Information om det inbyggda initiativet System- och organisationskontroller (SOC) 2 Regelefterlevnad

Artikel
05/01/2024

I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller i System- och organisationskontroller (SOC) 2. Mer information om den här efterlevnadsstandarden finns i System- och organisationskontroller (SOC) 2. Information om ägarskap finns i Principdefinition för Azure Policy och Delat ansvar i molnet.

Följande mappningar gäller för soc-kontrollerna (System and Organization Controls) 2 . Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure-portalen och väljer sidan Definitioner . Leta sedan upp och välj den inbyggda initiativdefinitionen SOC 2 Typ 2 Regelefterlevnad.

Viktigt!

Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.

Ytterligare villkor för tillgänglighet

Kapacitetshantering

ID: SOC 2 Typ 2 A1.1 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Genomföra kapacitetsplanering	CMA_C1252 – Genomföra kapacitetsplanering	Manuell, inaktiverad	1.1.0

Miljöskydd, programvara, säkerhetskopieringsprocesser för data och återställningsinfrastruktur

ID: SOC 2 Typ 2 A1.2 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Azure Backup ska vara aktiverat för virtuella datorer	Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure.	AuditIfNotExists, inaktiverad	3.0.0
Använda automatisk nödbelysning	CMA_0209 – Använda automatisk nödbelysning	Manuell, inaktiverad	1.1.0
Upprätta en alternativ bearbetningsplats	CMA_0262 – Upprätta en alternativ bearbetningsplats	Manuell, inaktiverad	1.1.0
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB	Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern.	Granskning, inaktiverad	1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL	Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern.	Granskning, inaktiverad	1.0.1
Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL	Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern.	Granskning, inaktiverad	1.0.1
Implementera en metod för intrångstestning	CMA_0306 – Implementera en metod för intrångstestning	Manuell, inaktiverad	1.1.0
Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden	CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden	Manuell, inaktiverad	1.1.0
Installera ett larmsystem	CMA_0338 – Installera ett larmsystem	Manuell, inaktiverad	1.1.0
Återställa och återskapa resurser efter eventuella avbrott	CMA_C1295 – Återställa och återskapa resurser efter eventuella avbrott	Manuell, inaktiverad	1.1.1
Köra simuleringsattacker	CMA_0486 – Köra simuleringsattacker	Manuell, inaktiverad	1.1.0
Lagra säkerhetskopieringsinformation separat	CMA_C1293 – Lagra säkerhetskopieringsinformation separat	Manuell, inaktiverad	1.1.0
Överföra säkerhetskopieringsinformation till en alternativ lagringsplats	CMA_C1294 – Överföra säkerhetskopieringsinformation till en alternativ lagringsplats	Manuell, inaktiverad	1.1.0

Testning av återställningsplan

ID: SOC 2 Typ 2 A1.3 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Samordna beredskapsplaner med relaterade planer	CMA_0086 – Samordna beredskapsplaner med relaterade planer	Manuell, inaktiverad	1.1.0
Initiera åtgärdstestning av beredskapsplan	CMA_C1263 – Initiera korrigeringsåtgärder för beredskapsplanstestning	Manuell, inaktiverad	1.1.0
Granska resultatet av testning av beredskapsplaner	CMA_C1262 – Granska resultatet av testning av beredskapsplaner	Manuell, inaktiverad	1.1.0
Testa planen för affärskontinuitet och haveriberedskap	CMA_0509 – Testa planen för affärskontinuitet och haveriberedskap	Manuell, inaktiverad	1.1.0

Ytterligare kriterier för konfidentialitet

Skydd av konfidentiell information

ID: SOC 2 Typ 2 C1.1 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Kontrollera fysisk åtkomst	CMA_0081 – Kontrollera fysisk åtkomst	Manuell, inaktiverad	1.1.0
Hantera indata, utdata, bearbetning och lagring av data	CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data	Manuell, inaktiverad	1.1.0
Granska etikettaktivitet och analys	CMA_0474 – Granska etikettaktivitet och analys	Manuell, inaktiverad	1.1.0

Bortskaffande av konfidentiell information

ID: SOC 2 Typ 2 C1.2 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Kontrollera fysisk åtkomst	CMA_0081 – Kontrollera fysisk åtkomst	Manuell, inaktiverad	1.1.0
Hantera indata, utdata, bearbetning och lagring av data	CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data	Manuell, inaktiverad	1.1.0
Granska etikettaktivitet och analys	CMA_0474 – Granska etikettaktivitet och analys	Manuell, inaktiverad	1.1.0

Kontrollmiljö

COSO-princip 1

ID: SOC 2 Typ 2 CC1.1 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Utveckla principer och procedurer för godtagbar användning	CMA_0143 – Utveckla principer och procedurer för godtagbar användning	Manuell, inaktiverad	1.1.0
Utveckla organisationens policy för uppförandekod	CMA_0159 – Utveckla organisationens uppförandekod	Manuell, inaktiverad	1.1.0
Dokumentera personalens godkännande av sekretesskrav	CMA_0193 – Dokumentera personalens godkännande av sekretesskrav	Manuell, inaktiverad	1.1.0
Framtvinga regler för beteende- och åtkomstavtal	CMA_0248 – Framtvinga regler för beteende- och åtkomstavtal	Manuell, inaktiverad	1.1.0
Förbjuda illojala metoder	CMA_0396 – Förbjuda otillbörliga metoder	Manuell, inaktiverad	1.1.0
Granska och signera ändrade beteenderegler	CMA_0465 – Granska och underteckna ändrade beteenderegler	Manuell, inaktiverad	1.1.0
Uppdatera regler för beteende- och åtkomstavtal	CMA_0521 – Uppdatera regler för beteende- och åtkomstavtal	Manuell, inaktiverad	1.1.0
Uppdatera regler för beteende och åtkomstavtal vart tredje år	CMA_0522 – Uppdatera regler för beteende- och åtkomstavtal vart tredje år	Manuell, inaktiverad	1.1.0

COSO-princip 2

ID: SOC 2 Typ 2 CC1.2 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Utse en högre informationssäkerhetsansvarig	CMA_C1733 – Utse en högre informationssäkerhetsansvarig	Manuell, inaktiverad	1.1.0
Utveckla och upprätta en systemsäkerhetsplan	CMA_0151 – Utveckla och upprätta en systemsäkerhetsplan	Manuell, inaktiverad	1.1.0
Upprätta en riskhanteringsstrategi	CMA_0258 – Upprätta en riskhanteringsstrategi	Manuell, inaktiverad	1.1.0
Upprätta säkerhetskrav för tillverkning av anslutna enheter	CMA_0279 – Fastställa säkerhetskrav för tillverkning av anslutna enheter	Manuell, inaktiverad	1.1.0
Implementera säkerhetstekniska principer för informationssystem	CMA_0325 – Implementera säkerhetstekniska principer för informationssystem	Manuell, inaktiverad	1.1.0

COSO-princip 3

ID: SOC 2 Typ 2 CC1.3 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Utse en högre informationssäkerhetsansvarig	CMA_C1733 – Utse en högre informationssäkerhetsansvarig	Manuell, inaktiverad	1.1.0
Utveckla och upprätta en systemsäkerhetsplan	CMA_0151 – Utveckla och upprätta en systemsäkerhetsplan	Manuell, inaktiverad	1.1.0
Upprätta en riskhanteringsstrategi	CMA_0258 – Upprätta en riskhanteringsstrategi	Manuell, inaktiverad	1.1.0
Upprätta säkerhetskrav för tillverkning av anslutna enheter	CMA_0279 – Fastställa säkerhetskrav för tillverkning av anslutna enheter	Manuell, inaktiverad	1.1.0
Implementera säkerhetstekniska principer för informationssystem	CMA_0325 – Implementera säkerhetstekniska principer för informationssystem	Manuell, inaktiverad	1.1.0

COSO-princip 4

ID: SOC 2 Typ 2 CC1.4 Ägarskap: Delat

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Tillhandahålla regelbunden rollbaserad säkerhetsutbildning	CMA_C1095 – Tillhandahålla regelbunden rollbaserad säkerhetsutbildning	Manuell, inaktiverad	1.1.0
Tillhandahålla regelbunden utbildning för säkerhetsmedvetenhet	CMA_C1091 – Tillhandahålla regelbunden utbildning om säkerhetsmedvetenhet	Manuell, inaktiverad	1.1.0
Tillhandahålla rollbaserade praktiska övningar	CMA_C1096 – Tillhandahålla rollbaserade praktiska övningar	Manuell, inaktiverad	1.1.0
Tillhandahålla säkerhetsutbildning innan du ger åtkomst	CMA_0418 – Tillhandahålla säkerhetsutbildning innan du ger åtkomst	Manuell, inaktiverad	1.1.0
Tillhandahålla säkerhetsutbildning för nya användare	CMA_0419 – Tillhandahålla säkerhetsutbildning för nya användare	Manuell, inaktiverad	1.1.0

COSO-princip 5

ID: SOC 2 Typ 2 CC1.5 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Utveckla principer och procedurer för godtagbar användning	CMA_0143 – Utveckla principer och procedurer för godtagbar användning	Manuell, inaktiverad	1.1.0
Framtvinga regler för beteende- och åtkomstavtal	CMA_0248 – Framtvinga regler för beteende- och åtkomstavtal	Manuell, inaktiverad	1.1.0
Implementera formell sanktionsprocess	CMA_0317 – Genomföra formell sanktionsprocess	Manuell, inaktiverad	1.1.0
Meddela personalen om sanktioner	CMA_0380 – Meddela personalen om sanktioner	Manuell, inaktiverad	1.1.0

Kommunikation och information

COSO-princip 13

ID: SOC 2 Typ 2 CC2.1 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Kontrollera fysisk åtkomst	CMA_0081 – Kontrollera fysisk åtkomst	Manuell, inaktiverad	1.1.0
Hantera indata, utdata, bearbetning och lagring av data	CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data	Manuell, inaktiverad	1.1.0
Granska etikettaktivitet och analys	CMA_0474 – Granska etikettaktivitet och analys	Manuell, inaktiverad	1.1.0

COSO-princip 14

ID: SOC 2 Typ 2 CC2.2 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Utveckla principer och procedurer för godtagbar användning	CMA_0143 – Utveckla principer och procedurer för godtagbar användning	Manuell, inaktiverad	1.1.0
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat	Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer.	AuditIfNotExists, inaktiverad	1.1.0
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras	För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center.	AuditIfNotExists, inaktiverad	2.1.0
Framtvinga regler för beteende- och åtkomstavtal	CMA_0248 – Framtvinga regler för beteende- och åtkomstavtal	Manuell, inaktiverad	1.1.0
Tillhandahålla regelbunden rollbaserad säkerhetsutbildning	CMA_C1095 – Tillhandahålla regelbunden rollbaserad säkerhetsutbildning	Manuell, inaktiverad	1.1.0
Tillhandahålla regelbunden utbildning för säkerhetsmedvetenhet	CMA_C1091 – Tillhandahålla regelbunden utbildning om säkerhetsmedvetenhet	Manuell, inaktiverad	1.1.0
Tillhandahålla säkerhetsutbildning innan du ger åtkomst	CMA_0418 – Tillhandahålla säkerhetsutbildning innan du ger åtkomst	Manuell, inaktiverad	1.1.0
Tillhandahålla säkerhetsutbildning för nya användare	CMA_0419 – Tillhandahålla säkerhetsutbildning för nya användare	Manuell, inaktiverad	1.1.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem	För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center.	AuditIfNotExists, inaktiverad	1.0.1

COSO-princip 15

ID: SOC 2 Typ 2 CC2.3 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Definiera uppgifter för processorer	CMA_0127 – Definiera uppgifter för processorer	Manuell, inaktiverad	1.1.0
Leverera resultat från säkerhetsutvärdering	CMA_C1147 – Leverera resultat för säkerhetsutvärdering	Manuell, inaktiverad	1.1.0
Utveckla och upprätta en systemsäkerhetsplan	CMA_0151 – Utveckla och upprätta en systemsäkerhetsplan	Manuell, inaktiverad	1.1.0
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat	Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer.	AuditIfNotExists, inaktiverad	1.1.0
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras	För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center.	AuditIfNotExists, inaktiverad	2.1.0
Upprätta säkerhetskrav för tillverkning av anslutna enheter	CMA_0279 – Fastställa säkerhetskrav för tillverkning av anslutna enheter	Manuell, inaktiverad	1.1.0
Upprätta säkerhetskrav för personal från tredje part	CMA_C1529 – Upprätta säkerhetskrav för tredje part	Manuell, inaktiverad	1.1.0
Implementera leveransmetoder för sekretessmeddelande	CMA_0324 – Implementera leveransmetoder för sekretessmeddelande	Manuell, inaktiverad	1.1.0
Implementera säkerhetstekniska principer för informationssystem	CMA_0325 – Implementera säkerhetstekniska principer för informationssystem	Manuell, inaktiverad	1.1.0
Skapa en rapport för säkerhetsutvärdering	CMA_C1146 – Skapa en rapport om säkerhetsbedömning	Manuell, inaktiverad	1.1.0
Ange sekretessmeddelande	CMA_0414 – Ange sekretessmeddelande	Manuell, inaktiverad	1.1.0
Kräv att tredjepartsleverantörer följer personalsäkerhetsprinciper och -procedurer	CMA_C1530 – Kräv att tredjepartsleverantörer följer säkerhetsprinciper och procedurer för personal	Manuell, inaktiverad	1.1.0
Begränsa kommunikationen	CMA_0449 – Begränsa kommunikationen	Manuell, inaktiverad	1.1.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem	För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center.	AuditIfNotExists, inaktiverad	1.0.1

Riskbedömning

COSO-princip 6

ID: SOC 2 Typ 2 CC3.1 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Kategorisera information	CMA_0052 – Kategorisera information	Manuell, inaktiverad	1.1.0
Fastställa informationsskyddsbehov	CMA_C1750 – Fastställa informationsskyddsbehov	Manuell, inaktiverad	1.1.0
Utveckla affärsklassificeringsscheman	CMA_0155 – Utveckla affärsklassificeringssystem	Manuell, inaktiverad	1.1.0
Utveckla SSP som uppfyller kriterierna	CMA_C1492 – Utveckla SSP som uppfyller kriterierna	Manuell, inaktiverad	1.1.0
Upprätta en riskhanteringsstrategi	CMA_0258 – Upprätta en riskhanteringsstrategi	Manuell, inaktiverad	1.1.0
Utföra en riskbedömning	CMA_0388 – Utföra en riskbedömning	Manuell, inaktiverad	1.1.0
Granska etikettaktivitet och analys	CMA_0474 – Granska etikettaktivitet och analys	Manuell, inaktiverad	1.1.0

COSO-princip 7

ID: SOC 2 Typ 2 CC3.2 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer	Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig.	AuditIfNotExists, inaktiverad	3.0.0
Kategorisera information	CMA_0052 – Kategorisera information	Manuell, inaktiverad	1.1.0
Fastställa informationsskyddsbehov	CMA_C1750 – Fastställa informationsskyddsbehov	Manuell, inaktiverad	1.1.0
Utveckla affärsklassificeringsscheman	CMA_0155 – Utveckla affärsklassificeringssystem	Manuell, inaktiverad	1.1.0
Upprätta en riskhanteringsstrategi	CMA_0258 – Upprätta en riskhanteringsstrategi	Manuell, inaktiverad	1.1.0
Utföra en riskbedömning	CMA_0388 – Utföra en riskbedömning	Manuell, inaktiverad	1.1.0
Utföra sårbarhetsgenomsökningar	CMA_0393 – Utföra sårbarhetsgenomsökningar	Manuell, inaktiverad	1.1.0
Åtgärda fel i informationssystemet	CMA_0427 – Åtgärda fel i informationssystemet	Manuell, inaktiverad	1.1.0
Granska etikettaktivitet och analys	CMA_0474 – Granska etikettaktivitet och analys	Manuell, inaktiverad	1.1.0
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance	Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen.	AuditIfNotExists, inaktiverad	1.0.1
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar	Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen.	AuditIfNotExists, inaktiverad	3.0.0

COSO-princip 8

ID: SOC 2 Typ 2 CC3.3 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Utföra en riskbedömning	CMA_0388 – Utföra en riskbedömning	Manuell, inaktiverad	1.1.0

COSO-princip 9

ID: SOC 2 Typ 2 CC3.4 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Utvärdera risker i relationer från tredje part	CMA_0014 – Utvärdera risker i relationer från tredje part	Manuell, inaktiverad	1.1.0
Definiera krav för leverans av varor och tjänster	CMA_0126 – Definiera krav för leverans av varor och tjänster	Manuell, inaktiverad	1.1.0
Fastställa leverantörskontraktsförpliktelser	CMA_0140 – Fastställa leverantörskontraktsförpliktelser	Manuell, inaktiverad	1.1.0
Upprätta en riskhanteringsstrategi	CMA_0258 – Upprätta en riskhanteringsstrategi	Manuell, inaktiverad	1.1.0
Upprätta principer för riskhantering i leveranskedjan	CMA_0275 – Upprätta principer för riskhantering i leveranskedjan	Manuell, inaktiverad	1.1.0
Utföra en riskbedömning	CMA_0388 – Utföra en riskbedömning	Manuell, inaktiverad	1.1.0

Övervakningsaktiviteter

COSO-princip 16

ID: SOC 2 Typ 2 CC4.1 Ägarskap: Delat

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Utvärdera säkerhetskontroller	CMA_C1145 – Utvärdera säkerhetskontroller	Manuell, inaktiverad	1.1.0
Utveckla en plan för säkerhetsbedömning	CMA_C1144 – Utveckla en plan för säkerhetsbedömning	Manuell, inaktiverad	1.1.0
Välj ytterligare testning för utvärderingar av säkerhetskontroll	CMA_C1149 – Välj ytterligare testning för säkerhetskontrollutvärderingar	Manuell, inaktiverad	1.1.0

COSO-princip 17

ID: SOC 2 Typ 2 CC4.2 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Leverera resultat från säkerhetsutvärdering	CMA_C1147 – Leverera resultat för säkerhetsutvärdering	Manuell, inaktiverad	1.1.0
Skapa en rapport för säkerhetsutvärdering	CMA_C1146 – Skapa en rapport om säkerhetsbedömning	Manuell, inaktiverad	1.1.0

Kontrollaktiviteter

COSO-princip 10

ID: SOC 2 Typ 2 CC5.1 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Upprätta en riskhanteringsstrategi	CMA_0258 – Upprätta en riskhanteringsstrategi	Manuell, inaktiverad	1.1.0
Utföra en riskbedömning	CMA_0388 – Utföra en riskbedömning	Manuell, inaktiverad	1.1.0

COSO-princip 11

ID: SOC 2 Typ 2 CC5.2 Ägarskap: Delad

COSO-princip 12

ID: SOC 2 Typ 2 CC5.3 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Konfigurera vitlista för identifiering	CMA_0068 – Konfigurera vitlista för identifiering	Manuell, inaktiverad	1.1.0
Utföra en riskbedömning	CMA_0388 – Utföra en riskbedömning	Manuell, inaktiverad	1.1.0
Aktivera sensorer för slutpunktssäkerhetslösning	CMA_0514 – Aktivera sensorer för slutpunktssäkerhetslösning	Manuell, inaktiverad	1.1.0
Genomgå oberoende säkerhetsgranskning	CMA_0515 – Genomgå oberoende säkerhetsgranskning	Manuell, inaktiverad	1.1.0

Logiska och fysiska åtkomstkontroller

Programvara, infrastruktur och arkitekturer för logisk åtkomstsäkerhet

ID: SOC 2 Typ 2 CC6.1 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Högst 3 ägare bör utses för din prenumeration	Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare.	AuditIfNotExists, inaktiverad	3.0.0
Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade	Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser.	AuditIfNotExists, inaktiverad	1.0.0
Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade	Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser.	AuditIfNotExists, inaktiverad	1.0.0
Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade	Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser.	AuditIfNotExists, inaktiverad	1.0.0
Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer	Azure Security Center analyserar trafikmönstren för internetuppkopplade virtuella datorer och tillhandahåller regelrekommendationer för nätverkssäkerhetsgrupp som minskar den potentiella attackytan	AuditIfNotExists, inaktiverad	3.0.0
Använda mekanismer för biometrisk autentisering	CMA_0005 – Använda mekanismer för biometrisk autentisering	Manuell, inaktiverad	1.1.0
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn	Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser.	AuditIfNotExists, inaktiverad	3.0.0
App Service-appar bör endast vara tillgängliga via HTTPS	Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå.	Granska, inaktiverad, Neka	4.0.0
App Service-appar bör endast kräva FTPS	Aktivera FTPS-tillämpning för förbättrad säkerhet.	AuditIfNotExists, inaktiverad	3.0.0
Autentisering till Linux-datorer bör kräva SSH-nycklar	Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, inaktiverad	3.2.0
Auktorisera åtkomst till säkerhetsfunktioner och information	CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information	Manuell, inaktiverad	1.1.0
Auktorisera och hantera åtkomst	CMA_0023 – Auktorisera och hantera åtkomst	Manuell, inaktiverad	1.1.0
Auktorisera fjärråtkomst	CMA_0024 – Auktorisera fjärråtkomst	Manuell, inaktiverad	1.1.0
Automation-kontovariabler ska krypteras	Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras	Granska, neka, inaktiverad	1.1.0
Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data	Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk.	audit, Audit, deny, Deny, disabled, Disabled	1.1.0
Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel	Hantera kryptering i resten av Azure Machine Learning-arbetsytedata med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/azureml-workspaces-cmk.	Granska, neka, inaktiverad	1.0.3
Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort	Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in.	AuditIfNotExists, inaktiverad	1.0.0
Certifikaten ska ha den angivna maximala giltighetsperioden	Hantera organisationens efterlevnadskrav genom att ange den maximala tid som ett certifikat kan vara giltigt i ditt nyckelvalv.	audit, Audit, deny, Deny, disabled, Disabled	2.2.1
Cognitive Services-konton bör aktivera datakryptering med en kundhanterad nyckel	Kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data som lagras i Cognitive Services krypteras med en Azure Key Vault-nyckel som skapats och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om kundhanterade nycklar på https://go.microsoft.com/fwlink/?linkid=2121321.	Granska, neka, inaktiverad	2.1.0
Containerregister ska krypteras med en kundhanterad nyckel	Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet i dina register. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/acr/CMK.	Granska, neka, inaktiverad	1.1.2
Kontrollera informationsflödet	CMA_0079 – Kontrollera informationsflödet	Manuell, inaktiverad	1.1.0
Kontrollera fysisk åtkomst	CMA_0081 – Kontrollera fysisk åtkomst	Manuell, inaktiverad	1.1.0
Skapa en datainventering	CMA_0096 – Skapa en datainventering	Manuell, inaktiverad	1.1.0
Definiera en process för hantering av fysiska nycklar	CMA_0115 – Definiera en process för hantering av fysiska nycklar	Manuell, inaktiverad	1.1.0
Definiera kryptografisk användning	CMA_0120 – Definiera kryptografisk användning	Manuell, inaktiverad	1.1.0
Definiera organisationens krav för hantering av kryptografiska nycklar	CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar	Manuell, inaktiverad	1.1.0
Utforma en åtkomstkontrollmodell	CMA_0129 – Utforma en åtkomstkontrollmodell	Manuell, inaktiverad	1.1.0
Fastställa krav för försäkran	CMA_0136 – Fastställa kontrollkrav	Manuell, inaktiverad	1.1.0
Dokumentera mobilitetsträning	CMA_0191 – Utbildning i dokumentmobilitet	Manuell, inaktiverad	1.1.0
Dokumentera riktlinjer för fjärråtkomst	CMA_0196 – Dokumentera riktlinjer för fjärråtkomst	Manuell, inaktiverad	1.1.0
Använda flödeskontrollmekanismer för krypterad information	CMA_0211 – Använda flödeskontrollmekanismer för krypterad information	Manuell, inaktiverad	1.1.0
Använda åtkomst med minst behörighet	CMA_0212 – Använda åtkomst med minst behörighet	Manuell, inaktiverad	1.1.0
Framtvinga logisk åtkomst	CMA_0245 – Framtvinga logisk åtkomst	Manuell, inaktiverad	1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll	Manuell, inaktiverad	1.1.0
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar	Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern.	Granskning, inaktiverad	1.0.1
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar	Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern.	Granskning, inaktiverad	1.0.1
Upprätta en procedur för hantering av dataläckage	CMA_0255 – Upprätta en procedur för hantering av dataläckage	Manuell, inaktiverad	1.1.0
Upprätta konfigurationsstandarder för brandvägg och router	CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router	Manuell, inaktiverad	1.1.0
Upprätta nätverkssegmentering för kortinnehavarens datamiljö	CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö	Manuell, inaktiverad	1.1.0
Funktionsappar bör endast vara tillgängliga via HTTPS	Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå.	Granska, inaktiverad, Neka	5.0.0
Funktionsappar bör endast kräva FTPS	Aktivera FTPS-tillämpning för förbättrad säkerhet.	AuditIfNotExists, inaktiverad	3.0.0
Funktionsappar bör använda den senaste TLS-versionen	Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen.	AuditIfNotExists, inaktiverad	2.0.1
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort	Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst.	AuditIfNotExists, inaktiverad	1.0.0
Identifiera och hantera informationsutbyten i underordnade led	CMA_0298 – Identifiera och hantera informationsutbyten i nedströms	Manuell, inaktiverad	1.1.0
Implementera kontroller för att skydda alternativa arbetsplatser	CMA_0315 – Implementera kontroller för att skydda alternativa arbetsplatser	Manuell, inaktiverad	1.1.0
Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden	CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden	Manuell, inaktiverad	1.1.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper	Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc	AuditIfNotExists, inaktiverad	3.0.0
Utfärda certifikat för offentlig nyckel	CMA_0347 – Utfärda certifikat för offentlig nyckel	Manuell, inaktiverad	1.1.0
Key Vault-nycklar bör ha ett utgångsdatum	Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar.	Granska, neka, inaktiverad	1.0.2
Key Vault-hemligheter bör ha ett utgångsdatum	Hemligheter bör ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter.	Granska, neka, inaktiverad	1.0.2
Nyckelvalv bör ha borttagningsskydd aktiverat	Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard.	Granska, neka, inaktiverad	2.1.0
Nyckelvalv bör ha mjuk borttagning aktiverat	Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod.	Granska, neka, inaktiverad	3.0.0
Kubernetes-kluster bör endast vara tillgängliga via HTTPS	Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc	audit, Audit, deny, Deny, disabled, Disabled	8.1.0
Upprätthålla register över bearbetning av personuppgifter	CMA_0353 – Upprätthålla register över bearbetning av personuppgifter	Manuell, inaktiverad	1.1.0
Hantera symmetriska kryptografiska nycklar	CMA_0367 – Hantera symmetriska kryptografiska nycklar	Manuell, inaktiverad	1.1.0
Hantera indata, utdata, bearbetning och lagring av data	CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data	Manuell, inaktiverad	1.1.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk	Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer	AuditIfNotExists, inaktiverad	3.0.0
Hanteringsportar bör stängas på dina virtuella datorer	Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn.	AuditIfNotExists, inaktiverad	3.0.0
MySQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data	Använd kundhanterade nycklar för att hantera krypteringen på resten av mySQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering.	AuditIfNotExists, inaktiverad	1.0.4
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper	Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc	AuditIfNotExists, inaktiverad	3.0.0
Meddela användare om systeminloggning eller åtkomst	CMA_0382 – Meddela användare om systeminloggning eller åtkomst	Manuell, inaktiverad	1.1.0
Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade	Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning	Granska, neka, inaktiverad	1.0.0
PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data	Använd kundhanterade nycklar för att hantera krypteringen på resten av postgreSQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering.	AuditIfNotExists, inaktiverad	1.0.4
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Skydda särskild information	CMA_0409 – Skydda särskild information	Manuell, inaktiverad	1.1.0
Tillhandahålla sekretessutbildning	CMA_0415 – Tillhandahålla sekretessutbildning	Manuell, inaktiverad	1.1.0
Kräv godkännande för att skapa konto	CMA_0431 – Kräv godkännande för att skapa konto	Manuell, inaktiverad	1.1.0
Begränsa åtkomsten till privata nycklar	CMA_0445 – Begränsa åtkomsten till privata nycklar	Manuell, inaktiverad	1.1.0
Granska användargrupper och program med åtkomst till känsliga data	CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data	Manuell, inaktiverad	1.1.0
Säker överföring till lagringskonton ska vara aktiverad	Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning	Granska, neka, inaktiverad	2.0.0
Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign	Service Fabric tillhandahåller tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för kommunikation från nod till nod med hjälp av ett primärt klustercertifikat. Ange skyddsnivå för att säkerställa att alla nod-till-nod-meddelanden krypteras och signeras digitalt	Granska, neka, inaktiverad	1.1.0
SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data	Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav.	Granska, neka, inaktiverad	2.0.0
SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data	Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav.	Granska, neka, inaktiverad	2.0.1
Lagringskonto som innehåller containern med aktivitetsloggar måste krypteras med BYOK	Den här principen granskar om lagringskontot som innehåller containern med aktivitetsloggar krypteras med BYOK. Principen fungerar bara om lagringskontot finns i samma prenumeration som aktivitetsloggar avsiktligt. Mer information om Azure Storage-kryptering i vila finns här https://aka.ms/azurestoragebyok.	AuditIfNotExists, inaktiverad	1.0.0
Lagringskonton bör använda kundhanterad nyckel för kryptering	Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt.	Granskning, inaktiverad	1.0.3
Undernät ska associeras med en nätverkssäkerhetsgrupp	Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät.	AuditIfNotExists, inaktiverad	3.0.0
Det bör finnas fler än en ägare tilldelad till din prenumeration	Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans.	AuditIfNotExists, inaktiverad	3.0.0
transparent datakryptering på SQL-databaser ska vara aktiverat	Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven	AuditIfNotExists, inaktiverad	2.0.0
Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser	Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar, datacacheminnen och data som flödar mellan beräkning och lagring krypteras inte. Ignorera den här rekommendationen om: 1. med kryptering på värden, eller 2. kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer i: Kryptering på serversidan av Azure Disk Storage: https://aka.ms/disksse, Olika diskkrypteringserbjudanden: https://aka.ms/diskencryptioncomparison	AuditIfNotExists, inaktiverad	2.0.3
Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll	För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer.	AuditIfNotExists, inaktiverad	4.1.1

Åtkomstetablering och borttagning

ID: SOC 2 Typ 2 CC6.2 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Tilldela kontoansvariga	CMA_0015 – Tilldela kontoansvariga	Manuell, inaktiverad	1.1.0
Granska användarkontostatus	CMA_0020 – Granska användarkontostatus	Manuell, inaktiverad	1.1.0
Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort	Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in.	AuditIfNotExists, inaktiverad	1.0.0
Behörigheter för dokumentåtkomst	CMA_0186 – Behörigheter för dokumentåtkomst	Manuell, inaktiverad	1.1.0
Upprätta villkor för rollmedlemskap	CMA_0269 – Upprätta villkor för rollmedlemskap	Manuell, inaktiverad	1.1.0
Gästkonton med läsbehörighet för Azure-resurser bör tas bort	Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst.	AuditIfNotExists, inaktiverad	1.0.0
Gästkonton med skrivbehörighet för Azure-resurser bör tas bort	Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst.	AuditIfNotExists, inaktiverad	1.0.0
Kräv godkännande för att skapa konto	CMA_0431 – Kräv godkännande för att skapa konto	Manuell, inaktiverad	1.1.0
Begränsa åtkomsten till privilegierade konton	CMA_0446 – Begränsa åtkomsten till privilegierade konton	Manuell, inaktiverad	1.1.0
Granska kontoetableringsloggar	CMA_0460 – Granska kontoetableringsloggar	Manuell, inaktiverad	1.1.0
Granska användarkonton	CMA_0480 – Granska användarkonton	Manuell, inaktiverad	1.1.0

Rol-baserad åtkomst och minsta behörighet

ID: SOC 2 Typ 2 CC6.3 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Högst 3 ägare bör utses för din prenumeration	Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare.	AuditIfNotExists, inaktiverad	3.0.0
Granska privilegierade funktioner	CMA_0019 – Granska privilegierade funktioner	Manuell, inaktiverad	1.1.0
Granska användningen av anpassade RBAC-roller	Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering	Granskning, inaktiverad	1.0.1
Granska användarkontostatus	CMA_0020 – Granska användarkontostatus	Manuell, inaktiverad	1.1.0
Rollbaserad åtkomstkontroll i Azure (RBAC) ska användas i Kubernetes Services	Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användarna kan utföra använder du Rollbaserad åtkomstkontroll i Azure (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper.	Granskning, inaktiverad	1.0.3
Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort	Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in.	AuditIfNotExists, inaktiverad	1.0.0
Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort	Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in.	AuditIfNotExists, inaktiverad	1.0.0
Utforma en åtkomstkontrollmodell	CMA_0129 – Utforma en åtkomstkontrollmodell	Manuell, inaktiverad	1.1.0
Använda åtkomst med minst behörighet	CMA_0212 – Använda åtkomst med minst behörighet	Manuell, inaktiverad	1.1.0
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort	Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst.	AuditIfNotExists, inaktiverad	1.0.0
Gästkonton med läsbehörighet för Azure-resurser bör tas bort	Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst.	AuditIfNotExists, inaktiverad	1.0.0
Gästkonton med skrivbehörighet för Azure-resurser bör tas bort	Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst.	AuditIfNotExists, inaktiverad	1.0.0
Övervaka privilegierad rolltilldelning	CMA_0378 – Övervaka privilegierad rolltilldelning	Manuell, inaktiverad	1.1.0
Begränsa åtkomsten till privilegierade konton	CMA_0446 – Begränsa åtkomsten till privilegierade konton	Manuell, inaktiverad	1.1.0
Granska kontoetableringsloggar	CMA_0460 – Granska kontoetableringsloggar	Manuell, inaktiverad	1.1.0
Granska användarkonton	CMA_0480 – Granska användarkonton	Manuell, inaktiverad	1.1.0
Granska användarbehörigheter	CMA_C1039 – Granska användarbehörigheter	Manuell, inaktiverad	1.1.0
Återkalla privilegierade roller efter behov	CMA_0483 – Återkalla privilegierade roller efter behov	Manuell, inaktiverad	1.1.0
Det bör finnas fler än en ägare tilldelad till din prenumeration	Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans.	AuditIfNotExists, inaktiverad	3.0.0
Använda privilegierad identitetshantering	CMA_0533 – Använda privilegierad identitetshantering	Manuell, inaktiverad	1.1.0

Begränsad fysisk åtkomst

ID: SOC 2 Typ 2 CC6.4 Ägarskap: Delat

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Kontrollera fysisk åtkomst	CMA_0081 – Kontrollera fysisk åtkomst	Manuell, inaktiverad	1.1.0

Logiskt och fysiskt skydd över fysiska tillgångar

ID: SOC 2 Typ 2 CC6.5 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Använda en mekanism för mediesanering	CMA_0208 – Använda en mekanism för mediesanering	Manuell, inaktiverad	1.1.0
Implementera kontroller för att skydda alla medier	CMA_0314 – Implementera kontroller för att skydda alla medier	Manuell, inaktiverad	1.1.0

Säkerhetsåtgärder mot hot utanför systemgränser

ID: SOC 2 Typ 2 CC6.6 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
[Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall	Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds	AuditIfNotExists, inaktiverad	3.0.0-preview
Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade	Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser.	AuditIfNotExists, inaktiverad	1.0.0
Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade	Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser.	AuditIfNotExists, inaktiverad	1.0.0
Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade	Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser.	AuditIfNotExists, inaktiverad	1.0.0
Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer	Azure Security Center analyserar trafikmönstren för internetuppkopplade virtuella datorer och tillhandahåller regelrekommendationer för nätverkssäkerhetsgrupp som minskar den potentiella attackytan	AuditIfNotExists, inaktiverad	3.0.0
Använda mekanismer för biometrisk autentisering	CMA_0005 – Använda mekanismer för biometrisk autentisering	Manuell, inaktiverad	1.1.0
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn	Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser.	AuditIfNotExists, inaktiverad	3.0.0
App Service-appar bör endast vara tillgängliga via HTTPS	Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå.	Granska, inaktiverad, Neka	4.0.0
App Service-appar bör endast kräva FTPS	Aktivera FTPS-tillämpning för förbättrad säkerhet.	AuditIfNotExists, inaktiverad	3.0.0
Autentisering till Linux-datorer bör kräva SSH-nycklar	Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists, inaktiverad	3.2.0
Auktorisera fjärråtkomst	CMA_0024 – Auktorisera fjärråtkomst	Manuell, inaktiverad	1.1.0
Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter	Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler.	Granska, neka, inaktiverad	1.0.2
Kontrollera informationsflödet	CMA_0079 – Kontrollera informationsflödet	Manuell, inaktiverad	1.1.0
Dokumentera mobilitetsträning	CMA_0191 – Utbildning i dokumentmobilitet	Manuell, inaktiverad	1.1.0
Dokumentera riktlinjer för fjärråtkomst	CMA_0196 – Dokumentera riktlinjer för fjärråtkomst	Manuell, inaktiverad	1.1.0
Använda flödeskontrollmekanismer för krypterad information	CMA_0211 – Använda flödeskontrollmekanismer för krypterad information	Manuell, inaktiverad	1.1.0
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar	Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern.	Granskning, inaktiverad	1.0.1
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar	Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern.	Granskning, inaktiverad	1.0.1
Upprätta konfigurationsstandarder för brandvägg och router	CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router	Manuell, inaktiverad	1.1.0
Upprätta nätverkssegmentering för kortinnehavarens datamiljö	CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö	Manuell, inaktiverad	1.1.0
Funktionsappar bör endast vara tillgängliga via HTTPS	Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå.	Granska, inaktiverad, Neka	5.0.0
Funktionsappar bör endast kräva FTPS	Aktivera FTPS-tillämpning för förbättrad säkerhet.	AuditIfNotExists, inaktiverad	3.0.0
Funktionsappar bör använda den senaste TLS-versionen	Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen.	AuditIfNotExists, inaktiverad	2.0.1
Identifiera och autentisera nätverksenheter	CMA_0296 – Identifiera och autentisera nätverksenheter	Manuell, inaktiverad	1.1.0
Identifiera och hantera informationsutbyten i underordnade led	CMA_0298 – Identifiera och hantera informationsutbyten i nedströms	Manuell, inaktiverad	1.1.0
Implementera kontroller för att skydda alternativa arbetsplatser	CMA_0315 – Implementera kontroller för att skydda alternativa arbetsplatser	Manuell, inaktiverad	1.1.0
Implementera systemgränsskydd	CMA_0328 – Implementera systemgränsskydd	Manuell, inaktiverad	1.1.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper	Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc	AuditIfNotExists, inaktiverad	3.0.0
IP-vidarebefordran på den virtuella datorn bör inaktiveras	Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet.	AuditIfNotExists, inaktiverad	3.0.0
Kubernetes-kluster bör endast vara tillgängliga via HTTPS	Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc	audit, Audit, deny, Deny, disabled, Disabled	8.1.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk	Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer	AuditIfNotExists, inaktiverad	3.0.0
Hanteringsportar bör stängas på dina virtuella datorer	Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn.	AuditIfNotExists, inaktiverad	3.0.0
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper	Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc	AuditIfNotExists, inaktiverad	3.0.0
Meddela användare om systeminloggning eller åtkomst	CMA_0382 – Meddela användare om systeminloggning eller åtkomst	Manuell, inaktiverad	1.1.0
Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade	Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning	Granska, neka, inaktiverad	1.0.0
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Tillhandahålla sekretessutbildning	CMA_0415 – Tillhandahålla sekretessutbildning	Manuell, inaktiverad	1.1.0
Säker överföring till lagringskonton ska vara aktiverad	Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning	Granska, neka, inaktiverad	2.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp	Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät.	AuditIfNotExists, inaktiverad	3.0.0
Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway	Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler.	Granska, neka, inaktiverad	2.0.0
Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll	För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer.	AuditIfNotExists, inaktiverad	4.1.1

Begränsa förflyttning av information till behöriga användare

ID: SOC 2 Typ 2 CC6.7 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer	Azure Security Center analyserar trafikmönstren för internetuppkopplade virtuella datorer och tillhandahåller regelrekommendationer för nätverkssäkerhetsgrupp som minskar den potentiella attackytan	AuditIfNotExists, inaktiverad	3.0.0
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn	Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser.	AuditIfNotExists, inaktiverad	3.0.0
App Service-appar bör endast vara tillgängliga via HTTPS	Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå.	Granska, inaktiverad, Neka	4.0.0
App Service-appar bör endast kräva FTPS	Aktivera FTPS-tillämpning för förbättrad säkerhet.	AuditIfNotExists, inaktiverad	3.0.0
Konfigurera arbetsstationer för att söka efter digitala certifikat	CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat	Manuell, inaktiverad	1.1.0
Kontrollera informationsflödet	CMA_0079 – Kontrollera informationsflödet	Manuell, inaktiverad	1.1.0
Definiera krav för mobila enheter	CMA_0122 – Definiera krav för mobila enheter	Manuell, inaktiverad	1.1.0
Använda en mekanism för mediesanering	CMA_0208 – Använda en mekanism för mediesanering	Manuell, inaktiverad	1.1.0
Använda flödeskontrollmekanismer för krypterad information	CMA_0211 – Använda flödeskontrollmekanismer för krypterad information	Manuell, inaktiverad	1.1.0
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar	Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern.	Granskning, inaktiverad	1.0.1
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar	Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern.	Granskning, inaktiverad	1.0.1
Upprätta konfigurationsstandarder för brandvägg och router	CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router	Manuell, inaktiverad	1.1.0
Upprätta nätverkssegmentering för kortinnehavarens datamiljö	CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö	Manuell, inaktiverad	1.1.0
Funktionsappar bör endast vara tillgängliga via HTTPS	Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå.	Granska, inaktiverad, Neka	5.0.0
Funktionsappar bör endast kräva FTPS	Aktivera FTPS-tillämpning för förbättrad säkerhet.	AuditIfNotExists, inaktiverad	3.0.0
Funktionsappar bör använda den senaste TLS-versionen	Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen.	AuditIfNotExists, inaktiverad	2.0.1
Identifiera och hantera informationsutbyten i underordnade led	CMA_0298 – Identifiera och hantera informationsutbyten i nedströms	Manuell, inaktiverad	1.1.0
Implementera kontroller för att skydda alla medier	CMA_0314 – Implementera kontroller för att skydda alla medier	Manuell, inaktiverad	1.1.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper	Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc	AuditIfNotExists, inaktiverad	3.0.0
Kubernetes-kluster bör endast vara tillgängliga via HTTPS	Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc	audit, Audit, deny, Deny, disabled, Disabled	8.1.0
Hantera transport av tillgångar	CMA_0370 – Hantera transport av tillgångar	Manuell, inaktiverad	1.1.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk	Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer	AuditIfNotExists, inaktiverad	3.0.0
Hanteringsportar bör stängas på dina virtuella datorer	Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn.	AuditIfNotExists, inaktiverad	3.0.0
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper	Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc	AuditIfNotExists, inaktiverad	3.0.0
Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade	Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning	Granska, neka, inaktiverad	1.0.0
Skydda data under överföring med hjälp av kryptering	CMA_0403 – Skydda data under överföring med kryptering	Manuell, inaktiverad	1.1.0
Skydda lösenord med kryptering	CMA_0408 – Skydda lösenord med kryptering	Manuell, inaktiverad	1.1.0
Säker överföring till lagringskonton ska vara aktiverad	Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning	Granska, neka, inaktiverad	2.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp	Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät.	AuditIfNotExists, inaktiverad	3.0.0
Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll	För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer.	AuditIfNotExists, inaktiverad	4.1.1

Förhindra eller identifiera mot obehörig eller skadlig programvara

ID: SOC 2 Typ 2 CC6.8 Ägarskap: Delat

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
[Inaktuell]: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat	Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat.	Granskning, inaktiverad	3.1.0-inaktuell
[Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds	Installera gästattesteringstillägget på virtuella Linux-datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda starta och konfidentiella virtuella Linux-datorer.	AuditIfNotExists, inaktiverad	6.0.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds	Installera gästattesteringstillägget på linux-skalningsuppsättningar som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för vm-skalningsuppsättningar för betrodd start och konfidentiell Linux.	AuditIfNotExists, inaktiverad	5.1.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Windows-datorer som stöds	Installera gästattesteringstillägget på virtuella datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt.	AuditIfNotExists, inaktiverad	4.0.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds	Installera gästattesteringstillägget på skalningsuppsättningar som stöds för virtuella datorer så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda start- och konfidentiella skalningsuppsättningar för virtuella Windows-datorer.	AuditIfNotExists, inaktiverad	3.1.0-preview
[Förhandsversion]: Säker start ska vara aktiverat på virtuella Windows-datorer som stöds	Aktivera säker start på virtuella Windows-datorer som stöds för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt.	Granskning, inaktiverad	4.0.0-preview
[Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds	Aktivera virtuell TPM-enhet på virtuella datorer som stöds för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer.	Granskning, inaktiverad	2.0.0-preview
Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer	Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Security Center maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program.	AuditIfNotExists, inaktiverad	3.0.0
Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras	Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Azure Security Centers anpassningsbara programkontroller. Security Center använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända och säkra program. Dessa visas som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper.	AuditIfNotExists, inaktiverad	3.0.0
App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade	Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1.	AuditIfNotExists, inaktiverad	1.0.0
App Service-appar bör ha fjärrfelsökning inaktiverat	Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av.	AuditIfNotExists, inaktiverad	2.0.0
App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar	Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app.	AuditIfNotExists, inaktiverad	2.0.0
App Service-appar bör använda den senaste HTTP-versionen	Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen.	AuditIfNotExists, inaktiverad	4.0.0
Granska virtuella datorer som inte använder hanterade diskar	Den här principen granskar virtuella datorer som inte använder hanterade diskar	granska	1.0.0
Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Policy-tillägget installerat	Azure Policy-tillägget för Azure Arc tillhandahåller skalbara tillämpningsåtgärder och skydd på dina Arc-aktiverade Kubernetes-kluster på ett centraliserat och konsekvent sätt. Läs mer på https://aka.ms/akspolicydoc.	AuditIfNotExists, inaktiverad	1.1.0
Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster	Azure Policy-tillägget för Kubernetes-tjänsten (AKS) utökar Gatekeeper v3, en webhook för antagningskontrollanter för Open Policy Agent (OPA), för att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt.	Granskning, inaktiverad	1.0.2
Blockera ej betrodda och osignerade processer som körs från USB	CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB	Manuell, inaktiverad	1.1.0
Problem med slutpunktsskyddshälsa bör lösas på dina datorer	Lös problem med slutpunktsskyddshälsa på dina virtuella datorer för att skydda dem mot de senaste hoten och sårbarheterna. Slutpunktsskyddslösningar som stöds i Azure Security Center dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Utvärdering av slutpunktsskydd dokumenteras här – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection.	AuditIfNotExists, inaktiverad	1.0.0
Slutpunktsskydd ska installeras på dina datorer	Installera en slutpunktsskyddslösning som stöds för att skydda dina datorer mot hot och sårbarheter.	AuditIfNotExists, inaktiverad	1.0.0
Slutpunktsskyddslösningen ska installeras på vm-skalningsuppsättningar	Granska förekomsten och hälsotillståndet för en slutpunktsskyddslösning på dina vm-skalningsuppsättningar för att skydda dem mot hot och sårbarheter.	AuditIfNotExists, inaktiverad	3.0.0
Funktionsappar bör ha fjärrfelsökning inaktiverat	Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av.	AuditIfNotExists, inaktiverad	2.0.0
Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar	Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen.	AuditIfNotExists, inaktiverad	2.0.0
Funktionsappar bör använda den senaste HTTP-versionen	Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen.	AuditIfNotExists, inaktiverad	4.0.0
Gästkonfigurationstillägget ska installeras på dina datorer	Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol.	AuditIfNotExists, inaktiverad	1.0.3
Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna	Framtvinga cpu- och minnesresursgränser för containrar för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	9.2.0
Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde	Blockera poddcontainrar från att dela värdprocess-ID-namnområdet och värd-IPC-namnområdet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.2 och CIS 5.2.3 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	5.1.0
Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler	Containrar bör endast använda tillåtna AppArmor-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.1
Kubernetes-klustercontainrar bör endast använda tillåtna funktioner	Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.0
Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar	Använd bilder från betrodda register för att minska Kubernetes-klustrets exponeringsrisk för okända sårbarheter, säkerhetsproblem och skadliga bilder. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	9.2.0
Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem	Kör containrar med ett skrivskyddat rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.2.0
Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar	Begränsa poddens HostPath-volymmonteringar till tillåtna värdsökvägar i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.1
Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er	Kontrollera användar-, primärgrupp-, tilläggs- och filsystemgrupp-ID:t som poddar och containrar kan använda för att köras i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.1
Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall	Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.0
Kubernetes-klustertjänster bör endast lyssna på tillåtna portar	Begränsa tjänster till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	8.1.0
Kubernetes-kluster bör inte tillåta privilegierade containrar	Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	9.1.0
Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter	Inaktivera automatisk inmontering av API-autentiseringsuppgifter för att förhindra att en potentiellt komprometterad poddresurs kör API-kommandon mot Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	4.1.0
Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier	Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	7.1.0
Kubernetes-kluster bör inte bevilja CAP_SYS_ADMIN säkerhetsfunktioner	Begränsa CAP_SYS_ADMIN Linux-funktioner för att minska angreppsytan för dina containrar. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	5.1.0
Kubernetes-kluster bör inte använda standardnamnområdet	Förhindra användning av standardnamnområdet i Kubernetes-kluster för att skydda mot obehörig åtkomst för resurstyperna ConfigMap, Pod, Secret, Service och ServiceAccount. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	4.1.0
Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning	Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning.	AuditIfNotExists, inaktiverad	2.2.0
Hantera gatewayer	CMA_0363 – Hantera gatewayer	Manuell, inaktiverad	1.1.0
Övervaka saknat Endpoint Protection i Azure Security Center	Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer	AuditIfNotExists, inaktiverad	3.0.0
Endast godkända VM-tillägg ska installeras	Den här principen styr de tillägg för virtuella datorer som inte är godkända.	Granska, neka, inaktiverad	1.0.0
Utföra en trendanalys av hot	CMA_0389 – Utföra en trendanalys av hot	Manuell, inaktiverad	1.1.0
Utföra sårbarhetsgenomsökningar	CMA_0393 – Utföra sårbarhetsgenomsökningar	Manuell, inaktiverad	1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka	CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka	Manuell, inaktiverad	1.1.0
Granska hotskyddsstatus varje vecka	CMA_0479 – Granska hotskyddsstatus varje vecka	Manuell, inaktiverad	1.1.0
Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster	Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot.	Granska, neka, inaktiverad	1.0.0
Uppdatera antivirusdefinitioner	CMA_0517 – Uppdatera antivirusdefinitioner	Manuell, inaktiverad	1.1.0
Verifiera programvara, inbyggd programvara och informationsintegritet	CMA_0542 – Verifiera programvara, inbyggd programvara och informationsintegritet	Manuell, inaktiverad	1.1.0
Visa och konfigurera systemdiagnostikdata	CMA_0544 – Visa och konfigurera systemdiagnostikdata	Manuell, inaktiverad	1.1.0
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet	Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol	AuditIfNotExists, inaktiverad	1.0.1
Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen	Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning.	AuditIfNotExists, inaktiverad	2.0.0

Systemåtgärder

Identifiering och övervakning av nya säkerhetsrisker

ID: SOC 2 Typ 2 CC7.1 Ägarskap: Delat

Övervaka systemkomponenter för avvikande beteende

ID: SOC 2 Typ 2 CC7.2 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
[Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat	Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists, inaktiverad	6.0.0-preview
En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder	Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar.	AuditIfNotExists, inaktiverad	1.0.0
En aktivitetsloggavisering bör finnas för specifika principåtgärder	Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats.	AuditIfNotExists, inaktiverad	3.0.0
En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder	Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats.	AuditIfNotExists, inaktiverad	1.0.0
Azure Defender för App Service ska vara aktiverat	Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker.	AuditIfNotExists, inaktiverad	1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade	Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data.	AuditIfNotExists, inaktiverad	1.0.2
Azure Defender för Key Vault ska vara aktiverat	Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton.	AuditIfNotExists, inaktiverad	1.0.3
Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat	Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center	AuditIfNotExists, inaktiverad	1.0.0
Azure Defender för Resource Manager ska vara aktiverat	Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center .	AuditIfNotExists, inaktiverad	1.0.0
Azure Defender för servrar ska vara aktiverat	Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter.	AuditIfNotExists, inaktiverad	1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat	Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data.	AuditIfNotExists, inaktiverad	1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar	Granska SQL-servrar utan Advanced Data Security	AuditIfNotExists, inaktiverad	2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances	Granska varje SQL Managed Instance utan avancerad datasäkerhet.	AuditIfNotExists, inaktiverad	1.0.2
Azure Kubernetes Service-kluster bör ha Defender-profil aktiverad	Microsoft Defender för containrar tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner, inklusive miljöhärdning, arbetsbelastningsskydd och körningsskydd. När du aktiverar SecurityProfile.AzureDefender i ditt Azure Kubernetes Service-kluster distribueras en agent till klustret för att samla in säkerhetshändelsedata. Läs mer om Microsoft Defender för containrar i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks	Granskning, inaktiverad	2.0.1
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts	Manuell, inaktiverad	1.1.0
Styra och övervaka granskningsbearbetningsaktiviteter	CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter	Manuell, inaktiverad	1.1.0
Microsoft Defender för containrar ska vara aktiverat	Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln.	AuditIfNotExists, inaktiverad	1.0.0
Microsoft Defender för Storage ska vara aktiverat	Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader.	AuditIfNotExists, inaktiverad	1.0.0
Utföra en trendanalys av hot	CMA_0389 – Utföra en trendanalys av hot	Manuell, inaktiverad	1.1.0
Windows Defender Exploit Guard ska vara aktiverat på dina datorer	Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows).	AuditIfNotExists, inaktiverad	2.0.0

Identifiering av säkerhetsincidenter

ID: SOC 2 Typ 2 CC7.3 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Granska och uppdatera principer och procedurer för incidenthantering	CMA_C1352 – Granska och uppdatera principer och procedurer för incidenthantering	Manuell, inaktiverad	1.1.0

Svar på säkerhetsincidenter

ID: SOC 2 Typ 2 CC7.4 Ägarskap: Delat

Återställning från identifierade säkerhetsincidenter

ID: SOC 2 Typ 2 CC7.5 Ägarskap: Delat

Ändringshantering

Ändringar i infrastruktur, data och programvara

ID: SOC 2 Typ 2 CC8.1 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
[Inaktuell]: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat	Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat.	Granskning, inaktiverad	3.1.0-inaktuell
[Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds	Installera gästattesteringstillägget på virtuella Linux-datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda starta och konfidentiella virtuella Linux-datorer.	AuditIfNotExists, inaktiverad	6.0.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds	Installera gästattesteringstillägget på linux-skalningsuppsättningar som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för vm-skalningsuppsättningar för betrodd start och konfidentiell Linux.	AuditIfNotExists, inaktiverad	5.1.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Windows-datorer som stöds	Installera gästattesteringstillägget på virtuella datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt.	AuditIfNotExists, inaktiverad	4.0.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds	Installera gästattesteringstillägget på skalningsuppsättningar som stöds för virtuella datorer så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda start- och konfidentiella skalningsuppsättningar för virtuella Windows-datorer.	AuditIfNotExists, inaktiverad	3.1.0-preview
[Förhandsversion]: Säker start ska vara aktiverat på virtuella Windows-datorer som stöds	Aktivera säker start på virtuella Windows-datorer som stöds för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt.	Granskning, inaktiverad	4.0.0-preview
[Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds	Aktivera virtuell TPM-enhet på virtuella datorer som stöds för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer.	Granskning, inaktiverad	2.0.0-preview
App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade	Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1.	AuditIfNotExists, inaktiverad	1.0.0
App Service-appar bör ha fjärrfelsökning inaktiverat	Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av.	AuditIfNotExists, inaktiverad	2.0.0
App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar	Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app.	AuditIfNotExists, inaktiverad	2.0.0
App Service-appar bör använda den senaste HTTP-versionen	Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen.	AuditIfNotExists, inaktiverad	4.0.0
Granska virtuella datorer som inte använder hanterade diskar	Den här principen granskar virtuella datorer som inte använder hanterade diskar	granska	1.0.0
Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Policy-tillägget installerat	Azure Policy-tillägget för Azure Arc tillhandahåller skalbara tillämpningsåtgärder och skydd på dina Arc-aktiverade Kubernetes-kluster på ett centraliserat och konsekvent sätt. Läs mer på https://aka.ms/akspolicydoc.	AuditIfNotExists, inaktiverad	1.1.0
Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster	Azure Policy-tillägget för Kubernetes-tjänsten (AKS) utökar Gatekeeper v3, en webhook för antagningskontrollanter för Open Policy Agent (OPA), för att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt.	Granskning, inaktiverad	1.0.2
Utföra en analys av säkerhetspåverkan	CMA_0057 – Utföra en analys av säkerhetspåverkan	Manuell, inaktiverad	1.1.0
Konfigurera åtgärder för inkompatibla enheter	CMA_0062 – Konfigurera åtgärder för inkompatibla enheter	Manuell, inaktiverad	1.1.0
Utveckla och underhålla en hantering av säkerhetsrisker standard	CMA_0152 – Utveckla och underhålla en hantering av säkerhetsrisker standard	Manuell, inaktiverad	1.1.0
Utveckla och underhålla baslinjekonfigurationer	CMA_0153 – Utveckla och underhålla baslinjekonfigurationer	Manuell, inaktiverad	1.1.0
Framtvinga inställningar för säkerhetskonfiguration	CMA_0249 – Framtvinga inställningar för säkerhetskonfiguration	Manuell, inaktiverad	1.1.0
Upprätta en kontrolltavla för konfiguration	CMA_0254 – Upprätta en kontrolltavla för konfiguration	Manuell, inaktiverad	1.1.0
Upprätta en riskhanteringsstrategi	CMA_0258 – Upprätta en riskhanteringsstrategi	Manuell, inaktiverad	1.1.0
Upprätta och dokumentera en konfigurationshanteringsplan	CMA_0264 – Upprätta och dokumentera en konfigurationshanteringsplan	Manuell, inaktiverad	1.1.0
Upprätta och dokumentera ändringskontrollprocesser	CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser	Manuell, inaktiverad	1.1.0
Upprätta konfigurationshanteringskrav för utvecklare	CMA_0270 – Upprätta konfigurationshanteringskrav för utvecklare	Manuell, inaktiverad	1.1.0
Funktionsappar bör ha fjärrfelsökning inaktiverat	Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av.	AuditIfNotExists, inaktiverad	2.0.0
Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar	Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen.	AuditIfNotExists, inaktiverad	2.0.0
Funktionsappar bör använda den senaste HTTP-versionen	Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen.	AuditIfNotExists, inaktiverad	4.0.0
Gästkonfigurationstillägget ska installeras på dina datorer	Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol.	AuditIfNotExists, inaktiverad	1.0.3
Implementera ett automatiserat konfigurationshanteringsverktyg	CMA_0311 – Implementera ett automatiserat konfigurationshanteringsverktyg	Manuell, inaktiverad	1.1.0
Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna	Framtvinga cpu- och minnesresursgränser för containrar för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	9.2.0
Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde	Blockera poddcontainrar från att dela värdprocess-ID-namnområdet och värd-IPC-namnområdet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.2 och CIS 5.2.3 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	5.1.0
Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler	Containrar bör endast använda tillåtna AppArmor-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.1
Kubernetes-klustercontainrar bör endast använda tillåtna funktioner	Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.0
Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar	Använd bilder från betrodda register för att minska Kubernetes-klustrets exponeringsrisk för okända sårbarheter, säkerhetsproblem och skadliga bilder. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	9.2.0
Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem	Kör containrar med ett skrivskyddat rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.2.0
Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar	Begränsa poddens HostPath-volymmonteringar till tillåtna värdsökvägar i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.1
Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er	Kontrollera användar-, primärgrupp-, tilläggs- och filsystemgrupp-ID:t som poddar och containrar kan använda för att köras i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.1
Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall	Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	6.1.0
Kubernetes-klustertjänster bör endast lyssna på tillåtna portar	Begränsa tjänster till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	8.1.0
Kubernetes-kluster bör inte tillåta privilegierade containrar	Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	9.1.0
Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter	Inaktivera automatisk inmontering av API-autentiseringsuppgifter för att förhindra att en potentiellt komprometterad poddresurs kör API-kommandon mot Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	4.1.0
Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier	Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	7.1.0
Kubernetes-kluster bör inte bevilja CAP_SYS_ADMIN säkerhetsfunktioner	Begränsa CAP_SYS_ADMIN Linux-funktioner för att minska angreppsytan för dina containrar. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	5.1.0
Kubernetes-kluster bör inte använda standardnamnområdet	Förhindra användning av standardnamnområdet i Kubernetes-kluster för att skydda mot obehörig åtkomst för resurstyperna ConfigMap, Pod, Secret, Service och ServiceAccount. Mer information finns i https://aka.ms/kubepolicydoc.	audit, Audit, deny, Deny, disabled, Disabled	4.1.0
Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning	Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning.	AuditIfNotExists, inaktiverad	2.2.0
Endast godkända VM-tillägg ska installeras	Den här principen styr de tillägg för virtuella datorer som inte är godkända.	Granska, neka, inaktiverad	1.0.0
Utföra en sekretesskonsekvensbedömning	CMA_0387 – Utföra en sekretesskonsekvensbedömning	Manuell, inaktiverad	1.1.0
Utföra en riskbedömning	CMA_0388 – Utföra en riskbedömning	Manuell, inaktiverad	1.1.0
Utföra granskning för konfigurationsändringskontroll	CMA_0390 – Utföra granskning för konfigurationsändringskontroll	Manuell, inaktiverad	1.1.0
Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster	Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot.	Granska, neka, inaktiverad	1.0.0
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet	Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol	AuditIfNotExists, inaktiverad	1.0.1
Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen	Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning.	AuditIfNotExists, inaktiverad	2.0.0

Riskreducering

Riskreduceringsaktiviteter

ID: SOC 2 Typ 2 CC9.1 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Fastställa informationsskyddsbehov	CMA_C1750 – Fastställa informationsskyddsbehov	Manuell, inaktiverad	1.1.0
Upprätta en riskhanteringsstrategi	CMA_0258 – Upprätta en riskhanteringsstrategi	Manuell, inaktiverad	1.1.0
Utföra en riskbedömning	CMA_0388 – Utföra en riskbedömning	Manuell, inaktiverad	1.1.0

Leverantörer och affärspartners riskhantering

ID: SOC 2 Typ 2 CC9.2 Ägarskap: Delad

Ytterligare villkor för sekretess

Sekretesspolicy

ID: SOC 2 Typ 2 P1.1 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Dokumentera och distribuera en sekretesspolicy	CMA_0188 – Dokumentera och distribuera en sekretesspolicy	Manuell, inaktiverad	1.1.0
Se till att sekretessprograminformation är offentligt tillgänglig	CMA_C1867 – Se till att sekretessprograminformation är offentligt tillgänglig	Manuell, inaktiverad	1.1.0
Implementera leveransmetoder för sekretessmeddelande	CMA_0324 – Implementera leveransmetoder för sekretessmeddelande	Manuell, inaktiverad	1.1.0
Ange sekretessmeddelande	CMA_0414 – Ange sekretessmeddelande	Manuell, inaktiverad	1.1.0
Lämna sekretessmeddelande till allmänheten och till enskilda användare	CMA_C1861 – Ge sekretessmeddelande till allmänheten och enskilda personer	Manuell, inaktiverad	1.1.0

ID: SOC 2 Typ 2 P2.1 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Dokumentera personalens godkännande av sekretesskrav	CMA_0193 – Dokumentera personalens godkännande av sekretesskrav	Manuell, inaktiverad	1.1.0
Implementera leveransmetoder för sekretessmeddelande	CMA_0324 – Implementera leveransmetoder för sekretessmeddelande	Manuell, inaktiverad	1.1.0
Få medgivande innan personuppgifter samlas in eller bearbetas	CMA_0385 – Få medgivande innan personuppgifter samlas in eller bearbetas	Manuell, inaktiverad	1.1.0
Ange sekretessmeddelande	CMA_0414 – Ange sekretessmeddelande	Manuell, inaktiverad	1.1.0

Konsekvent insamling av personlig information

ID: SOC 2 Typ 2 P3.1 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Fastställ juridisk auktoritet för att samla in PII	CMA_C1800 – Fastställa juridisk auktoritet för att samla in PII	Manuell, inaktiverad	1.1.0
Dokumentprocess för att säkerställa integriteten för PII	CMA_C1827 – Dokumentprocess för att säkerställa integriteten i PII	Manuell, inaktiverad	1.1.0
Utvärdera och granska PII-innehav regelbundet	CMA_C1832 – Utvärdera och granska PII-innehav regelbundet	Manuell, inaktiverad	1.1.0
Få medgivande innan personuppgifter samlas in eller bearbetas	CMA_0385 – Få medgivande innan personuppgifter samlas in eller bearbetas	Manuell, inaktiverad	1.1.0

ID: SOC 2 Typ 2 P3.2 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Samla in PII direkt från individen	CMA_C1822 – Samla in PII direkt från individen	Manuell, inaktiverad	1.1.0
Få medgivande innan personuppgifter samlas in eller bearbetas	CMA_0385 – Få medgivande innan personuppgifter samlas in eller bearbetas	Manuell, inaktiverad	1.1.0

Användning av personlig information

ID: SOC 2 Typ 2 P4.1 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Dokumentera den rättsliga grunden för behandling av personuppgifter	CMA_0206 – Dokumentera den rättsliga grunden för behandling av personuppgifter	Manuell, inaktiverad	1.1.0
Implementera leveransmetoder för sekretessmeddelande	CMA_0324 – Implementera leveransmetoder för sekretessmeddelande	Manuell, inaktiverad	1.1.0
Få medgivande innan personuppgifter samlas in eller bearbetas	CMA_0385 – Få medgivande innan personuppgifter samlas in eller bearbetas	Manuell, inaktiverad	1.1.0
Ange sekretessmeddelande	CMA_0414 – Ange sekretessmeddelande	Manuell, inaktiverad	1.1.0
Begränsa kommunikationen	CMA_0449 – Begränsa kommunikationen	Manuell, inaktiverad	1.1.0

Kvarhållning av personlig information

ID: SOC 2 Typ 2 P4.2 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Följ de definierade kvarhållningsperioderna	CMA_0004 – Följ de kvarhållningsperioder som definierats	Manuell, inaktiverad	1.1.0
Dokumentprocess för att säkerställa integriteten för PII	CMA_C1827 – Dokumentprocess för att säkerställa integriteten i PII	Manuell, inaktiverad	1.1.0

Bortskaffande av personlig information

ID: SOC 2 Typ 2 P4.3 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Utföra borttagningsgranskning	CMA_0391 – Utföra borttagningsgranskning	Manuell, inaktiverad	1.1.0
Kontrollera att personliga data tas bort i slutet av bearbetningen	CMA_0540 – Kontrollera att personuppgifter tas bort i slutet av bearbetningen	Manuell, inaktiverad	1.1.0

Åtkomst till personlig information

ID: SOC 2 Typ 2 P5.1 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Implementera metoder för konsumentbegäranden	CMA_0319 – Implementera metoder för konsumentbegäranden	Manuell, inaktiverad	1.1.0
Publicera regler och förordningar med åtkomst till sekretesslagsposter	CMA_C1847 – Publicera regler och förordningar med åtkomst till sekretesslagsposter	Manuell, inaktiverad	1.1.0

Korrigering av personlig information

ID: SOC 2 Typ 2 P5.2 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Svara på begäranden om korrigering	CMA_0442 – Svara på begäranden om korrigering	Manuell, inaktiverad	1.1.0

Utlämnande av personuppgifter från tredje part

ID: SOC 2 Typ 2 P6.1 Ägarskap: Delad

Auktoriserat utlämnande av personlig informationspost

ID: SOC 2 Typ 2 P6.2 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Hålla noggrann redovisning av upplysningar om information	CMA_C1818 – Hålla noggrann redovisning av informationsupplysningar	Manuell, inaktiverad	1.1.0

Obehörigt avslöjande av personlig informationspost

ID: SOC 2 Typ 2 P6.3 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Hålla noggrann redovisning av upplysningar om information	CMA_C1818 – Hålla noggrann redovisning av informationsupplysningar	Manuell, inaktiverad	1.1.0

Avtal från tredje part

ID: SOC 2 Typ 2 P6.4 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Definiera uppgifter för processorer	CMA_0127 – Definiera uppgifter för processorer	Manuell, inaktiverad	1.1.0

Meddelande om obehörigt avslöjande från tredje part

ID: SOC 2 Typ 2 P6.5 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Fastställa leverantörskontraktsförpliktelser	CMA_0140 – Fastställa leverantörskontraktsförpliktelser	Manuell, inaktiverad	1.1.0
Kriterier för godkännande av dokumentförvärvskontrakt	CMA_0187 – Kriterier för godkännande av dokumentförvärvskontrakt	Manuell, inaktiverad	1.1.0
Dokumentskydd av personuppgifter i förvärvsavtal	CMA_0194 – Dokumentskydd av personuppgifter i förvärvsavtal	Manuell, inaktiverad	1.1.0
Dokumentera skydd av säkerhetsinformation i förvärvsavtal	CMA_0195 – Dokumentskydd av säkerhetsinformation i förvärvsavtal	Manuell, inaktiverad	1.1.0
Dokumentkrav för användning av delade data i kontrakt	CMA_0197 – Dokumentkrav för användning av delade data i kontrakt	Manuell, inaktiverad	1.1.0
Dokumentera säkerhetskrav i förvärvskontrakt	CMA_0199 – Dokumentera säkerhetskrav i förvärvskontrakt	Manuell, inaktiverad	1.1.0
Dokumentsäkerhetsdokumentationskrav i förvärvskontrakt	CMA_0200 – Dokumentera krav på säkerhetsdokumentation i förvärvskontrakt	Manuell, inaktiverad	1.1.0
Dokumentera funktionskrav för säkerhet i förvärvskontrakt	CMA_0201 – Dokumentera säkerhetsfunktionskrav i förvärvskontrakt	Manuell, inaktiverad	1.1.0
Dokumentera krav på säkerhetsstyrka i förvärvskontrakt	CMA_0203 – Dokumentera krav på säkerhetsstyrka i förvärvskontrakt	Manuell, inaktiverad	1.1.0
Dokumentera informationssystemmiljön i förvärvskontrakt	CMA_0205 – Dokumentera informationssystemmiljön i förvärvskontrakt	Manuell, inaktiverad	1.1.0
Dokumentera skyddet av korthållardata i kontrakt från tredje part	CMA_0207 – Dokumentera skyddet av korthållardata i tredjepartskontrakt	Manuell, inaktiverad	1.1.0
Informationssäkerhet och skydd av personuppgifter	CMA_0332 – Informationssäkerhet och skydd av personuppgifter	Manuell, inaktiverad	1.1.0

Meddelande om sekretessincident

ID: SOC 2 Typ 2 P6.6 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Utveckla en plan för incidenthantering	CMA_0145 – Utveckla en plan för incidenthantering	Manuell, inaktiverad	1.1.0
Informationssäkerhet och skydd av personuppgifter	CMA_0332 – Informationssäkerhet och skydd av personuppgifter	Manuell, inaktiverad	1.1.0

Redovisning av utlämnande av personuppgifter

ID: SOC 2 Typ 2 P6.7 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Implementera leveransmetoder för sekretessmeddelande	CMA_0324 – Implementera leveransmetoder för sekretessmeddelande	Manuell, inaktiverad	1.1.0
Hålla noggrann redovisning av upplysningar om information	CMA_C1818 – Hålla noggrann redovisning av informationsupplysningar	Manuell, inaktiverad	1.1.0
Gör redovisning av upplysningar tillgängliga på begäran	CMA_C1820 – Tillgängliggöra redovisning av upplysningar på begäran	Manuell, inaktiverad	1.1.0
Ange sekretessmeddelande	CMA_0414 – Ange sekretessmeddelande	Manuell, inaktiverad	1.1.0
Begränsa kommunikationen	CMA_0449 – Begränsa kommunikationen	Manuell, inaktiverad	1.1.0

Kvalitet på personlig information

ID: SOC 2 Typ 2 P7.1 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Bekräfta kvalitet och integritet för PII	CMA_C1821 – Bekräfta kvalitet och integritet för PII	Manuell, inaktiverad	1.1.0
Utfärda riktlinjer för att säkerställa datakvalitet och integritet	CMA_C1824 – Utfärda riktlinjer för att säkerställa datakvalitet och integritet	Manuell, inaktiverad	1.1.0
Verifiera felaktig eller inaktuell PII	CMA_C1823 – Verifiera felaktig eller inaktuell PII	Manuell, inaktiverad	1.1.0

Hantering av sekretessklagomål och efterlevnadshantering

ID: SOC 2 Typ 2 P8.1 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Dokumentera och implementera procedurer för sekretessklagomål	CMA_0189 – Dokumentera och implementera sekretessklagomål	Manuell, inaktiverad	1.1.0
Utvärdera och granska PII-innehav regelbundet	CMA_C1832 – Utvärdera och granska PII-innehav regelbundet	Manuell, inaktiverad	1.1.0
Informationssäkerhet och skydd av personuppgifter	CMA_0332 – Informationssäkerhet och skydd av personuppgifter	Manuell, inaktiverad	1.1.0
Svara på klagomål, problem eller frågor i tid	CMA_C1853 – Svara på klagomål, problem eller frågor i tid	Manuell, inaktiverad	1.1.0
Utbilda personal om PII-delning och dess konsekvenser	CMA_C1871 – Utbilda personal om PII-delning och dess konsekvenser	Manuell, inaktiverad	1.1.0

Ytterligare kriterier för bearbetningsintegritet

Definitioner för databearbetning

ID: SOC 2 Typ 2 PI1.1 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Implementera leveransmetoder för sekretessmeddelande	CMA_0324 – Implementera leveransmetoder för sekretessmeddelande	Manuell, inaktiverad	1.1.0
Ange sekretessmeddelande	CMA_0414 – Ange sekretessmeddelande	Manuell, inaktiverad	1.1.0
Begränsa kommunikationen	CMA_0449 – Begränsa kommunikationen	Manuell, inaktiverad	1.1.0

Systemindata över fullständighet och noggrannhet

ID: SOC 2 Typ 2 PI1.2 Ägarskap: Delat

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Utföra verifiering av informationsindata	CMA_C1723 – Utföra verifiering av informationsindata	Manuell, inaktiverad	1.1.0

Systembearbetning

ID: SOC 2 Typ 2 PI1.3 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Kontrollera fysisk åtkomst	CMA_0081 – Kontrollera fysisk åtkomst	Manuell, inaktiverad	1.1.0
Generera felmeddelanden	CMA_C1724 – Generera felmeddelanden	Manuell, inaktiverad	1.1.0
Hantera indata, utdata, bearbetning och lagring av data	CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data	Manuell, inaktiverad	1.1.0
Utföra verifiering av informationsindata	CMA_C1723 – Utföra verifiering av informationsindata	Manuell, inaktiverad	1.1.0
Granska etikettaktivitet och analys	CMA_0474 – Granska etikettaktivitet och analys	Manuell, inaktiverad	1.1.0

Systemets utdata är fullständiga, korrekta och kommer i rätt tid

ID: SOC 2 Typ 2 PI1.4 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Kontrollera fysisk åtkomst	CMA_0081 – Kontrollera fysisk åtkomst	Manuell, inaktiverad	1.1.0
Hantera indata, utdata, bearbetning och lagring av data	CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data	Manuell, inaktiverad	1.1.0
Granska etikettaktivitet och analys	CMA_0474 – Granska etikettaktivitet och analys	Manuell, inaktiverad	1.1.0

Lagra indata och utdata helt, korrekt och i rätt tid

ID: SOC 2 Typ 2 PI1.5 Ägarskap: Delad

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Azure Backup ska vara aktiverat för virtuella datorer	Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure.	AuditIfNotExists, inaktiverad	3.0.0
Kontrollera fysisk åtkomst	CMA_0081 – Kontrollera fysisk åtkomst	Manuell, inaktiverad	1.1.0
Upprätta principer och procedurer för säkerhetskopiering	CMA_0268 – Upprätta principer och procedurer för säkerhetskopiering	Manuell, inaktiverad	1.1.0
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB	Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern.	Granskning, inaktiverad	1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL	Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern.	Granskning, inaktiverad	1.0.1
Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL	Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern.	Granskning, inaktiverad	1.0.1
Implementera kontroller för att skydda alla medier	CMA_0314 – Implementera kontroller för att skydda alla medier	Manuell, inaktiverad	1.1.0
Hantera indata, utdata, bearbetning och lagring av data	CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data	Manuell, inaktiverad	1.1.0
Granska etikettaktivitet och analys	CMA_0474 – Granska etikettaktivitet och analys	Manuell, inaktiverad	1.1.0
Lagra säkerhetskopieringsinformation separat	CMA_C1293 – Lagra säkerhetskopieringsinformation separat	Manuell, inaktiverad	1.1.0

Nästa steg

Ytterligare artiklar om Azure Policy:

Översikt över regelefterlevnad .
Se initiativdefinitionsstrukturen.
Granska andra exempel i Azure Policy-exempel.
Granska Förstå policy-effekter.
Lär dig hur du åtgärdar icke-kompatibla resurser.

Name _{(Azure-portalen)}	beskrivning	Effekter	Version _(GitHub)
Utvärdera informationssäkerhetshändelser	CMA_0013 – Utvärdera informationssäkerhetshändelser	Manuell, inaktiverad	1.1.0
Samordna beredskapsplaner med relaterade planer	CMA_0086 – Samordna beredskapsplaner med relaterade planer	Manuell, inaktiverad	1.1.0
Utveckla en plan för incidenthantering	CMA_0145 – Utveckla en plan för incidenthantering	Manuell, inaktiverad	1.1.0
Utveckla säkerhetsskydd	CMA_0161 – Utveckla säkerhetsskydd	Manuell, inaktiverad	1.1.0
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat	Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer.	AuditIfNotExists, inaktiverad	1.1.0
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras	För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center.	AuditIfNotExists, inaktiverad	2.1.0
Aktivera nätverksskydd	CMA_0238 – Aktivera nätverksskydd	Manuell, inaktiverad	1.1.0
Utrota kontaminerad information	CMA_0253 – Utrota kontaminerad information	Manuell, inaktiverad	1.1.0
Köra åtgärder som svar på informationsutsläpp	CMA_0281 – Köra åtgärder som svar på informationsutsläpp	Manuell, inaktiverad	1.1.0
Identifiera klasser av incidenter och åtgärder som vidtas	CMA_C1365 – Identifiera klasser av incidenter och åtgärder som vidtas	Manuell, inaktiverad	1.1.0
Implementera incidenthantering	CMA_0318 – Implementera incidenthantering	Manuell, inaktiverad	1.1.0
Inkludera dynamisk omkonfiguration av kunddistribuerade resurser	CMA_C1364 – Inkludera dynamisk omkonfiguration av kunddistribuerade resurser	Manuell, inaktiverad	1.1.0
Underhålla en plan för incidenthantering	CMA_0352 – Underhålla en plan för incidenthantering	Manuell, inaktiverad	1.1.0
Network Watcher ska vara aktiverat	Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region.	AuditIfNotExists, inaktiverad	3.0.0
Utföra en trendanalys av hot	CMA_0389 – Utföra en trendanalys av hot	Manuell, inaktiverad	1.1.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem	För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center.	AuditIfNotExists, inaktiverad	1.0.1
Visa och undersöka begränsade användare	CMA_0545 – Visa och undersöka begränsade användare	Manuell, inaktiverad	1.1.0