Azure säkerhets principer övervakas av Security CenterAzure security policies monitored by Security Center

Den här artikeln innehåller en lista över Azure Policy definitioner som du kan övervaka i Azure Security Center.This article provides a list of Azure Policy definitions that you can monitor in Azure Security Center. Mer information om säkerhets principer finns i arbeta med säkerhets principer.For more information about security policies, see Working with security policies.

Tillgängliga säkerhets principerAvailable security policies

Mer information om de inbyggda principer som övervakas av Security Center finns i följande tabell:To learn about the built-in policies that are monitored by Security Center, see the following table:

PrincipPolicy Vad principen görWhat the policy does
Diagnostikloggar i Virtual Machine Scale Sets ska vara aktive radDiagnostics logs in Virtual Machine Scale Sets should be enabled Vi rekommenderar att du aktiverar loggar så att en aktivitets spårning är tillgänglig för undersökning efter en incident eller komprometterande.We recommend that you enable logs so that an activity trail is available for investigation after an incident or compromise.
Alla auktoriseringsregler utom RootManageSharedAccessKey ska tas bort från Event Hub-namnområdetAll authorization rules except RootManageSharedAccessKey should be removed from Event Hub namespace Azure Event Hubs-klienter bör inte använda en åtkomst princip på namn områdes nivå som ger åtkomst till alla köer och ämnen i ett namn område.Azure Event Hubs clients shouldn't use a namespace-level access policy that provides access to all queues and topics in a namespace. Om du vill justera med säkerhets modellen med minst privilegium bör du skapa åtkomst principer på enhets nivå för köer och ämnen för att ge åtkomst till endast den specifika entiteten.To align with the least-privilege security model, you should create access policies at the entity level for queues and topics to provide access to only the specific entity.
Auktoriseringsregler i Event Hub-entiteten måste definierasAuthorization rules on the Event Hub entity should be defined Granska förekomsten av auktoriseringsregler på Event Hubs entiteter för att bevilja åtkomst med lägsta behörighet.Audit the existence of authorization rules on Event Hubs entities to grant least-privilege access.
Åtkomst till lagrings konton med brand väggar och virtuella nätverkskonfigurationer bör begränsasAccess to storage accounts with firewall and virtual network configurations should be restricted Granska obegränsad nätverks åtkomst i brand Väggs inställningarna för ditt lagrings konto.Audit unrestricted network access in your storage account firewall settings. Konfigurera nätverks regler så att endast program från tillåtna nätverk kan komma åt lagrings kontot.Configure network rules so that only applications from allowed networks can access the storage account. Om du vill tillåta anslutningar från vissa Internet-eller lokala klienter ger du åtkomst till trafik från vissa virtuella Azure-nätverk eller offentliga IP-adressintervall för Internet.To allow connections from specific internet or on-premises clients, grant access to traffic from specific Azure virtual networks or to public internet IP address ranges.
Granska användningen av anpassade RBAC-reglerAudit usage of custom RBAC rules Granska inbyggda roller, till exempel "ägare, deltagare, läsare" i stället för anpassade rollbaserade roller för rollbaserad åtkomst kontroll (RBAC) som är fel känsliga.Audit built-in roles, such as "Owner, Contributor, Reader" instead of custom role-based access control (RBAC) roles, which are error prone. Användning av anpassade roller behandlas som ett undantag och kräver rigorös granskning och hot modellering.Use of custom roles is treated as an exception and requires rigorous review and threat modeling.
Diagnostikloggar i Azure Stream Analytics ska vara aktive radDiagnostics logs in Azure Stream Analytics should be enabled Granska aktivering av loggar och behåll dem i upp till ett år.Audit enabling of logs and keep them for up to a year. Detta skapar aktivitets spårningar för undersökning när en säkerhets incident inträffar eller nätverket komprometteras.This creates activity trails for investigation when a security incident occurs or your network is compromised.
Säker överföring till lagrings konton ska vara aktiveratSecure transfer to storage accounts should be enabled Granska kraven för säker överföring i ditt lagrings konto.Audit requirements of secure transfer in your storage account. Säker överföring är ett alternativ som tvingar ditt lagrings konto att endast godkänna begär Anden från säkra anslutningar (HTTPS).Secure transfer is an option that forces your storage account to accept requests only from secure connections (HTTPS). Användning av HTTPS garanterar autentisering mellan servern och tjänsten.Use of HTTPS ensures authentication between the server and the service. Den skyddar också data i överföring från angrepp på nätverks nivå, till exempel man-in-the-Middle, avlyssning och session-kapning.It also protects data in transit from network layer attacks, such as man-in-the-middle, eavesdropping, and session-hijacking.
Azure AD-administratören för SQL Server bör tillhandahållasAzure AD administrator for SQL server should be provisioned Granska etablering av en Azure Active Directory (Azure AD)-administratör för SQL Server för att aktivera Azure AD-autentisering.Audit provisioning of an Azure Active Directory (Azure AD) administrator for SQL Server to enable Azure AD authentication. Azure AD-autentisering stöder förenklad behörighets hantering och centraliserad identitets hantering för databas användare och andra Microsoft-tjänster.Azure AD authentication supports simplified permission management and centralized identity management of database users and other Microsoft services.
Alla auktoriseringsregler utom RootManageSharedAccessKey bör tas bort från Service Bus namnrymdAll authorization rules except RootManageSharedAccessKey should be removed from Service Bus namespace Azure Service Bus-klienter bör inte använda en åtkomst princip på namn områdes nivå som ger åtkomst till alla köer och ämnen i ett namn område.Azure Service Bus clients shouldn't use a namespace-level access policy that provides access to all queues and topics in a namespace. Om du vill justera med säkerhets modellen med lägsta behörighet skapar du åtkomst principer på enhets nivå för köer och ämnen för att ge åtkomst till endast den specifika entiteten.To align with the least-privilege security model, create access policies at the entity level for queues and topics to provide access to only the specific entity.
Diagnostikloggar i Service Bus ska vara aktive radDiagnostics logs in Service Bus should be enabled Granska aktivering av loggar och behåll dem i ett år.Audit enabling of logs and keep them up for to a year. Detta skapar aktivitets spårningar för undersökning när en säkerhets incident inträffar eller nätverket komprometteras.This creates activity trails for investigation when a security incident occurs or your network is compromised.
Egenskapen ClusterProtectionLevel för EncryptAndSign i Service Fabric ska angesThe ClusterProtectionLevel property to EncryptAndSign in Service Fabric should be set Service Fabric tillhandahåller tre skydds nivåer för nod-till-nod-kommunikation som använder ett primärt kluster certifikat: Ingen, sign och EncryptAndSign.Service Fabric provides three levels of protection for node-to-node communication that uses a primary cluster certificate: None, Sign, and EncryptAndSign. Ställa in skydd så att alla nod-till-nod-meddelanden är krypterad och har signerats digitalt.Set the protection level to ensure that all node-to-node messages are encrypted and digitally signed.
Klientautentisering bör använda Azure Active DirectoryClient authentication should use Azure Active Directory Granska användningen av klientautentisering enbart via Azure AD i Service Fabric.Audit use of client authentication only via Azure AD in Service Fabric.
Diagnostikloggar i search Services ska vara aktive radDiagnostics logs in Search services should be enabled Granska aktivering av loggar och behåll dem i upp till ett år.Audit enabling of logs and keep them for up to a year. Detta skapar aktivitets spårningar för undersökning när en säkerhets incident inträffar eller nätverket komprometteras.This creates activity trails for investigation when a security incident occurs or your network is compromised.
Endast säkra anslutningar till din Redis Cache ska vara aktiveradeOnly secure connections to your Redis Cache should be enabled Granskning aktiverar endast anslutningar via SSL till Azure cache för Redis.Audit enabling only of connections via SSL to Azure Cache for Redis. Användningen av säkra anslutningar säkerställer autentisering mellan servern och tjänsten.Use of secure connections ensures authentication between the server and the service. Den skyddar också data i överföring från angrepp på nätverks nivå, till exempel man-in-the-Middle, avlyssning och session-kapning.It also protects data in transit from network layer attacks, such as man-in-the-middle, eavesdropping, and session-hijacking.
Diagnostikloggar i Logic Apps ska vara aktive radDiagnostics logs in Logic Apps should be enabled Granska aktivering av loggar och behåll dem i upp till ett år.Audit enabling of logs and keep them for up to a year. Detta skapar aktivitets spårningar för undersökning när en säkerhets incident inträffar eller nätverket komprometteras.This creates activity trails for investigation when a security incident occurs or your network is compromised.
Diagnostikloggar i Key Vault ska vara aktive radDiagnostics logs in Key Vault should be enabled Granska aktivering av loggar och behåll dem i upp till ett år.Audit enabling of logs and keep them for up to a year. Detta skapar aktivitets spårningar för undersökning när en säkerhets incident inträffar eller nätverket komprometteras.This creates activity trails for investigation when a security incident occurs or your network is compromised.
Diagnostikloggar i Händelsehubben måste vara aktive radDiagnostics logs in Event Hub should be enabled Granska aktivering av loggar och behåll dem i upp till ett år.Audit enabling of logs and keep them for up to a year. Detta skapar aktivitets spårningar för undersökning när en säkerhets incident inträffar eller nätverket komprometteras.This creates activity trails for investigation when a security incident occurs or your network is compromised.
Diagnostikloggar i Azure Data Lake Store ska vara aktive radDiagnostics logs in Azure Data Lake Store should be enabled Granska aktivering av loggar och se till att de är upp till ett år.Audit enabling of logs and keep them up to a year. Detta skapar aktivitets spårningar för undersökning när en säkerhets incident inträffar eller nätverket komprometteras.This creates activity trails for investigation when a security incident occurs or your network is compromised.
Diagnostikloggar i Data Lake Analytics ska vara aktive radDiagnostics logs in Data Lake Analytics should be enabled Granska aktivering av loggar och behåll dem i upp till ett år.Audit enabling of logs and keep them for up to a year. Detta skapar aktivitets spårningar för undersökning när en säkerhets incident inträffar eller nätverket komprometteras.This creates activity trails for investigation when a security incident occurs or your network is compromised.
Lagrings konton ska migreras till nya AzureRM-resurserStorage accounts should be migrated to new AzureRM resources Använd Azure Resource Manager för dina lagrings konton för att tillhandahålla säkerhets förbättringar.Use Azure Resource Manager for your storage accounts to provide security enhancements. Exempel på dessa är:These include:
– Starkare åtkomst kontroll (RBAC)- Stronger access control (RBAC)
– Bättre granskning- Better auditing
– Azure Resource Manager-baserad distribution och styrning- Azure Resource Manager-based deployment and governance
-Åtkomst till hanterade identiteter- Access to managed identities
– Åtkomst till Azure Key Vault för hemligheter- Access to Azure Key Vault for secrets
– Azure AD-baserad autentisering- Azure AD-based authentication
– Stöd för taggar och resurs grupper för enklare säkerhets hantering- Support for tags and resource groups for easier security management
Virtuella datorer ska migreras till nya AzureRM-resurserVirtual machines should be migrated to new AzureRM resources Använd Azure Resource Manager för dina virtuella datorer för att förbättra säkerheten.Use Azure Resource Manager for your virtual machines to provide security enhancements. Exempel på dessa är:These include:
– Starkare åtkomst kontroll (RBAC)- Stronger access control (RBAC)
– Bättre granskning- Better auditing
– Azure Resource Manager-baserad distribution och styrning- Azure Resource Manager-based deployment and governance
-Åtkomst till hanterade identiteter- Access to managed identities
– Åtkomst till Azure Key Vault för hemligheter- Access to Azure Key Vault for secrets
– Azure AD-baserad autentisering- Azure AD-based authentication
– Stöd för taggar och resurs grupper för enklare säkerhets hantering- Support for tags and resource groups for easier security management
Mått varnings regler ska konfigureras för batch-kontonMetric alert rules should be configured on Batch accounts Granska konfigurationen av mått varnings regler på Azure Batch konton för att aktivera det nödvändiga måttet.Audit configuration of metric alert rules on Azure Batch accounts to enable the required metric.
Diagnostikloggar i batch-konton måste vara aktiveradeDiagnostic logs in Batch accounts should be enabled Granska aktivering av loggar och behåll dem i upp till ett år.Audit enabling of logs and keep them for up to a year. Detta skapar aktivitets spårningar för undersökning när en säkerhets incident inträffar eller nätverket komprometteras.This creates activity trails for investigation when a security incident occurs or your network is compromised.
Kryptering måste vara aktiverat på variabler för Automation-kontoEncryption should be enabled on Automation account variables Det är viktigt att aktivera kryptering av Azure Automation konto variabel till gångar när du lagrar känsliga data.It's important to enable encryption of Azure Automation account variable assets when you store sensitive data.
Diagnostikloggar i App Services ska vara aktive radDiagnostics logs in App Services should be enabled Granska aktivering av diagnostikloggar i appen.Audit enabling of diagnostic logs on the app. Detta skapar aktivitets spårningar för undersökning när en säkerhets incident inträffar eller nätverket komprometteras.This creates activity trails for investigation when a security incident occurs or your network is compromised.
transparent datakryptering på SQL-databaser ska aktive rasTransparent Data Encryption on SQL databases should be enabled Granska transparent data krypterings status för SQL-databaser.Audit transparent data encryption status for SQL databases.
SQL Server Auditing måste vara aktiveratSQL server auditing should be enabled Granska förekomsten av SQL-granskning på server nivå.Audit the existence of SQL auditing at the server level.
[För hands version]: Övervaka okrypterad SQL Database i Azure Security Center[Preview]: Monitor unencrypted SQL database in Azure Security Center Azure Security Center övervakar okrypterade SQL-servrar eller databaser som rekommenderade.Azure Security Center monitors unencrypted SQL servers or databases as recommended.
[För hands version]: Övervaka en SQL-databas som inte har granskats i Azure Security Center[Preview]: Monitor unaudited SQL database in Azure Security Center Azure Security Center övervakar SQL-servrar och databaser som inte har SQL-granskning aktiverat som rekommenderat.Azure Security Center monitors SQL servers and databases that don't have SQL auditing turned on as recommended.
[För hands version]: System uppdateringar bör installeras på dina datorer[Preview]: System updates should be installed on your machines Azure Security Center övervakar säkerhets system uppdateringar som saknas på dina servrar enligt rekommendationer.Azure Security Center monitors missing security system updates on your servers as recommended.
[För hands version]: Granska saknad BLOB-kryptering för lagrings konton[Preview]: Audit missing blob encryption for storage accounts Granska lagrings konton som inte använder BLOB-kryptering.Audit storage accounts that don't use blob encryption. Detta gäller endast för Microsofts lagrings resurs typer, inte lagring från andra leverantörer.This only applies to Microsoft storage resource types, not storage from other providers. Azure Security Center övervakar möjliga nätverks åtkomst för just-in-Time som rekommenderat.Azure Security Center monitors possible network just-in-time access as recommended.
[För hands version]: Just-in-Time-kontroll för nätverks åtkomst ska tillämpas på virtuella datorer[Preview]: Just-In-Time network access control should be applied on virtual machines Azure Security Center övervakar möjliga nätverks åtkomst för just-in-Time som rekommenderat.Azure Security Center monitors possible network just-in-time access as recommended.
[För hands version]: Anpassningsbara program kontroller ska vara aktiverade på virtuella datorer[Preview]: Adaptive Application Controls should be enabled on virtual machines Azure Security Center övervakar möjliga program vitlista-konfigurationer.Azure Security Center monitors possible application whitelist configuration.
[För hands version]: Nätverks säkerhets grupper som saknas för virtuella datorer måste konfigureras[Preview]: Missing Network Security Groups for virtual machines should be configured Azure Security Center övervakar nätverks säkerhets grupper som har för få regler, enligt rekommendationer.Azure Security Center monitors network security groups that have too-permissive rules, as recommended.
[För hands version]: Säkerhets problem i säkerhets konfiguration på dina datorer bör åtgärdas[Preview]: Vulnerabilities in security configuration on your machines should be remediated Azure Security Center övervakar servrar som inte uppfyller den konfigurerade bas linjen enligt rekommendationer.Azure Security Center monitors servers that don't satisfy the configured baseline as recommended.
[För hands version]: Endpoint Protection bör installeras på virtuella datorer[Preview]: Endpoint protection should be installed on virtual machines Azure Security Center övervakar servrar som inte har installerat Microsoft System Center Endpoint Protection Agent som rekommenderat.Azure Security Center monitors servers that don't have an installed Microsoft System Center Endpoint Protection agent as recommended.
[För hands version]: Disk kryptering bör tillämpas på virtuella datorer[Preview]: Disk encryption should be applied on virtual machines Azure Security Center övervakar virtuella datorer som inte har disk kryptering aktiverat som rekommenderat.Azure Security Center monitors virtual machines that don't have disk encryption enabled as recommended.
[För hands version]: Säkerhets risker bör åtgärdas av en lösning för sårbarhets bedömning[Preview]: Vulnerabilities should be remediated by a Vulnerability Assessment solution Övervaka säkerhets risker som identifieras av lösningen för sårbarhets bedömning och virtuella datorer som inte har någon lösning för sårbarhets bedömning i Azure Security Center som rekommenderas.Monitor vulnerabilities that are detected by the vulnerability assessment solution and VMs that don't have a vulnerability assessment solution in Azure Security Center as recommended.
[För hands version]: Övervaka oskyddat webb program i Azure Security Center[Preview]: Monitor unprotected web application in Azure Security Center Azure Security Center övervakar webb program som saknar brand Väggs skydd för webb program som rekommenderat.Azure Security Center monitors web applications that lack web application firewall protection as recommended.
[För hands version]: Endpoint Protection-lösningen bör installeras på virtuella datorer[Preview]: Endpoint protection solution should be installed on virtual machines Azure Security Center övervakar nätverks slut punkter som inte har nästa generations brand Väggs skydd som rekommenderat.Azure Security Center monitors network endpoints that don't have next generation firewall protection as recommended.
[För hands version]: Säkerhets risker i SQL-databaser bör åtgärdas[Preview]: Vulnerabilities on your SQL databases should be remediated Övervaka genomsöknings resultat för sårbarhets bedömning och rekommendera hur du åtgärdar databas sårbarheter.Monitor vulnerability assessment scan results and recommend how to remediate database vulnerabilities.
[För hands version]: Högst 3 ägare bör anges för din prenumeration[Preview]: A maximum of 3 owners should be designated for your subscription Vi rekommenderar att du anger upp till tre prenumerations ägare för att minska risken för intrång av en komprometterad ägare.We recommend that you designate up to three subscription owners to reduce the potential for breach by a compromised owner.
[För hands version]: Det bör finnas fler än en ägare som tilldelats din prenumeration[Preview]: There should be more than one owner assigned to your subscription Vi rekommenderar att du anger fler än en prenumerations ägare för att säkerställa att administratören har åtkomst till redundans.We recommended that you designate more than one subscription owner to ensure administrator access redundancy.
[För hands version]: MFA ska vara aktiverat på konton med ägar behörigheter för din prenumeration[Preview]: MFA should be enabled on accounts with owner permissions on your subscription Multi-Factor Authentication (MFA) måste vara aktiverat för alla prenumerations konton som har ägar behörigheter för att förhindra överträdelser av konton eller resurser.Multi-factor authentication (MFA) should be enabled for all subscription accounts that have owner permissions to prevent a breach of accounts or resources.
[För hands version]: MFA ska vara aktiverat på dina prenumerations konton med Skriv behörighet[Preview]: MFA should be enabled on your subscription accounts with write permissions Multi-Factor Authentication ska vara aktiverat för alla prenumerations konton som har Skriv behörighet för att förhindra överträdelser av konton eller resurser.Multi-factor authentication should be enabled for all subscription accounts that have write permissions to prevent breach of accounts or resources.
[För hands version]: MFA ska vara aktiverat på dina prenumerations konton med Läs behörighet[Preview]: MFA should be enabled on your subscription accounts with read permissions Multi-Factor Authentication ska vara aktiverat för alla prenumerations konton som har Läs behörighet för att förhindra överträdelser av konton eller resurser.Multi-factor authentication should be enabled for all subscription accounts that have read permissions to prevent breach of accounts or resources.
[För hands version]: Föråldrade konton med ägar behörigheter bör tas bort från din prenumeration[Preview]: Deprecated accounts with owner permissions should be removed from your subscription Föråldrade konton som har ägar behörigheter bör tas bort från din prenumeration.Deprecated accounts that have owner permissions should be removed from your subscription. Inaktuella konton har blockerats från att logga in.Deprecated accounts have been blocked from signing in.
[För hands version]: Föråldrade konton bör tas bort från din prenumeration[Preview]: Deprecated accounts should be removed from your subscription Föråldrade konton bör tas bort från dina prenumerationer.Deprecated accounts should be removed from your subscriptions. Inaktuella konton har blockerats från att logga in.Deprecated accounts have been blocked from signing in.
[För hands version]: Externa konton med ägar behörigheter bör tas bort från din prenumeration[Preview]: External accounts with owner permissions should be removed from your subscription Externa konton som har ägar behörigheter bör tas bort från din prenumeration för att förhindra åtkomst till behörigheter.External accounts that have owner permissions should be removed from your subscription to prevent permissions access.
[För hands version]: Externa konton med skrivbehörigheter bör tas bort från prenumerationen[Preview]: External accounts with write permissions should be removed from your subscription Externa konton som har Skriv behörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst.External accounts that have write permissions should be removed from your subscription to prevent unmonitored access.
[För hands version]: Externa konton med Läs behörighet bör tas bort från din prenumeration[Preview]: External accounts with read permissions should be removed from your subscription Externa konton som har Läs behörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst.External accounts that have read permissions should be removed from your subscription to prevent unmonitored access.

Nästa stegNext steps

I den här artikeln har vi berättat hur du ställer in säkerhetsprinciper i Security Center.In this article, you learned how to configure security policies in Security Center. Mer information om Security Center finns i följande artiklar.To learn more about Security Center, see the following articles.

Mer information om Azure Policy finns i Vad är Azure policy?.To learn more about Azure Policy, see What is Azure Policy?.