ms/AMAOverview . AuditIfNotExists, inaktiverad 1.0.0
Windows VM-skalningsuppsättningar bör ha Azure Monitor agenten installerad Windows vm-skalningsuppsättningar ska övervakas och skyddas via den distribuerade Azure Monitor Agent. Agenten Azure Monitor samlar in telemetridata från gästoperativsystemet. VM-skalningsuppsättningar med operativsystem som stöds och i regioner som stöds övervakas för Azure Monitor agentdistribution. Läs mer: https://aka.ms/AMAOverview . AuditIfNotExists, inaktiverad 1.0.0
Windows virtuella datorer måste ha Azure Monitor agenten installerad Windows virtuella datorer ska övervakas och skyddas via den distribuerade Azure Monitor Agent. Agenten Azure Monitor samlar in telemetridata från gästoperativsystemet. Windows virtuella datorer med operativsystem som stöds och i regioner som stöds övervakas för Azure Monitor agentdistribution. Läs mer: https://aka.ms/AMAOverview . AuditIfNotExists, inaktiverad 1.0.0
Arbetsböcker ska sparas till lagringskonton som du styr Med BYOS (Bring Your Own Storage) laddas dina arbetsböcker upp till ett lagringskonto som du styr. Det innebär att du styr krypteringsprincipen för vila, principen för livslängdshantering och nätverksåtkomst. Du kommer dock att ansvara för de kostnader som är kopplade till det lagringskontot. Mer information finns på https://aka.ms/workbooksByos neka, granska, inaktiverad 1.0.0

Nätverk

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
En anpassad IPsec/IKE-princip måste tillämpas på alla anslutningar för virtuella Azure-nätverksgatewayer Den här principen säkerställer att alla anslutningar för virtuella Azure-nätverksgatewayer använder en anpassad princip Internet Protocol Security(Ipsec)/Internet Key Exchange (IKE). Algoritmer och viktiga styrkor som stöds – https://aka.ms/AA62kb0 Granska, inaktiverad 1.0.0
[Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds AuditIfNotExists, inaktiverad 3.0.0-preview
App Service bör använda en tjänstslutpunkt för virtuellt nätverk Den här principen granskar alla App Service inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. AuditIfNotExists, inaktiverad 1.0.0
Azure VPN-gatewayer bör inte använda "grundläggande" SKU Den här principen säkerställer att VPN-gatewayer inte använder "grundläggande" SKU. Granska, inaktiverad 1.0.0
Azure Web Application Firewall ska aktiveras Azure Front Door för startpunkter Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga kryphål och sårbarheter som SQL-ktioner, skriptkörning över flera webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra HTTP-parametrar via anpassade regler. Granska, Neka, Inaktiverad 1.0.2
Konfigurera diagnostikinställningar för Azure-nätverkssäkerhetsgrupper till Log Analytics-arbetsyta Distribuera diagnostikinställningar till Azure-nätverkssäkerhetsgrupper för att strömma resursloggar till en Log Analytics-arbetsyta. DeployIfNotExists, Disabled 1.0.0
Konfigurera nätverkssäkerhetsgrupper för att aktivera trafikanalys Trafikanalys kan aktiveras för alla nätverkssäkerhetsgrupper som finns i en viss region med de inställningar som angavs när principen skapades. Om trafikanalys redan är aktiverat skriver inte principen över dess inställningar. Flow-loggar är också aktiverade för nätverkssäkerhetsgrupper som inte har det. Trafikanalys är en molnbaserad lösning som ger insyn i användar- och programaktivitet i molnnätverk. DeployIfNotExists, Disabled 1.0.1
Konfigurera nätverkssäkerhetsgrupper för att använda en specifik arbetsyta för trafikanalys Om trafikanalys redan är aktiverat skriver principen över de befintliga inställningarna med de som angavs när principen skapades. Trafikanalys är en molnbaserad lösning som ger insyn i användar- och programaktivitet i molnnätverk. DeployIfNotExists, Disabled 1.0.1
[Förhandsversion]: Container Registry bör använda en tjänstslutpunkt för virtuellt nätverk Den här principen granskar alla Container Registry inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. Granska, inaktiverad 1.0.0-preview
Cosmos DB bör använda en tjänstslutpunkt för virtuellt nätverk Den här principen granskar alla Cosmos DB inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. Granska, inaktiverad 1.0.0
Distribuera en flödesloggresurs med målnätverkssäkerhetsgrupp Konfigurerar flödesloggen för en specifik nätverkssäkerhetsgrupp. Det gör det möjligt att logga information om IP-trafik som flödar genom en nätverkssäkerhetsgrupp. Flow hjälper till att identifiera okänd eller oönskad trafik, verifiera nätverksisolering och efterlevnad av åtkomstregler för företag, analysera nätverksflöden från komprometterade IP-adresser och nätverksgränssnitt. deployIfNotExists 1.0.1
Distribuera Network Watcher när virtuella nätverk skapas Den här principen skapar en nätverks bevakarresurs i regioner med virtuella nätverk. Du måste se till att det finns en resursgrupp med namnet networkWatcherRG, som används för att distribuera Network Watcher-instanser. DeployIfNotExists 1.0.0
Händelsehubben bör använda en tjänstslutpunkt för virtuellt nätverk Den här principen granskar händelsehubben som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. AuditIfNotExists, inaktiverad 1.0.0
Flow ska konfigureras för varje nätverkssäkerhetsgrupp Granska nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar genom nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. Granska, inaktiverad 1.1.0
Flow ska aktiveras för varje nätverkssäkerhetsgrupp Granska flödesloggresurser för att kontrollera om flödesloggens status är aktiverad. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar genom nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. Granska, inaktiverad 1.0.0
Gateway-undernät bör inte konfigureras med en nätverkssäkerhetsgrupp Den här principen nekar om ett gateway-undernät har konfigurerats med en nätverkssäkerhetsgrupp. Om du tilldelar en nätverkssäkerhetsgrupp till ett gateway-undernät slutar gatewayen att fungera. Förneka 1.0.0
Key Vault bör använda en tjänstslutpunkt för virtuellt nätverk Den här principen granskar alla Key Vault inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. Granska, inaktiverad 1.0.0
Nätverksgränssnitt ska inaktivera IP-vidare vidarebefordran Den här principen nekar nätverksgränssnitten som aktiverade IP-vidarebefordran. Inställningen för IP-vidarebefordran inaktiverar Azures kontroll av källan och målet för ett nätverksgränssnitt. Detta bör granskas av nätverkssäkerhetsteamet. Förneka 1.0.0
Nätverksgränssnitt bör inte ha offentliga IP-adresser Den här principen nekar nätverksgränssnitt som är konfigurerade med alla offentliga IP-adresser. Offentliga IP-adresser gör det möjligt för Internet-resurser att kommunicera ingående till Azure-resurser och Azure-resurser att kommunicera utgående till Internet. Detta bör granskas av nätverkssäkerhetsteamet. Förneka 1.0.0
Network Watcher ska ha trafikanalys aktiverat Trafikanalys analyserar Network Watcher flödesloggar för nätverkssäkerhetsgruppen för att ge insikter om trafikflödet i ditt Azure-moln. Den kan användas för att visualisera nätverksaktivitet i dina Azure-prenumerationer och identifiera hotpunkter, identifiera säkerhetshot, förstå trafikflödesmönster, hitta felkonfigurationer i nätverk med mera. Granska, inaktiverad 1.0.0
Network Watcher ska vara aktiverat Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksnivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från början till slut. Du måste ha en network watcher-resursgrupp som ska skapas i varje region där det finns ett virtuellt nätverk. En avisering aktiveras om en network watcher-resursgrupp inte är tillgänglig i en viss region. AuditIfNotExists, inaktiverad 3.0.0
SQL Server bör använda en tjänstslutpunkt för virtuellt nätverk Den här principen granskar alla SQL Server inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. AuditIfNotExists, inaktiverad 1.0.0
Storage-konton ska använda en tjänstslutpunkt för virtuellt nätverk Den här principen granskar alla Storage-konto som inte har konfigurerats för att använda en tjänstslutpunkt för virtuellt nätverk. Granska, inaktiverad 1.0.0
Virtuella datorer ska anslutas till ett godkänt virtuellt nätverk Den här principen granskar alla virtuella datorer som är anslutna till ett virtuellt nätverk som inte är godkända. Granska, Neka, Inaktiverad 1.0.0
Virtuella nätverk bör skyddas av Azure DDoS Protection Standard Skydda dina virtuella nätverk mot volym- och protokollattacker med Azure DDoS Protection Standard. Mer information finns i https://aka.ms/ddosprotectiondocs . Ändra, Granska, Inaktiverad 1.0.0
Virtuella nätverk bör använda en angiven virtuell nätverksgateway Den här principen granskar alla virtuella nätverk om standardvägen inte pekar på den angivna virtuella nätverksgatewayen. AuditIfNotExists, inaktiverad 1.0.0
VPN-gatewayer bör endast Azure Active Directory autentisering (Azure AD) för punkt-till-plats-användare Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att vpn-gatewayer endast använder Azure Active Directory-identiteter för autentisering. Läs mer om Azure AD-autentisering på https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant Granska, Neka, Inaktiverad 1.0.0
Web Application Firewall (WAF) ska vara aktiverat för Application Gateway Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga kryphål och sårbarheter som SQL-kryphål, skriptkörning över flera webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra HTTP-parametrar via anpassade regler. Granska, Neka, Inaktiverad 2.0.0
Web Application Firewall (WAF) ska använda det angivna läget för Application Gateway Uppmanar användning av läget "Identifiering" eller "Skydd" att vara aktivt i alla Web Application Firewall för Application Gateway. Granska, Neka, Inaktiverad 1.0.0
Web Application Firewall (WAF) ska använda det angivna läget för Azure Front Door Service Uppmanar användning av läget "Identifiering" eller "Skydd" att vara aktivt i alla Web Application Firewall för Azure Front Door Service. Granska, Neka, Inaktiverad 1.0.0

Portalen

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Delade instrumentpaneler bör inte ha markdown-paneler med infogade innehåll Du får inte skapa en delad instrumentpanel som har infogade innehåll i markdown-paneler och framtvinga att innehållet ska lagras som en markdown-fil som finns online. Om du använder infogade innehåll i Markdown-panelen kan du inte hantera kryptering av innehållet. Genom att konfigurera din egen lagring kan du kryptera, dubbelkryptera och även ta med dina egna nycklar. Om du aktiverar den här principen begränsas användarna till att använda förhandsversionen 2020-09-01 eller senare av delade instrumentpaneler REST API. Granska, Neka, Inaktiverad 1.0.0
Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure Cognitive Search ska använda en SKU som stöder private link Med SKU:er som stöds Azure Cognitive Search kan Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter till tjänsten Search minskar risken för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . Granska, Neka, Inaktiverad 1.0.0
Azure Cognitive Search bör inaktivera offentlig nätverksåtkomst Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att Azure Cognitive Search tjänsten inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen för dina tjänsten Search. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . Granska, Neka, Inaktiverad 1.0.0
Azure Cognitive Search-tjänster ska ha lokala autentiseringsmetoder inaktiverade Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att Azure Cognitive Search tjänster endast kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/azure-cognitive-search/rbac . Observera att även om parametern inaktivera lokal autentisering fortfarande är i förhandsversion kan neka-effekten för den här principen resultera i begränsade funktioner i Azure Cognitive Search-portalen eftersom vissa funktioner i portalen använder GA-API:et som inte stöder parametern. Granska, Neka, Inaktiverad 1.0.0
Azure Cognitive Search ska använda kund hanterade nycklar för att kryptera vilodata Aktivering av kryptering i vila med hjälp av en kund hanterad nyckel på dina Azure Cognitive Search-tjänster ger ytterligare kontroll över den nyckel som används för att kryptera vilodata. Den här funktionen gäller ofta för kunder med särskilda efterlevnadskrav för att hantera datakrypteringsnycklar med hjälp av ett nyckelvalv. Granska, Neka, Inaktiverad 1.0.0
Azure Cognitive Search ska använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter till Azure Cognitive Search minskar dataläckageriskerna. Läs mer om privata länkar på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . Granska, inaktiverad 1.0.0
Konfigurera Azure Cognitive Search tjänster för att inaktivera lokal autentisering Inaktivera lokala autentiseringsmetoder så att dina Azure Cognitive Search endast kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/azure-cognitive-search/rbac . Ändra, inaktiverad 1.0.0
Konfigurera Azure Cognitive Search tjänster för att inaktivera offentlig nätverksåtkomst Inaktivera offentlig nätverksåtkomst för din Azure Cognitive Search så att den inte är tillgänglig via det offentliga Internet. Detta kan minska riskerna för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . Ändra, inaktiverad 1.0.0
Konfigurera Azure Cognitive Search att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha Azure Cognitive Search tjänsten. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . DeployIfNotExists, Disabled 1.0.0
Konfigurera Azure Cognitive Search-tjänster med privata slutpunkter Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Cognitive Search-tjänsten kan du minska riskerna för dataläckage. Läs mer på: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . DeployIfNotExists, Disabled 1.0.0
Resursloggar i Söktjänster ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket har komprometterats AuditIfNotExists, Disabled 5.0.0

Security Center

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Högst 3 ägare bör anges för din prenumeration Vi rekommenderar att du utser upp till tre prenumerationsägare för att minska risken för intrång av en komprometterad ägare. AuditIfNotExists, Disabled 3.0.0
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig del av varje cyberrisk och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Center standardprisnivån omfattar sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. AuditIfNotExists, Disabled 3.0.0
Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer Aktivera programkontroller för att definiera listan över kända säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla regler använder Security Center maskininlärning för att analysera programmen som körs på varje dator och föreslår en lista över kända säkra program. AuditIfNotExists, Disabled 3.0.0
Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på Internetuppspelade virtuella datorer Azure Security Center analyserar trafikmönstren för Internetuppspelade virtuella datorer och tillhandahåller regelrekommendationer för nätverkssäkerhetsgruppen som minskar risken för angrepp AuditIfNotExists, Disabled 3.0.0
Alla nätverksportar ska vara begränsade till nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av dina nätverkssäkerhetsgruppers regler för inkommande är för tillåtande. Regler för inkommande trafik ska inte tillåta åtkomst från alla intervall eller Internetintervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
Allowlist-regler i din anpassningsbara programkontrollprincip bör uppdateras Övervaka ändringar i beteende för grupper av datorer som konfigurerats för granskning Azure Security Center av de anpassningsbara programkontrollerna. Security Center använder maskininlärning för att analysera processer som körs på dina datorer och föreslår en lista över kända säkra program. Dessa visas som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. AuditIfNotExists, inaktiverad 3.0.0
Auktoriserade IP-intervall ska definieras på Kubernetes Services Begränsa åtkomsten till Kubernetes-Service Management-API genom att endast bevilja API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall så att endast program från tillåtna nätverk kan komma åt klustret. Granska, inaktiverad 2.0.1
Automatisk etablering av Log Analytics-agenten ska aktiveras i din prenumeration Om du vill övervaka säkerhetsproblem och hot samlar Azure Security Center in data från dina virtuella Azure-datorer. Data samlas in av Log Analytics-agenten, tidigare kallad Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till Log Analytics-arbetsytan för analys. Vi rekommenderar att du aktiverar automatisk etablering för att automatiskt distribuera agenten till alla virtuella Azure-datorer som stöds och eventuella nya som skapas. AuditIfNotExists, inaktiverad 1.0.1
Azure DDoS Protection Standard ska vara aktiverat DDoS-skyddsstandard ska aktiveras för alla virtuella nätverk med ett undernät som är en del av en programgateway med en offentlig IP-adress. AuditIfNotExists, inaktiverad 3.0.0
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och synligheten som Azure har som molnleverantör för att övervaka vanliga webbappattacker. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL innehåller funktioner för att visa och åtgärda potentiella säkerhetsrisker i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för DNS ska vara aktiverat Azure Defender dns ger ett extra skyddslager för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure-resurser. Azure Defender dig om misstänkt aktivitet i DNS-lagret. Läs mer om funktionerna i Azure Defender DNS på https://aka.ms/defender-for-dns . Om du aktiverar Azure Defender plan debiteras du. Läs mer om prisinformationen per region Security Center sidan med priser: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för Key Vault ska vara aktiverat Azure Defender för Key Vault ger ett extra skydds- och säkerhetsintelligenslager genom att upptäcka ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverade Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu . Viktigt! Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen Security Center sidan med priser: https://aka.ms/pricing-security-center AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärder i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar Azure Defender plan debiteras du. Läs mer om prisinformationen per region Security Center sidan med priser: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverade Azure Defender för SQL innehåller funktioner för att visa och åtgärda potentiella säkerhetsrisker i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Storage ska vara aktiverat Azure Defender för Storage identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. AuditIfNotExists, inaktiverad 1.0.3
[Förhandsversion]: Azure Security-agenten ska installeras på dina Linux Arc-datorer Installera Azure Security-agenten på dina Linux Arc-datorer för att övervaka datorernas säkerhetskonfigurationer och säkerhetsrisker. Resultatet av utvärderingarna kan ses och hanteras i Azure Security Center. AuditIfNotExists, inaktiverad 1.0.0-preview
[Förhandsversion]: Azure Security-agenten ska installeras på dina skalningsuppsättningar för virtuella Linux-datorer Installera Azure Security-agenten på dina skalningsuppsättningar för virtuella Linux-datorer för att övervaka datorernas säkerhetskonfigurationer och säkerhetsrisker. Resultatet av utvärderingarna kan ses och hanteras i Azure Security Center. AuditIfNotExists, inaktiverad 1.0.0-preview
[Förhandsversion]: Azure Security-agenten ska vara installerad på dina virtuella Linux-datorer Installera Azure Security-agenten på dina virtuella Linux-datorer för att övervaka datorernas säkerhetskonfigurationer och säkerhetsrisker. Resultatet av utvärderingarna kan ses och hanteras i Azure Security Center. AuditIfNotExists, inaktiverad 1.0.0-preview
[Förhandsversion]: Azure Security-agenten ska installeras på dina Windows Arc-datorer Installera Azure Security-agenten på dina Windows Arc-datorer för att övervaka datorernas säkerhetskonfigurationer och säkerhetsrisker. Resultatet av utvärderingarna kan ses och hanteras i Azure Security Center. AuditIfNotExists, inaktiverad 1.0.0-preview
[Förhandsversion]: Azure Security-agenten ska installeras på Windows vm-skalningsuppsättningar Installera Azure Security-agenten på din Windows VM-skalningsuppsättningar för att övervaka datorernas säkerhetskonfigurationer och säkerhetsrisker. Resultatet av utvärderingarna kan ses och hanteras i Azure Security Center. AuditIfNotExists, inaktiverad 1.0.0-preview
[Förhandsversion]: Azure Security-agenten ska installeras på Windows virtuella datorerna Installera Azure Security-agenten på Windows virtuella datorer för att övervaka datorernas säkerhetskonfigurationer och säkerhetsrisker. Resultatet av utvärderingarna kan ses och hanteras i Azure Security Center. AuditIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: ChangeTracking-tillägget ska vara installerat på din Linux Arc-dator Installera ChangeTracking-tillägget på Linux Arc-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera efter ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. AuditIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: ChangeTracking-tillägget ska vara installerat på din virtuella Linux-dator Installera ChangeTracking-tillägget på virtuella Linux-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera efter ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. AuditIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: ChangeTracking-tillägget ska installeras på dina skalningsuppsättningar för virtuella Linux-datorer Installera ChangeTracking-tillägget på VM-skalningsuppsättningar för Linux för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera efter ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. AuditIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: ChangeTracking-tillägget ska installeras på din Windows Arc-dator Installera ChangeTracking-tillägget Windows Arc-datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera efter ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. AuditIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: ChangeTracking-tillägget ska installeras på Windows virtuella datorn Installera ChangeTracking-tillägget Windows virtuella datorer för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera efter ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. AuditIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: ChangeTracking-tillägget ska installeras på Windows vm-skalningsuppsättningar Installera ChangeTracking-tillägget på Windows vm-skalningsuppsättningar för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera efter ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitoring Agent. AuditIfNotExists, Disabled 1.0.0-förhandsversion
Cloud Services rollinstanser (utökat stöd) bör konfigureras på ett säkert sätt Skydda dina molntjänstrollinstanser (utökat stöd) från attacker genom att se till att de inte avslöjas för os sårbarheter. AuditIfNotExists, Disabled 1.0.0
Cloud Services rollinstanser (utökat stöd) bör ha en endpoint protection-lösning installerad Skydda dina Cloud Services rollinstanser (utökat stöd) mot hot och sårbarheter genom att se till att en lösning för slutpunktsskydd är installerad på dem. AuditIfNotExists, Disabled 1.0.0
Cloud Services rollinstanser (utökat stöd) bör ha systemuppdateringar installerade Skydda dina Cloud Services rollinstanser (utökat stöd) genom att se till att de senaste säkerhets- och kritiska uppdateringarna är installerade på dem. AuditIfNotExists, Disabled 1.0.0
[Förhandsversion]: Konfigurera association för att länka virtuella datorer till standardregeln Azure Security Center datainsamling Konfigurera datorer för att automatiskt skapa en koppling med standardregeln för datainsamling för Azure Security Center. Om du tar bort den här associationen bryts identifieringen av säkerhetsproblem för den här virtuella datorn. Virtuella måldatorer måste finnas på en plats som stöds. DeployIfNotExists, Disabled 1.0.0-förhandsversion
Konfigurera Azure Defender för App Service ska aktiveras Azure Defender för App Service utnyttjar molnets skala och synligheten som Azure har som molnleverantör för att övervaka vanliga webbappattacker. DeployIfNotExists, Disabled 1.0.1
Konfigurera Azure Defender azure SQL-databas ska aktiveras Azure Defender för SQL innehåller funktioner för att visa och åtgärda potentiella säkerhetsrisker i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. DeployIfNotExists, Disabled 1.0.0
Konfigurera Azure Defender dns ska aktiveras Azure Defender för DNS ger ett extra skyddslager för dina molnresurser genom att kontinuerligt övervaka alla DNS-frågor från dina Azure-resurser. Azure Defender aviseringar om misstänkt aktivitet i DNS-lagret. Läs mer om funktionerna i Azure Defender DNS på https://aka.ms/defender-for-dns . Om du aktiverar den Azure Defender-planen debiteras du. Läs mer om prisinformationen per region Security Center sidan med priser: https://aka.ms/pricing-security-center . DeployIfNotExists, Disabled 1.0.1
Konfigurera Azure Defender för att Key Vaults ska aktiveras Azure Defender för Key Vault ger ett extra skydds- och säkerhetsintelligenslager genom att upptäcka ovanliga och potentiellt skadliga försök att komma åt eller utnyttja Key Vault-konton. DeployIfNotExists, Disabled 1.0.1
Konfigurera Azure Defender för relationsdatabaser med öppen källkod som ska aktiveras Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu . Viktigt! Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Lär dig mer om Security Center på sidan med priser: https://aka.ms/pricing-security-center DeployIfNotExists, Disabled 1.0.0
Konfigurera Azure Defender för Resource Manager ska aktiveras Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärder i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den Azure Defender-planen debiteras du. Läs mer om prisinformationen per region Security Center sidan med priser: https://aka.ms/pricing-security-center . DeployIfNotExists, Disabled 1.0.1
Konfigurera Azure Defender för att servrar ska aktiveras Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. DeployIfNotExists, Disabled 1.0.0
[Förhandsversion]: Konfigurera Azure Defender för SQL agent på den virtuella datorn Konfigurera Windows att automatiskt installera Azure Defender för SQL agent där Azure Monitor Agent är installerad. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapar en resursgrupp och En Log Analytics-arbetsyta i samma region som datorn. Virtuella måldatorer måste finnas på en plats som stöds. DeployIfNotExists, Disabled 1.0.0-förhandsversion
Konfigurera Azure Defender för SQL-servrar på datorer som ska aktiveras Azure Defender för SQL innehåller funktioner för att visa och åtgärda potentiella säkerhetsrisker i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser samt identifiering och klassificering av känsliga data. DeployIfNotExists, Disabled 1.0.0
Konfigurera Azure Defender för Storage ska aktiveras Azure Defender för Storage identifieringar av ovanliga och potentiellt skadliga försök att komma åt eller utnyttja lagringskonton. DeployIfNotExists, Disabled 1.0.0
[Förhandsversion]: Konfigurera ChangeTracking-tillägget för Linux Arc-datorer Konfigurera Linux Arc-datorer så att ChangeTracking-tillägget installeras automatiskt för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera efter ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. DeployIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: Konfigurera ChangeTracking-tillägget för skalningsuppsättningar för virtuella Linux-datorer Konfigurera skalningsuppsättningar för virtuella Linux-datorer så att ChangeTracking-tillägget installeras automatiskt för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera efter ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. DeployIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: Konfigurera ChangeTracking-tillägget för virtuella Linux-datorer Konfigurera virtuella Linux-datorer så att ChangeTracking-tillägget installeras automatiskt för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera efter ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. DeployIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: Konfigurera ChangeTracking-tillägget för Windows Arc-datorer Konfigurera Windows Arc-datorer så att ChangeTracking-tillägget installeras automatiskt för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera efter ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. DeployIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: Konfigurera ChangeTracking-tillägget för Windows vm-skalningsuppsättningar Konfigurera Windows vm-skalningsuppsättningar för att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera efter ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. DeployIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: Konfigurera ChangeTracking-tillägget för Windows virtuella datorer Konfigurera Windows virtuella datorer att automatiskt installera ChangeTracking-tillägget för att aktivera övervakning av filintegritet (FIM) i Azure Security Center. FIM undersöker operativsystemfiler, Windows register, programprogramvara, Linux-systemfiler med mera efter ändringar som kan tyda på en attack. Tillägget kan installeras på virtuella datorer och platser som stöds av Azure Monitor Agent. DeployIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: Konfigurera datorer för att automatiskt skapa Azure Security Center pipeline för Azure Monitor Agent Konfigurera datorer för att automatiskt skapa Azure Security Center pipeline för Azure Monitor Agent. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Skapa en resursgrupp och En Log Analytics-arbetsyta i samma region som datorn för att lagra granskningsposter. Virtuella måldatorer måste finnas på en plats som stöds. DeployIfNotExists, Disabled 4.0.0-förhandsversion
[Förhandsversion]: Konfigurera datorer för att ta emot en leverantör av sårbarhetsbedömning Azure Defender omfattar sårbarhetsgenomsökning för dina datorer utan extra kostnad. Du behöver inte en Qualys-licens eller ens ett Qualys-konto – allt hanteras sömlöst i Security Center. När du aktiverar den här Azure Defender distribuerar automatiskt Qualys-sårbarhetsbedömningsprovidern till alla datorer som stöds och som inte redan har den installerad. DeployIfNotExists, Disabled 2.2.0-förhandsversion
Konfigurera Att Microsoft Defender for Containers ska aktiveras Microsoft Defender for Containers tillhandahåller härdning, sårbarhetsbedömning och körningsskydd för Dina Kubernetes-miljöer i Azure, hybridmiljöer och flera moln. DeployIfNotExists, Disabled 1.0.0
[Förhandsversion]: Konfigurera Linux Arc-datorer som stöds för att automatiskt installera Azure Security-agenten Konfigurera Linux Arc-datorer som stöds för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Linux Arc-måldatorer måste finnas på en plats som stöds. DeployIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: Konfigurera vm-skalningsuppsättningar som stöds för Linux så att Azure Security-agenten installeras automatiskt Konfigurera Linux VM-skalningsuppsättningar som stöds för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Virtuella måldatorer måste finnas på en plats som stöds. DeployIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: Konfigurera VM-skalningsuppsättningar som stöds för Linux så att gästatatiseringstillägget installeras automatiskt Konfigurera skalningsuppsättningar för virtuella Linux-datorer som stöds för att automatiskt installera gästatesteringstillägget så att Azure Security Center att proaktivt attestera och övervaka startintegriteten. Startintegritet attesteras via fjärratestering. DeployIfNotExists, Disabled 5.0.0-förhandsversion
[Förhandsversion]: Konfigurera virtuella Linux-datorer som stöds för att automatiskt aktivera säker start Konfigurera virtuella Linux-datorer som stöds för att automatiskt aktivera Säker start för att minimera skadliga och obehöriga ändringar i startkedjan. När den har aktiverats tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. DeployIfNotExists, Disabled 5.0.0-förhandsversion
[Förhandsversion]: Konfigurera virtuella Linux-datorer som stöds för att automatiskt installera Azure Security-agenten Konfigurera virtuella Linux-datorer som stöds för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Virtuella måldatorer måste finnas på en plats som stöds. DeployIfNotExists, Disabled 6.0.0-förhandsversion
[Förhandsversion]: Konfigurera virtuella Linux-datorer som stöds för att automatiskt installera gästatatiseringstillägget Konfigurera virtuella Linux-datorer som stöds för att automatiskt installera gästatesteringstillägget så att Azure Security Center att proaktivt attestera och övervaka startintegriteten. Startintegritet attesteras via fjärratestering. DeployIfNotExists, Disabled 6.0.0-förhandsversion
[Förhandsversion]: Konfigurera virtuella datorer som stöds för att automatiskt aktivera vTPM Konfigurera virtuella datorer som stöds för att automatiskt aktivera vTPM för att underlätta uppmätt start och andra OS-säkerhetsfunktioner som kräver en TPM. När vTPM har aktiverats kan det användas för attestering av startintegriteten. DeployIfNotExists, Disabled 2.0.0-förhandsversion
[Förhandsversion]: Konfigurera stöd för Windows Arc-datorer för att automatiskt installera Azure Security-agenten Konfigurera stöd Windows Arc-datorer så att Azure Security-agenten installeras automatiskt. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Målet Windows Arc-datorer måste finnas på en plats som stöds. DeployIfNotExists, Disabled 1.0.0-preview
[Förhandsversion]: Konfigurera Windows datorer för automatisk installation av Azure Security-agenten Konfigurera Windows datorer som stöds för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Virtuella måldatorer måste finnas på en plats som stöds. DeployIfNotExists, Disabled 4.0.0-preview
[Förhandsversion]: Konfigurera stöd för Windows vm-skalningsuppsättningar för att automatiskt installera Azure Security-agenten Konfigurera stöd Windows vm-skalningsuppsättningar för att automatiskt installera Azure Security-agenten. Security Center samlar in händelser från agenten och använder dem för att tillhandahålla säkerhetsaviseringar och skräddarsydda härdningsuppgifter (rekommendationer). Måldatorn Windows VM-skalningsuppsättningar måste finnas på en plats som stöds. DeployIfNotExists, Disabled 1.0.0-preview
[Förhandsversion]: Konfigurera stödda Windows vm-skalningsuppsättningar för att automatiskt installera gästatatiseringstillägget Konfigurera stöd Windows skalningsuppsättningar för virtuella datorer för att automatiskt installera gästatesteringstillägget så att Azure Security Center proaktivt kan attestera och övervaka startintegriteten. Startintegritet attesteras via fjärratestering. DeployIfNotExists, Disabled 3.0.0-preview
[Förhandsversion]: Konfigurera stöd för Windows virtuella datorer för att automatiskt aktivera säker start Konfigurera stöd Windows virtuella datorer för att automatiskt aktivera säker start för att minimera skadliga och obehöriga ändringar i startkedjan. När den har aktiverats tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. DeployIfNotExists, Disabled 3.0.0-preview
[Förhandsversion]: Konfigurera stöd Windows virtuella datorer för att automatiskt installera gästatatiseringstillägget Konfigurera stöd Windows virtuella datorer för att automatiskt installera gästatesteringstillägget så att Azure Security Center proaktivt kan attestera och övervaka startintegriteten. Startintegritet attesteras via fjärratestering. DeployIfNotExists, Disabled 4.0.0-preview
[Förhandsversion]: Konfigurera virtuella datorer som skapats med Shared Image Gallery-avbildningar för att installera gästatvisningstillägget Konfigurera virtuella datorer som skapats med Shared Image Gallery-avbildningar för att automatiskt installera gästatesteringstillägget så att Azure Security Center proaktivt kan attestera och övervaka startintegriteten. Startintegritet attesteras via fjärratestering. DeployIfNotExists, Disabled 2.0.0-förhandsversion
[Förhandsversion]: Konfigurera VMSS som skapats med Shared Image Gallery-avbildningar för att installera gästatvisningstillägget Konfigurera VMSS som skapats med Shared Image Gallery-avbildningar för att automatiskt installera gästatesteringstillägget så att Azure Security Center proaktivt kan attestera och övervaka startintegriteten. Startintegritet attesteras via fjärratestering. DeployIfNotExists, Disabled 2.0.0-förhandsversion
Distribuera – Konfigurera undertryckningsregler för Azure Security Center aviseringar Förhindra Azure Security Center aviseringar för att minska utmattning av aviseringar genom att distribuera undertryckningsregler i din hanteringsgrupp eller prenumeration. deployIfNotExists 1.0.0
Distribuera export till Event Hub för Azure Security Center data Aktivera export till Händelsehubb för Azure Security Center data. Den här principen distribuerar en export till event hub-konfigurationen med dina villkor och målhändelsehubben i det tilldelade omfånget. Om du vill distribuera den här principen på nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant tilldelning som inte är kompatibel och skapar en reparationsuppgift. deployIfNotExists 4.0.0
Distribuera export till Log Analytics-arbetsyta för Azure Security Center data Aktivera export till Log Analytics-arbetsytan med Azure Security Center data. Den här principen distribuerar en export till Log Analytics-arbetsytekonfigurationen med dina villkor och målarbetsytan i det tilldelade omfånget. Om du vill distribuera den här principen på nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant tilldelning som inte är kompatibel och skapar en reparationsuppgift. deployIfNotExists 4.0.0
Distribuera arbetsflödesautomation för Azure Security Center-aviseringar Aktivera automatisering av Azure Security Center aviseringar. Den här principen distribuerar en arbetsflödesautomation med dina villkor och utlösare för det tilldelade omfånget. Om du vill distribuera den här principen på nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant tilldelning som inte är kompatibel och skapar en reparationsuppgift. deployIfNotExists 4.0.0
Distribuera arbetsflödesautomation för Azure Security Center-rekommendationer Aktivera automatisering av Azure Security Center rekommendationer. Den här principen distribuerar en arbetsflödesautomation med dina villkor och utlösare för det tilldelade omfånget. Om du vill distribuera den här principen på nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant tilldelning som inte är kompatibel och skapar en reparationsuppgift. deployIfNotExists 4.0.0
Distribuera Arbetsflödesautomation för Azure Security Center regelefterlevnad Aktivera automatisering av Azure Security Center regelefterlevnad. Den här principen distribuerar en arbetsflödesautomation med dina villkor och utlösare för det tilldelade omfånget. Om du vill distribuera den här principen på nyligen skapade prenumerationer öppnar du fliken Efterlevnad, väljer relevant tilldelning som inte är kompatibel och skapar en reparationsuppgift. deployIfNotExists 4.0.0
Inaktuella konton bör tas bort från din prenumeration Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 3.0.0
Inaktuella konton med ägarbehörighet ska tas bort från prenumerationen Inaktuella konton med ägarbehörighet bör tas bort från prenumerationen. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 3.0.0
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat För att se till att relevanta personer i din organisation meddelas när det finns en potentiell säkerhetsöverträdelse i någon av dina prenumerationer aktiverar du e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 1.0.1
E-postavisering till prenumerationens ägare om aviseringar med hög allvarlighetsgrad ska vara aktiverat För att se till att prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postmeddelanden till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.0.0
Aktivera Azure Security Center på din prenumeration Identifierar befintliga prenumerationer som inte övervakas av Azure Security Center (ASC). Prenumerationer som inte övervakas av ASC registreras på den kostnadsfria prisnivån. Prenumerationer som redan övervakas av ASC (kostnadsfri eller standard) anses vara kompatibla. Om du vill registrera nyligen skapade prenumerationer öppnar du fliken efterlevnad, väljer relevant icke-kompatibel tilldelning och skapar en reparationsuppgift. Upprepa det här steget när du har en eller flera nya prenumerationer som du vill övervaka med Security Center. deployIfNotExists 1.0.0
Aktivera Security Center automatisk etablering av Log Analytics-agenten i dina prenumerationer med anpassad arbetsyta. Tillåt Security Center att automatiskt etablera Log Analytics-agenten i dina prenumerationer för att övervaka och samla in säkerhetsdata med hjälp av en anpassad arbetsyta. DeployIfNotExists, Disabled 1.0.0
Aktivera Security Center automatisk etablering av Log Analytics-agenten på dina prenumerationer med standardarbetsytan. Tillåt Security Center att automatiskt etablera Log Analytics-agenten i dina prenumerationer för att övervaka och samla in säkerhetsdata med asc-standardarbetsytan. DeployIfNotExists, Disabled 1.0.0
Problem med slutpunktsskyddshälsa bör lösas på dina datorer Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Azure Security Center endpoint protection-lösningar som stöds dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions . Utvärdering av slutpunktsskydd dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection . AuditIfNotExists, Disabled 1.0.0
Endpoint Protection ska installeras på dina datorer Installera en endpoint protection-lösning som stöds för att skydda dina datorer mot hot och sårbarheter. AuditIfNotExists, Disabled 1.0.0
Endpoint Protection-lösningen ska installeras på VM-skalningsuppsättningar Granska förekomsten av och hälsotillståndet för en lösning för slutpunktsskydd på dina virtuella datorers skalningsuppsättningar för att skydda dem mot hot och sårbarheter. AuditIfNotExists, Disabled 3.0.0
Externa konton med ägarbehörighet ska tas bort från prenumerationen Externa konton med ägarbehörighet bör tas bort från prenumerationen för att förhindra oövervakad åtkomst. AuditIfNotExists, Disabled 3.0.0
Externa konton med läsbehörighet ska tas bort från din prenumeration Externa konton med läsbehörighet bör tas bort från prenumerationen för att förhindra oövervakad åtkomst. AuditIfNotExists, Disabled 3.0.0
Externa konton med skrivbehörighet ska tas bort från din prenumeration Externa konton med skrivbehörighet bör tas bort från prenumerationen för att förhindra oövervakad åtkomst. AuditIfNotExists, Disabled 3.0.0
[Förhandsversion]: Gästatatiseringstillägget ska installeras på virtuella Linux-datorer som stöds Installera gästatesteringstillägget på virtuella Linux-datorer som stöds för att Azure Security Center att proaktivt attestera och övervaka startintegriteten. När startintegriteten har installerats kommer den attesteras via fjärratestering. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella Linux-datorer. AuditIfNotExists, Disabled 5.0.0-förhandsversion
[Förhandsversion]: Gästatatiseringstillägget ska installeras på linux-skalningsuppsättningar för virtuella Linux-datorer som stöds Installera gästatesteringstillägget på linux-skalningsuppsättningar för virtuella Linux-datorer som stöds för att Azure Security Center att proaktivt attestera och övervaka startintegriteten. När startintegriteten har installerats kommer den attesteras via fjärratestering. Den här utvärderingen gäller endast skalningsuppsättningar för betrodda startaktiverade virtuella Linux-datorer. AuditIfNotExists, Disabled 4.0.0-förhandsversion
[Förhandsversion]: Gästatatiseringstillägget ska installeras på Windows virtuella datorer Installera gästatesteringstillägget på virtuella datorer som stöds för Azure Security Center att proaktivt attestera och övervaka startintegriteten. När startintegriteten har installerats kommer den attesteras via fjärratestering. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer. AuditIfNotExists, Disabled 3.0.0-förhandsversion
[Förhandsversion]: Gästatatiseringstillägget ska installeras på Windows skalningsuppsättningar för virtuella datorer Installera gästatesteringstillägget på VM-skalningsuppsättningar som stöds för att Azure Security Center att proaktivt attestera och övervaka startintegriteten. När startintegriteten har installerats kommer den attesteras via fjärratestering. Den här utvärderingen gäller endast skalningsuppsättningar för betrodda startaktiverade virtuella datorer. AuditIfNotExists, Disabled 2.0.0-förhandsversion
Gästkonfigurationstillägget ska installeras på dina datorer Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tillägget övervakar omfattar konfiguration av operativsystem, programkonfiguration eller närvaro samt miljöinställningar. När gästprinciperna har installerats blir de tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol . AuditIfNotExists, Disabled 1.0.1
Internetuppriktade virtuella datorer bör skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer mot potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om hur du styr trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
IP-vidarebefordran på den virtuella datorn ska vara inaktiverat Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, Disabled 3.0.0
Kubernetes Services bör uppgraderas till en icke-sårbar Kubernetes-version Uppgradera ditt Kubernetes Service-kluster till en senare Kubernetes-version för att skydda mot kända säkerhetsrisker i din aktuella Kubernetes-version. Vulnerability CVE-2019-9946 har korrigerats i Kubernetes-versionerna 1.11.9+, 1.12.7+, 1.13.5+ och 1.14.0+ Granska, inaktiverad 1.0.2
[Förhandsversion]: Virtuella Linux-datorer bör använda säker start För att skydda mot installation av malware-baserade rootkits och boot kits aktiverar du Säker start på virtuella Linux-datorer som stöds. Säker start säkerställer att endast signerade operativsystem och drivrutiner tillåts att köras. Den här utvärderingen gäller endast för virtuella Linux-datorer som har Azure Monitor Agent installerad. AuditIfNotExists, Disabled 1.0.0-förhandsversion
Log Analytics-agenten bör installeras på dina Cloud Services rollinstanser (utökat stöd) Security Center data från dina rollinstanser Cloud Services (utökat stöd) för att övervaka säkerhetsrisker och hot. AuditIfNotExists, Disabled 2.0.0
Log Analytics-agenten bör installeras på den virtuella datorn för Azure Security Center övervakning Den här principen granskar Windows-/Linux-datorer (VM) om Log Analytics-agenten inte är installerad och Security Center använder för att övervaka säkerhetsproblem och hot AuditIfNotExists, Disabled 1.0.0
Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center övervakning Security Center samlar in data från dina virtuella Azure-datorer för att övervaka säkerhetsproblem och hot. AuditIfNotExists, Disabled 1.0.0
[Förhandsversion]: Datorer bör ha stängda portar som kan exponera attackvektorer Användningsvillkoren för Azure förbjuder användning av Azure-tjänster på sätt som kan skada, inaktivera, överbelasta eller försämra Microsoft-servrar eller nätverk. De exponerade portarna som identifieras i den här rekommendationen måste stängas för din fortsatt säkerhet. För varje identifierad port ger rekommendationen även en förklaring av det potentiella hotet. AuditIfNotExists, Disabled 1.0.0-förhandsversion
Hanteringsportar för virtuella datorer ska skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig JIT-åtkomst (Just-In-Time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, Disabled 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar exponerar den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, Disabled 3.0.0
Multifaktorautentisering bör aktiveras på konton med skrivbehörighet för prenumerationen Multifaktorautentisering (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Disabled 3.0.0
MFA ska vara aktiverat för konton med ägarbehörighet för din prenumeration Multifaktorautentisering (MFA) ska aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Disabled 3.0.0
MFA ska vara aktiverat för konton med läsbehörighet för din prenumeration Multifaktorautentisering (MFA) ska aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, Disabled 3.0.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender for Containers tillhandahåller härdning, sårbarhetsbedömning och körningsskydd för Dina Kubernetes-miljöer i Azure, hybridmiljöer och flera moln. AuditIfNotExists, Disabled 1.0.0
Övervaka saknade Endpoint Protection i Azure Security Center Servrar utan en installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer AuditIfNotExists, Disabled 3.0.0
Virtuella datorer som inte är internetriktade bör skyddas med nätverkssäkerhetsgrupper Skydda dina icke-Internetuppspelade virtuella datorer från potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om hur du styr trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Rollbaserad Access Control (RBAC) ska användas på Kubernetes Services Om du vill ge detaljerad filtrering av de åtgärder som användarna kan utföra kan du använda Role-Based Access Control (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. Granska, inaktiverad 1.0.2
[Förhandsversion]: Säker start ska vara aktiverat på Windows virtuella datorer Aktivera säker start på Windows virtuella datorer för att minimera skadliga och obehöriga ändringar i startkedjan. När den har aktiverats tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. Den här utvärderingen gäller endast för betrodda startaktiverade Windows virtuella datorer. Granska, inaktiverad 3.0.0-förhandsversion
Security Center standardprisnivå ska väljas Standardprisnivån möjliggör hotidentifiering för nätverk och virtuella datorer, med hotinformation, avvikelseidentifiering och beteendeanalys i Azure Security Center Granska, inaktiverad 1.0.0
[Förhandsversion]: Känsliga data i dina SQL databaser ska klassificeras Azure Security Center övervakar dataidentifierings- och klassificeringsgenomsökningsresultaten för dina SQL databaser och ger rekommendationer för att klassificera känsliga data i dina databaser för bättre övervakning och säkerhet AuditIfNotExists, Disabled 3.0.0-förhandsversion
Tjänstens huvudnamn ska användas för att skydda dina prenumerationer i stället för hanteringscertifikat Med hanteringscertifikat kan alla som autentiseras med dem hantera de prenumerationer som de är associerade med. Om du vill hantera prenumerationer säkrare rekommenderar vi att du använder tjänstens huvudnamn Resource Manager att begränsa effekten av ett certifikat som komprometterats. AuditIfNotExists, Disabled 1.0.0
SQL bör ha löst sårbarhetsresultat Övervaka genomsökningsresultat för sårbarhetsbedömning och rekommendationer för hur du åtgärdar sårbarheter i databasen. AuditIfNotExists, Disabled 4.0.0
SQL-servrar på datorer bör ha lösta sårbarhetsresultat SQL sårbarhetsbedömning genomsöker din databas efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felaktiga konfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra din databassäkerhetsstatus. AuditIfNotExists, Disabled 1.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda undernätet mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista Access Control regler för lista (ACL) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, Disabled 3.0.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns en potentiell säkerhetsöverträdelse i en av dina prenumerationer, ställer du in en säkerhetskontakt för att ta emot e-postaviseringar från Security Center. AuditIfNotExists, Disabled 1.0.1
Systemuppdateringar på VM-skalningsuppsättningar ska installeras Granska om det finns några saknade säkerhetsuppdateringar för systemet och viktiga uppdateringar som ska installeras för att säkerställa att dina Windows och Linux VM-skalningsuppsättningar är säkra. AuditIfNotExists, Disabled 3.0.0
Systemuppdateringar ska ha installerats på dina datorer Uppdateringar av säkerhetssystem som saknas på dina servrar övervakas av Azure Security Center som rekommendationer AuditIfNotExists, Disabled 4.0.0
Det bör finnas fler än en ägare tilldelad till din prenumeration Vi rekommenderar att du anger fler än en prenumerationsägare för att få administratörsåtkomstredundans. AuditIfNotExists, Disabled 3.0.0
[Förhandsversion]: Gästatatiseringsstatusen för virtuella datorer ska vara felfri Gästatolk utförs genom att skicka en betrodd logg (TCGLog) till en attestationsserver. Servern använder dessa loggar för att avgöra om startkomponenter är tillförlitliga. Den här utvärderingen är avsedd att identifiera kompromettering av startkedjan som kan vara resultatet av en bootkit eller rootkit-infektion. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer som har gästatatiseringstillägget installerat. AuditIfNotExists, Disabled 1.0.0-förhandsversion
Virtuella datorer bör kryptera temporära diskar, cacheminnen och dataflöden mellan Compute och Storage resurser Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformsbaserade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med hjälp av encryption-at-host eller 2. kryptering på serversidan på Managed Disks uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: , Olika diskkrypteringserbjudanden:https://aka.ms/diskencryptioncomparison AuditIfNotExists, Disabled 2.0.3
Gästkonfigurationstillägget för virtuella datorer ska distribueras med system tilldelad hanterad identitet Gästkonfigurationstillägget kräver en system tilldelad hanterad identitet. Virtuella Azure-datorer i den här principen kommer att vara icke-kompatibla när gästkonfigurationstillägget är installerat men inte har en system tilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1
[Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds Aktivera virtuell TPM-enhet på virtuella datorer som stöds för att underlätta uppmätt start och andra OS-säkerhetsfunktioner som kräver en TPM. När vTPM har aktiverats kan det användas för attestering av startintegriteten. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer. Granska, inaktiverad 2.0.0-förhandsversion
Sårbarheter i Azure Container Registry avbildningar bör åtgärdas Sårbarhetsbedömningen av containeravbildningen söker igenom registret efter säkerhetsrisker på varje push-push-containeravbildning och visar detaljerade resultat för varje avbildning (drivs av Qualys). Genom att lösa säkerhetsriskerna kan du avsevärt förbättra dina containrars säkerhetsposition och skydda dem mot attacker. AuditIfNotExists, Disabled 2.0.0
Sårbarheter i containersäkerhetskonfigurationer bör åtgärdas Granska säkerhetsrisker i säkerhetskonfigurationen på datorer med Docker installerat och visa som rekommendationer i Azure Security Center. AuditIfNotExists, Disabled 3.0.0
Sårbarheter i avbildningar som körs bör åtgärdas Sårbarhetsbedömning av containeravbildningar genomsöker containeravbildningar som körs i kubernetes-kluster efter säkerhetsrisker och visar detaljerade resultat för varje avbildning. Genom att lösa sårbarheterna kan du förbättra dina containrars säkerhetsstatus avsevärt och skydda dem mot attacker AuditIfNotExists, Disabled 1.0.0
Sårbarheter i säkerhetskonfigurationen på dina datorer bör åtgärdas Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer AuditIfNotExists, Disabled 3.0.0
Sårbarheter i säkerhetskonfigurationen på dina VM-skalningsuppsättningar bör åtgärdas Granska säkerhetsproblemen i operativsystemet på dina VM-skalningsuppsättningar för att skydda dem mot attacker. AuditIfNotExists, Disabled 3.0.0

Service Bus

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Alla auktoriseringsregler utom RootManageSharedAccessKey bör tas bort Service Bus från namnområdet Service Bus bör inte använda en åtkomstprincip på namnområdesnivå som ger åtkomst till alla köer och ämnen i ett namnområde. Om du vill anpassa dig till säkerhetsmodellen med minsta behörighet bör du skapa åtkomstprinciper på entitetsnivå för köer och ämnen för att endast ge åtkomst till den specifika entiteten Granska, Neka, Inaktiverad 1.0.1
Azure Service Bus ska ha lokala autentiseringsmetoder inaktiverade Att inaktivera lokala autentiseringsmetoder förbättrar säkerheten genom att säkerställa att Azure Service Bus-namnområden uteslutande kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/disablelocalauth-sb . Granska, Neka, Inaktiverad 1.0.0
Azure Service Bus bör använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter till Service Bus-namnområden minskar risken för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service . AuditIfNotExists, Disabled 1.0.0
Konfigurera Azure Service Bus för att inaktivera lokal autentisering Inaktivera lokala autentiseringsmetoder så att dina Azure ServiceBus-namnområden uteslutande kräver Azure Active Directory identiteter för autentisering. Läs mer på: https://aka.ms/disablelocalauth-sb . Ändra, inaktiverad 1.0.0
Konfigurera Service Bus för att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha Service Bus namnområden. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service . DeployIfNotExists, Disabled 1.0.0
Konfigurera Service Bus med privata slutpunkter Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Service Bus-namnområden kan du minska riskerna för dataläckage. Läs mer på: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service . DeployIfNotExists, Disabled 1.0.0
Resursloggar i Service Bus ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket har komprometterats AuditIfNotExists, Disabled 5.0.0
Service Bus ska ha dubbel kryptering aktiverat Aktivering av dubbel kryptering hjälper till att skydda dina data för att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. När dubbel kryptering har aktiverats krypteras data i lagringskontot två gånger, en gång på tjänstnivå och en gång på infrastrukturnivå, med hjälp av två olika krypteringsalgoritmer och två olika nycklar. Granska, Neka, Inaktiverad 1.0.0
Service Bus Premium bör använda en kund hanterad nyckel för kryptering Azure Service Bus har stöd för alternativet att kryptera vilodata med antingen Microsoft-hanterade nycklar (standard) eller kund hanterade nycklar. Om du väljer att kryptera data med kund hanterade nycklar kan du tilldela, rotera, inaktivera och återkalla åtkomst till de nycklar som Service Bus använder för att kryptera data i namnområdet. Observera att Service Bus endast stöder kryptering med kund-hanterade nycklar för premiumnamnrymder. Granska, inaktiverad 1.0.0

Service Fabric

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Service Fabric kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign Service Fabric ger tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för nod-till-nod-kommunikation med hjälp av ett primärt klustercertifikat. Ange skyddsnivån för att säkerställa att alla nod-till-nod-meddelanden krypteras och signeras digitalt Granska, Neka, Inaktiverad 1.1.0
Service Fabric ska endast använda Azure Active Directory för klientautentisering Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric Granska, Neka, Inaktiverad 1.1.0

SignalR

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure SignalR Service inaktivera offentlig nätverksåtkomst För att förbättra säkerheten för Azure SignalR Service resurs, se till att den inte exponeras för det offentliga Internet och bara kan nås från en privat slutpunkt. Inaktivera egenskapen för offentlig nätverksåtkomst enligt beskrivningen i https://aka.ms/asrs/networkacls . Det här alternativet inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuellt nätverksbaserade brandväggsregler. Detta minskar risken för dataläckage. Granska, Neka, Inaktiverad 1.0.0
Azure SignalR Service ska ha lokala autentiseringsmetoder inaktiverade Om du inaktiverar lokala autentiseringsmetoder förbättras säkerheten genom att Azure SignalR Service kräver Azure Active Directory identiteter för autentisering. Granska, Neka, Inaktiverad 1.0.0
Azure SignalR Service bör använda en Private Link aktiverad SKU Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet, vilket skyddar dina resurser mot risker med offentliga dataläckage. Principen begränsar dig till att Private Link SKU:er för Azure SignalR Service. Läs mer om private link på: https://aka.ms/asrs/privatelink . Granska, Neka, Inaktiverad 1.0.0
Azure SignalR Service bör använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter Azure SignalR Service din resurs i stället för hela tjänsten minskar du risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/asrs/privatelink . Granska, Neka, Inaktiverad 1.0.1
Konfigurera Azure SignalR Service att inaktivera lokal autentisering Inaktivera lokala autentiseringsmetoder så att Azure SignalR Service endast kräver Azure Active Directory identiteter för autentisering. Ändra, inaktiverad 1.0.0
Konfigurera privata slutpunkter för att Azure SignalR Service Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure SignalR Service resurser kan du minska riskerna för dataläckage. Läs mer på https://aka.ms/asrs/privatelink . DeployIfNotExists, Disabled 1.0.0
Distribuera – Konfigurera privata DNS-zoner för privata slutpunkter som ansluter till Azure SignalR Service Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha Azure SignalR Service resurs. Läs mer på: https://aka.ms/asrs/privatelink . DeployIfNotExists, Disabled 1.0.0
Ändra Azure SignalR Service för att inaktivera åtkomst till offentligt nätverk För att förbättra säkerheten för Azure SignalR Service resurs, se till att den inte exponeras för det offentliga Internet och bara kan nås från en privat slutpunkt. Inaktivera egenskapen för offentlig nätverksåtkomst enligt beskrivningen i https://aka.ms/asrs/networkacls . Det här alternativet inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuellt nätverksbaserade brandväggsregler. Detta minskar risken för dataläckage. Ändra, inaktiverad 1.0.0

Site Recovery

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
[Förhandsversion]: Konfigurera Azure Recovery Services-valv till att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Recovery Services-valv. Läs mer på: https://aka.ms/privatednszone . DeployIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: Konfigurera privata slutpunkter i Azure Recovery Services-valv Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till dina Site Recovery-resurser för Recovery Services-valv kan du minska riskerna för dataläckage. Om du vill använda privata länkar måste hanterade tjänstidentiteter tilldelas till Recovery Services-valv. Läs mer om privata länkar på: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints . DeployIfNotExists, Disabled 1.0.0-förhandsversion
[Förhandsversion]: Recovery Services-valv bör använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter till Azure Recovery Services-valv minskar risken för dataläckage. Läs mer om privata länkar för Azure Site Recovery på: https://aka.ms/HybridScenarios-PrivateLink och https://aka.ms/AzureToAzure-PrivateLink . Granska, inaktiverad 1.0.0-förhandsversion

SQL

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
En Azure Active Directory bör etableras för SQL servrar Granska etablering av en Azure Active Directory för din SQL för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster AuditIfNotExists, Disabled 1.0.0
Granskning på SQL-servern ska vara aktiverat Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter i alla databaser på servern och spara dem i en granskningslogg. AuditIfNotExists, Disabled 2.0.0
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL servrar Granska SQL servrar utan Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL hanterade instanser Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, Disabled 1.0.2
Azure SQL Database bör ha Azure Active Directory endast autentisering aktiverad Om du inaktiverar lokala autentiseringsmetoder och endast tillåter Azure Active Directory Authentication förbättras säkerheten genom att se till att Azure SQL Databases endast kan nås av Azure Active Directory identiteter. Läs mer på: aka.ms/adonlycreate. Granska, Neka, Inaktiverad 1.0.0
Azure SQL Database bör ha den lägsta TLS-versionen på 1.2 Genom att ange lägsta TLS-version till 1.2 förbättras säkerheten genom att Azure SQL Database inte kan nås från klienter som använder TLS 1.2. Användning av versioner av TLS som är mindre än 1.2 rekommenderas inte eftersom de har väldokumenterade säkerhetsproblem. Granska, inaktiverad 1.0.1
Endast SQL Azure Azure Active Directory-instans ska ha aktiverats Om du inaktiverar lokala autentiseringsmetoder och endast tillåter Azure Active Directory Authentication förbättras säkerheten genom att se till att Azure SQL Managed Instances endast kan nås av Azure Active Directory identiteter. Läs mer på: aka.ms/adonlycreate. Granska, Neka, Inaktiverad 1.0.0
Konfigurera Advanced Threat Protection så att det aktiveras på Azure Database for MariaDB-servrar Aktivera Advanced Threat Protection på dina Azure Database for MariaDB-servrar på icke-basic-nivå för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. DeployIfNotExists, Disabled 1.0.0
Konfigurera Advanced Threat Protection så att det aktiveras på Azure Database for MySQL-servrar Aktivera Advanced Threat Protection på Azure Database for MySQL-servrar på icke-basic-nivå för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. DeployIfNotExists, Disabled 1.0.0
Konfigurera Advanced Threat Protection så att det aktiveras på Azure Database for PostgreSQL-servrar Aktivera Advanced Threat Protection på Azure Database for PostgreSQL-servrar på icke-Basic-nivå för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. DeployIfNotExists, Disabled 1.0.0
Konfigurera Arc-aktiverade datorer som kör SQL Server ha SQL Server installerat. För att säkerställa att SQL Server – Azure Arc-resurser skapas som standard när SQL Server-instansen hittas på Azure Arc-aktiverad Windows-server bör det senare ha SQL Server-tillägget installerat och serverns hanterade identitet konfigureras med Azure Connected SQL Server Onboarding-rollen DeployIfNotExists, Disabled 2.0.0
Konfigurera Azure Defender aktiveras på SQL hanterade instanser Aktivera Azure Defender på Azure SQL Managed Instances för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. DeployIfNotExists, Disabled 2.0.0
Konfigurera Azure Defender aktiveras på SQL servrar Aktivera Azure Defender på Dina Azure SQL-servrar för att identifiera avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. DeployIfNotExists 2.1.0
Konfigurera diagnostikinställningar för Azure SQL-databasservrar till Log Analytics-arbetsytan Aktiverar granskningsloggar för Azure SQL Database-servern och strömmar loggarna till en Log Analytics-arbetsyta när SQL Server som saknar den här granskningen skapas eller uppdateras DeployIfNotExists, Disabled 1.0.2
Konfigurera Azure SQL Server inaktivera offentlig nätverksåtkomst Om du inaktiverar egenskapen för offentlig nätverksåtkomst stängs den offentliga anslutningen så att Azure SQL Server bara kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar den offentliga nätverksåtkomsten för alla databaser under Azure SQL Server. Ändra, inaktiverad 1.0.0
Konfigurera Azure SQL Server för att aktivera privata slutpunktsanslutningar En privat slutpunktsanslutning möjliggör privat anslutning till Azure SQL Database via en privat IP-adress i ett virtuellt nätverk. Den här konfigurationen förbättrar din säkerhetsstatus och stöder Azure-nätverksverktyg och -scenarier. DeployIfNotExists, Disabled 1.0.0
Konfigurera SQL-servrar så att granskning är aktiverat För att säkerställa att de åtgärder som SQL mot dina resurser SQL bör granskning vara aktiverat på servrarna. Detta krävs ibland för efterlevnad av regelkrav. DeployIfNotExists, Disabled 3.0.0
Anslutningsbegränsning ska vara aktiverat för PostgreSQL-databasservrar Den här principen hjälper till att granska alla PostgreSQL-databaser i din miljö utan att anslutningsbegränsning är aktiverad. Den här inställningen aktiverar tillfällig anslutningsbegränsning per IP vid för många felaktiga inloggningar med ogiltiga lösenord. AuditIfNotExists, Disabled 1.0.0
Distribuera – Konfigurera diagnostikinställningar för SQL databaser till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för SQL för att strömma resursloggar till en Log Analytics-arbetsyta när SQL Database som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 2.0.0
Distribuera Advanced Data Security på SQL servrar Den här principen möjliggör Advanced Data Security på SQL servrar. Detta omfattar att aktivera Hotidentifiering och Sårbarhetsbedömning. Ett lagringskonto skapas automatiskt i samma region och resursgrupp som SQL för att lagra genomsökningsresultat med prefixet "sqlva". DeployIfNotExists 1.2.0
Distribuera diagnostikdata Inställningar för Azure SQL Database till Händelsehubb Distribuerar diagnostikinställningarna för Azure SQL Database att strömma till en regional händelsehubb på valfri Azure SQL Database som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists 1.2.0
Distribuera SQL DB transparent datakryptering Möjliggör transparent datakryptering på SQL databaser DeployIfNotExists 2.0.0
Frånkopplingar ska loggas för PostgreSQL-databasservrar. Den här principen hjälper till att granska alla PostgreSQL-databaser i din miljö utan log_disconnections aktiverat. AuditIfNotExists, Disabled 1.0.0
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar Azure Database for MySQL stöder anslutning av din Azure Database for MySQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Framtvingande av SSL-anslutningar mellan databasservern och klientprogrammen hjälper till att skydda mot man-in-the-middle-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen kräver att SSL alltid är aktiverat för åtkomst till databasservern. Granska, inaktiverad 1.0.1
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar Azure Database for PostgreSQL stöder anslutning av din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Framtvingande av SSL-anslutningar mellan databasservern och klientprogrammen hjälper till att skydda mot man-in-the-middle-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen kräver att SSL alltid är aktiverat för åtkomst till databasservern. Granska, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB Azure Database for MariaDB kan du välja redundansalternativ för databasservern. Den kan ställas in på en geo-redundant lagringsplats för säkerhetskopiering där data inte bara lagras i den region där servern finns, utan även replikeras till en länkad region för att tillhandahålla återställningsalternativ om det uppstår ett regionfel. Konfiguration av geo-redundant lagring för säkerhetskopiering tillåts endast när servern skapas. Granska, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL Azure Database for MySQL kan du välja redundansalternativ för databasservern. Den kan ställas in på en geo-redundant lagringsplats för säkerhetskopiering där data inte bara lagras i den region där servern finns, utan även replikeras till en länkad region för att tillhandahålla återställningsalternativ om det uppstår ett regionfel. Konfiguration av geo-redundant lagring för säkerhetskopiering tillåts endast när servern skapas. Granska, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for PostgreSQL Azure Database for PostgreSQL kan du välja redundansalternativ för databasservern. Den kan ställas in på en geo-redundant lagringsplats för säkerhetskopiering där data inte bara lagras i den region där servern finns, utan även replikeras till en länkad region för att tillhandahålla återställningsalternativ om det uppstår ett regionfel. Konfiguration av geo-redundant lagring för säkerhetskopiering tillåts endast när servern skapas. Granska, inaktiverad 1.0.1
Infrastrukturkryptering ska vara aktiverat för Azure Database for MySQL servrar Aktivera infrastrukturkryptering för Azure Database for MySQL-servrar för att ha högre säkerhetsnivå för att data är säkra. När infrastrukturkryptering är aktiverat krypteras vilodata två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar. Granska, Neka, Inaktiverad 1.0.0
Infrastrukturkryptering ska vara aktiverat för Azure Database for PostgreSQL servrar Aktivera infrastrukturkryptering för Azure Database for PostgreSQL-servrar för att ha högre säkerhetsnivå för att data är säkra. När infrastrukturkryptering är aktiverat krypteras vilodata två gånger med FIPS 140-2-kompatibla Microsoft-hanterade nycklar Granska, Neka, Inaktiverad 1.0.0
Loggkontrollpunkter ska vara aktiverade för PostgreSQL-databasservrar Den här principen hjälper till att granska alla PostgreSQL-databaser i din miljö utan log_checkpoints inställningen aktiverad. AuditIfNotExists, Disabled 1.0.0
Logganslutningar ska vara aktiverade för PostgreSQL-databasservrar Den här principen hjälper till att granska alla PostgreSQL-databaser i din miljö utan log_connections inställningen aktiverad. AuditIfNotExists, Disabled 1.0.0
Loggvaraktighet ska vara aktiverat för PostgreSQL-databasservrar Den här principen hjälper till att granska alla PostgreSQL-databaser i din miljö utan log_duration inställningen aktiverad. AuditIfNotExists, Disabled 1.0.0
Långsiktig geo-redundant säkerhetskopiering ska vara aktiverat för Azure SQL Databaser Den här principen granskar Azure SQL Database med långsiktig geo-redundant säkerhetskopiering inte aktiverad. AuditIfNotExists, Disabled 2.0.0
MariaDB-servern bör använda en tjänstslutpunkt för virtuellt nätverk Brandväggsregler baserade på virtuella nätverk används för att aktivera trafik från ett specifikt undernät till Azure Database for MariaDB samtidigt som trafiken hålls inom Azure-gränsen. Den här principen är ett sätt att granska om Azure Database for MariaDB har tjänstslutpunkt för virtuellt nätverk som används. AuditIfNotExists, Disabled 1.0.2
MySQL-servern bör använda en tjänstslutpunkt för virtuellt nätverk Brandväggsregler baserade på virtuella nätverk används för att aktivera trafik från ett specifikt undernät till Azure Database for MySQL samtidigt som trafiken hålls inom Azure-gränsen. Den här principen är ett sätt att granska om Azure Database for MySQL har tjänstslutpunkt för virtuellt nätverk som används. AuditIfNotExists, Disabled 1.0.2
MySQL-servrar bör använda kund hanterade nycklar för att kryptera vilodata Använd kundhanterade nycklar för att hantera krypteringen i vila av dina MySQL-servrar. Som standard krypteras data i vila med tjänst hanterade nycklar, men kund hanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kund hanterade nycklar gör att data kan krypteras med en Azure Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. AuditIfNotExists, Disabled 1.0.4
PostgreSQL-servern bör använda en tjänstslutpunkt för virtuellt nätverk Brandväggsregler baserade på virtuella nätverk används för att aktivera trafik från ett specifikt undernät till Azure Database for PostgreSQL samtidigt som trafiken hålls inom Azure-gränsen. Den här principen är ett sätt att granska om Azure Database for PostgreSQL har tjänstslutpunkt för virtuellt nätverk som används. AuditIfNotExists, Disabled 1.0.2
PostgreSQL-servrar bör använda kund hanterade nycklar för att kryptera vilodata Använd kundhanterade nycklar för att hantera krypteringen i vila av PostgreSQL-servrarna. Som standard krypteras data i vila med tjänst hanterade nycklar, men kund hanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kund hanterade nycklar gör att data kan krypteras med en Azure Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. AuditIfNotExists, Disabled 1.0.4
Privata slutpunktsanslutningar på Azure SQL Database bör vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granska, inaktiverad 1.1.0
Den privata slutpunkten ska vara aktiverad för MariaDB-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att ge åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive inom Azure. AuditIfNotExists, inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för MySQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att ge åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive inom Azure. AuditIfNotExists, inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att ge åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive inom Azure. AuditIfNotExists, inaktiverad 1.0.2
Offentlig nätverksåtkomst på Azure SQL Database ska inaktiveras Om du inaktiverar egenskapen för offentlig nätverksåtkomst förbättras säkerheten genom att Azure SQL Database kan endast nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller vm-nätverksbaserade brandväggsregler. Granska, Neka, Inaktiverad 1.1.0
Offentlig nätverksåtkomst ska inaktiveras för MariaDB-servrar Inaktivera egenskapen för offentlig nätverksåtkomst för att förbättra säkerheten och Azure Database for MariaDB kan endast nås från en privat slutpunkt. Den här konfigurationen inaktiverar endast åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, inaktiverad 1.0.2
Offentlig nätverksåtkomst ska inaktiveras för Flexibla MySQL-servrar Om du inaktiverar egenskapen för offentlig nätverksåtkomst förbättras säkerheten genom att Azure Database for MySQL flexibla servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar endast åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, Neka, Inaktiverad 1.0.0
Offentlig nätverksåtkomst ska inaktiveras för MySQL-servrar Inaktivera egenskapen för offentlig nätverksåtkomst för att förbättra säkerheten och Azure Database for MySQL kan endast nås från en privat slutpunkt. Den här konfigurationen inaktiverar endast åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, inaktiverad 1.0.2
Offentlig nätverksåtkomst ska inaktiveras för flexibla PostgreSQL-servrar Om du inaktiverar egenskapen för offentlig nätverksåtkomst förbättras säkerheten genom att Azure Database for PostgreSQL flexibla servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar endast åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, Neka, Inaktiverad 1.0.0
Offentlig nätverksåtkomst ska inaktiveras för PostgreSQL-servrar Inaktivera egenskapen för offentlig nätverksåtkomst för att förbättra säkerheten och Azure Database for PostgreSQL kan endast nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, inaktiverad 1.0.2
SQL granskningsinställningar bör ha konfigurerats Action-Groups för att samla in kritiska aktiviteter Egenskapen AuditActionsAndGroups ska innehålla minst SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP för att säkerställa en grundlig granskningsloggning AuditIfNotExists, inaktiverad 1.0.0
SQL Database bör undvika att använda GRS-redundans för säkerhetskopiering Databaser bör undvika att använda den geo-redundanta standardlagringen för säkerhetskopieringar, om datahemlighetsregler kräver att data stannar inom en viss region. Obs! Azure Policy tillämpas inte när du skapar en databas med hjälp av T-SQL. Om det inte uttryckligen anges skapas en databas med geo-redundant säkerhetskopieringslagring via T-SQL. Neka, inaktiverad 2.0.0
SQL Managed Instance bör ha den lägsta TLS-versionen på 1.2 Genom att ange lägsta TLS-version till 1.2 förbättras säkerheten genom att SQL Managed Instance endast kan nås från klienter som använder TLS 1.2. Användning av versioner av TLS som är mindre än 1.2 rekommenderas inte eftersom de har väldokumenterade säkerhetsproblem. Granska, inaktiverad 1.0.1
SQL hanterade instanser bör undvika att använda GRS-redundans för säkerhetskopiering Hanterade instanser bör undvika att använda den geo-redundanta standardlagringen för säkerhetskopieringar, om datahemlighetsregler kräver att data stannar inom en viss region. Obs! Azure Policy tillämpas inte när du skapar en databas med hjälp av T-SQL. Om det inte uttryckligen anges skapas en databas med geo-redundant säkerhetskopieringslagring via T-SQL. Neka, inaktiverad 1.0.1
SQL hanterade instanser ska använda kund hanterade nycklar för att kryptera vilodata Genom transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en extern tjänst som stöds av HSM och befordran av uppdelning av uppgifter. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. Granska, Neka, Inaktiverad 2.0.0
SQL-servern ska använda kund hanterade nycklar för att kryptera vilodata Implementering transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-backad extern tjänst och befordran av uppdelning av uppgifter. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. Granska, Neka, Inaktiverad 2.0.0
SQL-servrar med granskning till lagringskontots mål bör konfigureras med 90 dagars kvarhållning eller högre I incidentundersökningssyfte rekommenderar vi att du ställer in datalagringen för din SQL Server till lagringskontots mål till minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelstandarder. AuditIfNotExists, inaktiverad 3.0.0
transparent datakryptering på SQL databaser ska vara aktiverade Transparent datakryptering ska aktiveras för att skydda vilodata och uppfylla efterlevnadskrav AuditIfNotExists, inaktiverad 2.0.0
Brandväggsregel för virtuellt nätverk på Azure SQL Database aktiveras för att tillåta trafik från det angivna undernätet Brandväggsregler baserade på virtuella nätverk används för att aktivera trafik från ett specifikt undernät till Azure SQL Database samtidigt som trafiken hålls inom Azure-gränsen. AuditIfNotExists 1.0.0
Inställningar för sårbarhetsbedömning för SQL ska innehålla en e-postadress för att ta emot skanningsrapporter Kontrollera att en e-postadress har angetts för fältet "Skicka genomsökningsrapporter till" i inställningarna för Sårbarhetsbedömning. Den här e-postadressen tar emot sammanfattning av genomsökningsresultat efter att en regelbunden genomsökning har SQL servrar. AuditIfNotExists, inaktiverad 2.0.0
Sårbarhetsbedömning ska aktiveras på SQL hanterad instans Granska varje SQL Managed Instance som inte har återkommande genomsökningar för sårbarhetsbedömning aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 1.0.1
Sårbarhetsbedömning bör aktiveras på dina SQL servrar Granska Azure SQL servrar som inte har återkommande genomsökningar för sårbarhetsbedömning aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 2.0.0

Storage

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure File Sync bör använda private link Genom att skapa en privat slutpunkt för den angivna resursen för synkroniseringstjänsten för Storage kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den offentliga slutpunkten som är tillgänglig via Internet. Om du skapar en privat slutpunkt på egen hand inaktiveras inte den offentliga slutpunkten. AuditIfNotExists, inaktiverad 1.0.0
Konfigurera Azure File Sync att använda privata DNS-zoner För att få åtkomst till de privata slutpunkterna för Storage Sync Service-resursgränssnitt från en registrerad server måste du konfigurera din DNS för att matcha rätt namn till din privata slutpunkts privata IP-adresser. Den här principen skapar nödvändiga Azure Privat DNS-zon- och A-poster för gränssnitten för dina Storage Sync Service privata slutpunkter. DeployIfNotExists, Disabled 1.0.0
Konfigurera Azure File Sync med privata slutpunkter En privat slutpunkt distribueras för den angivna Storage Sync Service-resursen. På så sätt kan du adressera din Storage Sync Service-resurs från det privata IP-adressutrymmet i organisationens nätverk i stället för via den offentliga slutpunkten som är tillgänglig via Internet. Förekomsten av en eller flera privata slutpunkter i sig inaktiverar inte den offentliga slutpunkten. DeployIfNotExists, Disabled 1.0.0
Konfigurera diagnostikinställningar för lagringskonton till Log Analytics-arbetsytan Distribuerar diagnostikinställningarna för lagringskonton för att strömma resursloggar till en Log Analytics-arbetsyta när ett lagringskonto som saknar de här diagnostikinställningarna skapas eller uppdateras. DeployIfNotExists, Disabled 1.3.0
Konfigurera Storage-konto för att använda en privat länkanslutning Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till ditt lagringskonto kan du minska riskerna för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview DeployIfNotExists, Disabled 1.0.0
Distribuera Advanced Threat Protection på lagringskonton Den här principen aktiverar Advanced Threat Protection på lagringskonton. DeployIfNotExists, Disabled 1.0.0
Geo-redundant lagring ska vara aktiverat för Storage konton Använda geo-redundans för att skapa program med hög tillgänglighet Granska, inaktiverad 1.0.0
HPC Cache bör använda kund hanterad nyckel för kryptering Hantera kryptering i vila Azure HPC Cache med kundhanterade nycklar. Som standard krypteras kunddata med tjänst hanterade nycklar, men kund hanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kund hanterade nycklar gör att data kan krypteras med en Azure Key Vault som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Granska, Inaktiverad, Neka 2.0.0
Ändra – Konfigurera Azure File Sync inaktivera offentlig nätverksåtkomst Den Azure File Sync internettillgängliga offentliga slutpunkten inaktiveras av din organisations princip. Du kan fortfarande komma åt Storage Sync Service via dess privata slutpunkter. Ändra, inaktiverad 1.0.0
Offentlig nätverksåtkomst ska inaktiveras för Azure File Sync Om du inaktiverar den offentliga slutpunkten kan du begränsa åtkomsten till din Storage Sync Service-resurs till begäranden som är avsedda för godkända privata slutpunkter i organisationens nätverk. Det finns inget som i sig är osäkert när det gäller att tillåta begäranden till den offentliga slutpunkten, men du kanske vill inaktivera den för att uppfylla regelkrav, juridiska krav eller organisationskrav. Du kan inaktivera den offentliga slutpunkten för en Storage Sync Service genom att ange incomingTrafficPolicy för resursen till AllowVirtualNetworksOnly. Granska, Neka, Inaktiverad 1.0.0
Säker överföring till lagringskonton ska vara aktiverat Granska krav för säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast godkänna begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från attacker på nätverksnivå, till exempel man-in-the-middle, avlyssning och sessionskapning Granska, Neka, Inaktiverad 2.0.0
Storage-kontokrypteringsomfång ska använda kund hanterade nycklar för att kryptera vilodata Använd kundhanterade nycklar för att hantera krypteringen i resten av lagringskontots krypteringsomfång. Kund hanterade nycklar gör att data kan krypteras med en Nyckelvalvsnyckel i Azure som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om krypteringsomfång för lagringskonto på https://aka.ms/encryption-scopes-overview . Granska, Neka, Inaktiverad 1.0.0
Storage-kontokrypteringsomfång ska använda dubbel kryptering för vilodata Aktivera infrastrukturkryptering för kryptering i resten av lagringskontots krypteringsomfång för ökad säkerhet. Infrastrukturkryptering säkerställer att dina data krypteras två gånger. Granska, Neka, Inaktiverad 1.0.0
Storage bör inte ha upphört att gälla Se till att användarkontonycklarna inte upphör att gälla när principen för nyckelförfallotid har angetts, för att förbättra säkerheten för kontonycklar genom att vidta åtgärder när nycklarna har upphört att gälla. Granska, Neka, Inaktiverad 3.0.0
[Förhandsversion]: Storage offentlig åtkomst till kontot ska inte vara tillåtet Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett praktiskt sätt att dela data men kan ge säkerhetsrisker. För att förhindra dataintrång som orsakas av oönskad anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. audit, deny, disabled 3.0.1-förhandsversion
Storage bör tillåta åtkomst från betrodda Microsoft-tjänster Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. För att den här typen av tjänst ska fungera som avsett kan du tillåta Microsoft-tjänster att kringgå nätverksregler. Dessa tjänster använder sedan stark autentisering för att få åtkomst till lagringskontot. Granska, Neka, Inaktiverad 1.0.0
Storage bör begränsas av tillåtna SKU:er Begränsa den uppsättning SKU:er för lagringskonto som din organisation kan distribuera. Granska, Neka, Inaktiverad 1.1.0
Storage bör migreras till nya Azure Resource Manager resurser Använd nya Azure Resource Manager för dina lagringskonton för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering Granska, Neka, Inaktiverad 1.0.0
Storage-konton ska ha infrastrukturkryptering Aktivera infrastrukturkryptering för högre säkerhetsnivå för att data är säkra. När infrastrukturkryptering är aktiverat krypteras data i ett lagringskonto två gånger. Granska, Neka, Inaktiverad 1.0.0
Storage-konton ska ha principer för signatur för delad åtkomst (SAS) konfigurerade Kontrollera att förfalloprincip för signatur för delad åtkomst (SAS) är aktiverad för lagringskonton. Användare använder en SAS för att delegera åtkomst till resurser i Azure Storage konto. Och SAS-förfalloprincip rekommenderar övre gräns för förfallotid när en användare skapar en SAS-token. Granska, Neka, Inaktiverad 1.0.0
Storage-konton ska förhindra replikering av objekt mellan klientorganisationen Granska begränsning av objektreplikering för ditt lagringskonto. Som standard kan användare konfigurera objektreplikering med ett källlagringskonto i en Azure AD-klientorganisation och ett målkonto i en annan klientorganisation. Det är en säkerhetsrisk eftersom kundens data kan replikeras till ett lagringskonto som ägs av kunden. Genom att ange allowCrossTenantReplication till false kan objektreplikering bara konfigureras om både käll- och målkonton finns i samma Azure AD-klientorganisation. Granska, Neka, Inaktiverad 1.0.0
Storage bör förhindra åtkomst till delad nyckel Granskningskrav för Azure Active Directory (Azure AD) för att auktorisera begäranden för ditt lagringskonto. Som standard kan begäranden auktoriseras med antingen Azure Active Directory autentiseringsuppgifter eller med hjälp av kontoåtkomstnyckeln för auktorisering med delad nyckel. Av dessa två typer av auktorisering ger Azure AD överlägsen säkerhet och enkel användning via delad nyckel och rekommenderas av Microsoft. Granska, Neka, Inaktiverad 1.0.0
Storage bör begränsa nätverksåtkomsten Nätverksåtkomsten till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internetklienter eller lokala klienter kan åtkomst beviljas för trafik från specifika virtuella Azure-nätverk eller till OFFENTLIGA IP-adressintervall på Internet Granska, Neka, Inaktiverad 1.1.1
Storage bör begränsa nätverksåtkomsten med hjälp av regler för virtuellt nätverk Skydda dina lagringskonton mot potentiella hot med regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering kan offentliga IP-adresser inte komma åt dina lagringskonton. Granska, Neka, Inaktiverad 1.0.1
Storage bör använda kund hanterad nyckel för kryptering Skydda ditt blob- och fillagringskonto med större flexibilitet med kundbaserade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Användning av kund hanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller att radera data kryptografiskt. Granska, inaktiverad 1.0.3
Storage-konton ska använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter till ditt lagringskonto minskar risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0

Stream Analytics

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure Stream Analytics ska använda kund hanterade nycklar för att kryptera data Använd kund hanterade nycklar när du på ett säkert sätt vill lagra metadata och privata datatillgångar för dina Stream Analytics i ditt lagringskonto. Detta ger dig fullständig kontroll över hur Stream Analytics data krypteras. audit, deny, disabled 1.0.0
Resursloggar i Azure Stream Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket har komprometterats AuditIfNotExists, Disabled 5.0.0
Stream Analytics ska ansluta till betrodda indata och utdata Se till Stream Analytics jobb inte har godtyckliga indata- eller utdataanslutningar som inte har definierats i listan över tillåtna. Detta kontrollerar Stream Analytics jobb inte exfiltrerar data genom att ansluta till godtyckliga mottagare utanför organisationen. Neka, inaktiverad, granska 1.0.0

Synaps

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Granskning på Synapse-arbetsytan ska vara aktiverat Granskning på Synapse-arbetsytan ska aktiveras för att spåra databasaktiviteter för alla databaser i de dedikerade SQL-poolerna och spara dem i en granskningslogg. AuditIfNotExists, Disabled 1.0.0
Azure Synapse bör endast tillåta utgående datatrafik till godkända mål Öka säkerheten för Synapse-arbetsytan genom att endast tillåta utgående datatrafik till godkända mål. Detta hjälper till att förhindra data exfiltrering genom att verifiera målet innan data skickas. Granska, inaktiverad, neka 1.0.0
Azure Synapse arbetsytor ska inaktivera offentlig nätverksåtkomst Att inaktivera offentlig nätverksåtkomst förbättrar säkerheten genom att se till att Synapse-arbetsytan inte exponeras på det offentliga Internet. Genom att skapa privata slutpunkter kan du begränsa synapse-arbetsytorna. Läs mer på: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings . Granska, Neka, Inaktiverad 1.0.0
Azure Synapse arbetsytor ska använda kund hanterade nycklar för att kryptera vilodata Använd kund hanterade nycklar för att styra krypteringen i vila av de data som lagras Azure Synapse arbetsytor. Kund hanterade nycklar ger dubbel kryptering genom att lägga till ett andra lager med kryptering utöver standardkryptering med tjänst-hanterade nycklar. Granska, Neka, Inaktiverad 1.0.0
Azure Synapse arbetsytor ska använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter Azure Synapse en arbetsyta minskar risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links . Granska, inaktiverad 1.0.1
Konfigurera Azure Synapse arbetsytor för att inaktivera offentlig nätverksåtkomst Inaktivera offentlig nätverksåtkomst för Synapse-arbetsytan så att den inte är tillgänglig via det offentliga Internet. Detta kan minska riskerna för dataläckage. Läs mer på: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings . Ändra, inaktiverad 1.0.0
Konfigurera Azure Synapse arbetsytor för att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha Azure Synapse arbetsytan. Läs mer på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint . DeployIfNotExists, Disabled 1.0.0
Konfigurera Azure Synapse arbetsytor med privata slutpunkter Privata slutpunkter ansluter ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Synapse arbetsytor kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links . DeployIfNotExists, Disabled 1.0.0
Konfigurera Synapse-arbetsytor så att granskning är aktiverat För att säkerställa att de åtgärder som utförs SQL dina resurser har avbildats, bör Synapse-arbetsytor ha granskning aktiverat. Detta krävs ibland för efterlevnad av regelkrav. DeployIfNotExists, Disabled 2.0.0
IP-brandväggsregler på Azure Synapse arbetsytor bör tas bort Att ta bort alla IP-brandväggsregler förbättrar säkerheten genom att Azure Synapse åtkomst till arbetsytan endast kan nås från en privat slutpunkt. Den här konfigurationen granskar skapandet av brandväggsregler som tillåter offentlig nätverksåtkomst på arbetsytan. Granska, inaktiverad 1.0.0
Hanterat virtuellt arbetsytenätverk på Azure Synapse arbetsytor ska vara aktiverat Genom att aktivera ett virtuellt nätverk för hanterade arbetsytor säkerställer du att arbetsytan är nätverks isolerad från andra arbetsytor. Dataintegrering och Spark-resurser som distribueras i det här virtuella nätverket ger även isolering på användarnivå för Spark-aktiviteter. Granska, Neka, Inaktiverad 1.0.0
Synapse-hanterade privata slutpunkter bör endast ansluta till resurser i Azure Active Directory klientorganisation Skydda din Synapse-arbetsyta genom att endast tillåta anslutningar till resurser i Azure Active Directory (Azure AD) klienter. Godkända Azure AD-klienter kan definieras under principtilldelningen. Granska, inaktiverad, neka 1.0.0
Granskningsinställningar för Synapse-arbetsytor bör ha åtgärdsgrupper konfigurerade för att samla in kritiska aktiviteter För att säkerställa att granskningsloggarna är så noggranna som möjligt bör egenskapen AuditActionsAndGroups innehålla alla relevanta grupper. Vi rekommenderar att du lägger till SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP och BATCH_COMPLETED_GROUP. Detta krävs ibland för efterlevnad av regelkrav. AuditIfNotExists, Disabled 1.0.0
Synapse-arbetsytor med SQL granskning till lagringskontots mål bör konfigureras med 90 dagars kvarhållning eller högre I incidentundersökningssyfte rekommenderar vi att du ställer in datalagringen för Synapse-arbetsytans SQL till lagringskontots mål till minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelkrav. AuditIfNotExists, Disabled 2.0.0
Sårbarhetsbedömning bör aktiveras på synapse-arbetsytor Identifiera, spåra och åtgärda potentiella sårbarheter genom att konfigurera återkommande SQL genomsökningar av sårbarhetsbedömning på dina Synapse-arbetsytor. AuditIfNotExists, Disabled 1.0.0

Taggar

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Lägga till en tagg i resursgrupper Lägger till den angivna taggen och värdet när en resursgrupp som saknar den här taggen skapas eller uppdateras. Befintliga resursgrupper kan åtgärdas genom att utlösa en reparationsaktivitet. Om taggen finns med ett annat värde ändras den inte. modify 1.0.0
Lägga till en tagg till resurser Lägger till den angivna taggen och värdet när en resurs som saknar den här taggen skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. Om taggen finns med ett annat värde ändras den inte. Taggar för resursgrupper ändras inte. modify 1.0.0
Lägga till en tagg i prenumerationer Lägger till den angivna taggen och värdet i prenumerationer via en reparationsuppgift. Om taggen finns med ett annat värde ändras den inte. Mer https://aka.ms/azurepolicyremediation information om principreparation finns i . modify 1.0.0
Lägga till eller ersätta en tagg i resursgrupper Lägger till eller ersätter den angivna taggen och värdet när en resursgrupp skapas eller uppdateras. Befintliga resursgrupper kan åtgärdas genom att utlösa en reparationsaktivitet. modify 1.0.0
Lägga till eller ersätta en tagg för resurser Lägger till eller ersätter den angivna taggen och värdet när en resurs skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. Taggar för resursgrupper ändras inte. modify 1.0.0
Lägga till eller ersätta en tagg i prenumerationer Lägger till eller ersätter den angivna taggen och värdet i prenumerationer via en reparationsuppgift. Befintliga resursgrupper kan åtgärdas genom att utlösa en reparationsaktivitet. Mer https://aka.ms/azurepolicyremediation information om principreparation finns i . modify 1.0.0
Lägg till en tagg och dess värde från resursgruppen Lägger till den angivna taggen med dess värde från resursgruppen när en resurs som saknar den här taggen skapas eller uppdateras. Ändrar inte taggarna för resurser som skapades innan den här principen tillämpades förrän resurserna har ändrats. Det finns nya "ändra"-effektprinciper som stöder reparation av taggar på befintliga resurser (se https://aka.ms/modifydoc ). Lägg till 1.0.0
Lägga till en tagg och dess värde i resursgrupper Lägger till den angivna taggen och värdet när en resursgrupp som saknar den här taggen skapas eller uppdateras. Ändrar inte taggarna för resursgrupper som skapades innan den här principen tillämpades förrän dessa resursgrupper har ändrats. Det finns nya "ändra"-effektprinciper som stöder reparation av taggar på befintliga resurser (se https://aka.ms/modifydoc ). Lägg till 1.0.0
Lägga till en tagg och dess värde i resurser Lägger till den angivna taggen och värdet när en resurs som saknar den här taggen skapas eller uppdateras. Ändrar inte taggarna för resurser som skapades innan den här principen tillämpades förrän resurserna har ändrats. Gäller inte för resursgrupper. Det finns nya "ändra"-effektprinciper som stöder reparation av taggar på befintliga resurser (se https://aka.ms/modifydoc ). Lägg till 1.0.1
Ärva en tagg från resursgruppen Lägger till eller ersätter den angivna taggen och värdet från den överordnade resursgruppen när en resurs skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. modify 1.0.0
Ärva en tagg från resursgruppen om den saknas Lägger till den angivna taggen med dess värde från den överordnade resursgruppen när en resurs som saknar den här taggen skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. Om taggen finns med ett annat värde ändras den inte. modify 1.0.0
Ärva en tagg från prenumerationen Lägger till eller ersätter den angivna taggen och värdet från den innehållande prenumerationen när en resurs skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. modify 1.0.0
Ärva en tagg från prenumerationen om den saknas Lägger till den angivna taggen med dess värde från prenumerationen som innehåller när en resurs som saknar den här taggen skapas eller uppdateras. Befintliga resurser kan åtgärdas genom att utlösa en reparationsåtgärd. Om taggen finns med ett annat värde ändras den inte. modify 1.0.0
Kräv en tagg och dess värde i resursgrupper Framtvingar en obligatorisk tagg och dess värde i resursgrupper. Förneka 1.0.0
Kräv en tagg och dess värde för resurser Framtvingar en obligatorisk tagg och dess värde. Gäller inte för resursgrupper. Förneka 1.0.1
Kräv en tagg för resursgrupper Framtvingar förekomsten av en tagg i resursgrupper. Förneka 1.0.0
Kräv en tagg för resurser Framtvingar förekomsten av en tagg. Gäller inte för resursgrupper. Förneka 1.0.1

Uppdateringshantering Center

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
[Förhandsversion]: Konfigurera regelbunden kontroll av saknade systemuppdateringar på Azure Arc-aktiverade servrar Konfigurera automatisk utvärdering (var 24:e timme) för OS-uppdateringar på Azure Arc-aktiverade servrar. Du kan styra tilldelningsomfånget enligt datorprenumeration, resursgrupp, plats eller tagg. Läs mer om detta för Windows: , för Linux: https://aka.ms/computevm-linuxpatchassessmentmode . modify 1.0.0-förhandsversion
[Förhandsversion]: Konfigurera regelbunden kontroll av saknade systemuppdateringar på virtuella Azure-datorer Konfigurera automatisk utvärdering (var 24:e timme) för OS-uppdateringar på interna virtuella Azure-datorer. Du kan styra tilldelningsomfånget enligt datorprenumeration, resursgrupp, plats eller tagg. Läs mer om detta för Windows: , för Linux: https://aka.ms/computevm-linuxpatchassessmentmode . modify 1.0.0-förhandsversion
[Förhandsversion]: Datorer ska konfigureras för att regelbundet söka efter systemuppdateringar som saknas För att säkerställa att regelbundna utvärderingar av saknade systemuppdateringar utlöses automatiskt var 24:e timme ska egenskapen AssessmentMode anges till "AutomaticByPlatform". Läs mer om egenskapen AssessmentMode för Windows: , för Linux: https://aka.ms/computevm-linuxpatchassessmentmode . Granska, Neka, Inaktiverad 1.0.0-förhandsversion

Videoanalysverktyg

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Video Analyzer-konton bör använda kund hanterade nycklar för att kryptera vilodata Använd kundhanterade nycklar för att hantera krypteringen i vila för dina Video Analyzer-konton. Som standard krypteras kunddata med tjänst hanterade nycklar, men kund hanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Kund hanterade nycklar gör att data kan krypteras med en Azure Key Vault nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/videoanalyzerscmkdocs . Granska, Neka, Inaktiverad 1.0.0

Image Builder för virtuell dator

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Mallar Image Builder virtuella datorer bör använda private link Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter till den virtuella Image Builder skapar resurser minskar risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet . Granska, inaktiverad, neka 1.1.0

Web PubSub

Name
(Azure Portal)
Beskrivning Effekt(er) Version
(GitHub)
Azure Web PubSub Service bör inaktivera offentlig nätverksåtkomst Om du inaktiverar offentlig nätverksåtkomst förbättras säkerheten genom att se till att Azure Web PubSub-tjänsten inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen för Azure Web PubSub-tjänsten. Läs mer på: https://aka.ms/awps/networkacls . Granska, Neka, Inaktiverad 1.0.0
Azure Web PubSub Service bör använda en SKU som stöder private link Med SKU som stöds Azure Private Link du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Plattformen Private Link hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter till Azure Web PubSub-tjänsten kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink . Granska, Neka, Inaktiverad 1.0.0
Azure Web PubSub Service bör använda private link Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna i Azures stamnätverk. Genom att mappa privata slutpunkter till din Azure Web PubSub Service kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink . Granska, Neka, Inaktiverad 1.0.0
Konfigurera Azure Web PubSub Service för att inaktivera offentlig nätverksåtkomst Inaktivera offentlig nätverksåtkomst för din Azure Web PubSub-resurs så att den inte är tillgänglig via det offentliga Internet. Detta kan minska riskerna för dataläckage. Läs mer på: https://aka.ms/awps/networkacls . Ändra, inaktiverad 1.0.0
Konfigurera Azure Web PubSub Service för att använda privata DNS-zoner Använd privata DNS-zoner för att åsidosätta DNS-upplösningen för en privat slutpunkt. En privat DNS-zon länkar till ditt virtuella nätverk för att matcha till Azure Web PubSub-tjänsten. Läs mer på: https://aka.ms/awps/privatelink . DeployIfNotExists, Disabled 1.0.0
Konfigurera Azure Web PubSub Service med privata slutpunkter Privata slutpunkter ansluter dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Genom att mappa privata slutpunkter till Azure Web PubSub-tjänsten kan du minska riskerna för dataläckage. Läs mer om privata länkar på: https://aka.ms/awps/privatelink . DeployIfNotExists, Disabled 1.0.0

Nästa steg