DoD Etki Düzeyi 5 (Azure Kamu) Mevzuat Uyumluluğu yerleşik girişiminin ayrıntıları

Aşağıdaki makalede, Azure İlkesi Mevzuat Uyumluluğu yerleşik girişim tanımının DoD Etki Düzeyi 5'teki (Azure Kamu) uyumluluk etki alanları ve denetimlerle nasıl eşlenmiş olduğu ayrıntılı olarak anlatılır. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz. DoD Etki Düzeyi 5. Sahipliği anlamak için bkz. Azure İlkesi ilke tanımı ve Bulutta paylaşılan sorumluluk.

Aşağıdaki eşlemeler DoD Etki Düzeyi 5 denetimlerine yöneliktir. Doğrudan belirli bir uyumluluk etki alanına atlamak için sağ taraftaki gezintiyi kullanın. Denetimlerin çoğu Azure İlkesi girişim tanımıyla uygulanır. Girişim tanımının tamamını gözden geçirmek için Azure portal İlke'yi açın ve Tanımlar sayfasını seçin. Ardından DoD Etki Düzeyi 5 Mevzuat Uyumluluğu yerleşik girişim tanımını bulun ve seçin.

Önemli

Aşağıdaki her denetim bir veya daha fazla Azure İlkesi tanımıyla ilişkilendirilir. Bu ilkeler denetimle uyumluluğu değerlendirmenize yardımcı olabilir; ancak, bir denetim ile bir veya daha fazla ilke arasında genellikle bire bir veya tam eşleşme yoktur. Bu nedenle, Azure İlkesi'de Uyumlu yalnızca ilke tanımlarını ifade eder; bu, bir denetimin tüm gereksinimleriyle tam olarak uyumlu olduğunuzdan emin olmaz. Buna ek olarak, uyumluluk standardı şu anda hiçbir Azure İlkesi tanımı tarafından ele alınmayacak denetimleri içerir. Bu nedenle, Azure İlkesi uyumluluk, genel uyumluluk durumunuzun yalnızca kısmi bir görünümüdür. Bu uyumluluk standardı için uyumluluk etki alanları, denetimler ve Azure İlkesi tanımları arasındaki ilişkilendirmeler zaman içinde değişebilir. Değişiklik geçmişini görüntülemek için bkz. GitHub İşleme Geçmişi.

Sistem ve Bilgi Bütünlüğü

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Aboneliğiniz için en fazla 3 sahip belirlenmelidir Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için en fazla 3 abonelik sahibi ataması önerilir. AuditIfNotExists, Devre Dışı 3.0.0
SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetlerinin basitleştirilmiş izin yönetimini ve merkezi kimlik yönetimini sağlar AuditIfNotExists, Devre Dışı 1.0.0
Özel RBAC kurallarının kullanımını denetleme Hataya yatkın olan özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleyin. Özel rollerin kullanılması özel durum olarak kabul edilir ve sıkı bir gözden geçirme ve tehdit modellemesi gerektirir Denetim, Devre Dışı 1.0.0
Bilişsel Hizmetler hesaplarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır Yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, Bilişsel Hizmetler hesaplarının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirdiğini güvence altına alarak güvenliği artırır. Daha fazla bilgi için bkz. https://aka.ms/cs/auth. Denetim, Reddetme, Devre Dışı 1.0.0
Kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. AuditIfNotExists, Devre Dışı 3.0.0
Sahip izinleri olan kullanım dışı hesaplar aboneliğinizden kaldırılmalıdır Sahip izinleri olan kullanım dışı hesaplar aboneliğinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. AuditIfNotExists, Devre Dışı 3.0.0
Sahip izinleri olan dış hesaplar aboneliğinizden kaldırılmalıdır İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. AuditIfNotExists, Devre Dışı 3.0.0
Okuma izinlerine sahip dış hesaplar aboneliğinizden kaldırılmalıdır İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. AuditIfNotExists, Devre Dışı 3.0.0
Yazma izinlerine sahip dış hesaplar aboneliğinizden kaldırılmalıdır İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesaplar aboneliğinizden kaldırılmalıdır. AuditIfNotExists, Devre Dışı 3.0.0
Yönetilen kimlik API Uygulamanızda kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 2.0.0
yönetilen kimlik İşlev Uygulamanızda kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 2.0.0
Yönetilen kimlik Web Uygulamanızda kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 2.0.0
Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır Service Fabric'te yalnızca Azure Active Directory aracılığıyla istemci kimlik doğrulaması kullanımını denetleme Denetim, Reddetme, Devre Dışı 1.1.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Aboneliğinizde yazma izinleri olan hesaplarda MFA etkinleştirilmelidir Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0
Aboneliğinizde sahip izinleri olan hesaplarda MFA etkinleştirilmelidir Hesap veya kaynak ihlalini önlemek için sahip izinlerine sahip olan tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Aboneliğinizde okuma izinlerine sahip hesaplarda MFA etkinleştirilmelidir Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetlerinin basitleştirilmiş izin yönetimini ve merkezi kimlik yönetimini sağlar AuditIfNotExists, Devre Dışı 1.0.0
Bilişsel Hizmetler hesaplarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır Yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, Bilişsel Hizmetler hesaplarının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirdiğini güvence altına alarak güvenliği artırır. Daha fazla bilgi için bkz. https://aka.ms/cs/auth. Denetim, Reddetme, Devre Dışı 1.0.0
Yönetilen kimlik API Uygulamanızda kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 2.0.0
yönetilen kimlik İşlev Uygulamanızda kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 2.0.0
Yönetilen kimlik Web Uygulamanızda kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 2.0.0
Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır Service Fabric'te yalnızca Azure Active Directory aracılığıyla istemci kimlik doğrulaması kullanımını denetleme Denetim, Reddetme, Devre Dışı 1.1.0
Yönetim sertifikaları yerine aboneliklerinizi korumak için hizmet sorumluları kullanılmalıdır Yönetim sertifikaları, kimlik doğrulaması yapan herkesin ilişkili oldukları abonelikleri yönetmesine olanak sağlar. Abonelikleri daha güvenli bir şekilde yönetmek için, sertifika güvenliğinin aşılmasıyla ilgili etkiyi sınırlamak için Resource Manager ile hizmet sorumlularının kullanılması önerilir. AuditIfNotExists, Devre Dışı 1.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan Azure'da barındırılan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 1.1.0
Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan, Azure'da barındırılan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 1.1.0
Passwd dosya izinleri 0644 olarak ayarlı olmayan Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için bkz. https://aka.ms/gcpol. Passwd dosya izinleri 0644 olarak ayarlanmamış Linux makineleri uyumlu değildir AuditIfNotExists, Devre Dışı 1.2.0
Geri alınabilen şifreleme kullanarak parola depolamayan Windows makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için bkz. https://aka.ms/gcpol. Ters çevrilebilir şifreleme kullanarak parola depolamayan Windows makineleri uyumlu değildir AuditIfNotExists, Devre Dışı 1.0.0
Linux VM'lerinde Konuk Yapılandırması atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtın Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. deployIfNotExists 1.2.0
Windows VM'lerinde Konuk Yapılandırması atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtın Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. deployIfNotExists 1.2.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan Azure'da barındırılan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 1.1.0
Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan, Azure'da barındırılan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 1.1.0
Passwd dosya izinleri 0644 olarak ayarlı olmayan Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için bkz. https://aka.ms/gcpol. Passwd dosya izinleri 0644 olarak ayarlanmamış Linux makineleri uyumlu değildir AuditIfNotExists, Devre Dışı 1.2.0
Önceki 24 parolanın yeniden kullanılmasına izin veren Windows makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için bkz. https://aka.ms/gcpol. Önceki 24 parolanın yeniden kullanılmasına izin veren Windows makineleri uyumlu değilse makineler uyumlu değil AuditIfNotExists, Devre Dışı 1.0.0
Parola yaşı en fazla 70 gün olmayan Windows makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için bkz. https://aka.ms/gcpol. Parola yaşı üst sınırı 70 gün olmayan Windows makineleri uyumlu değildir AuditIfNotExists, Devre Dışı 1.0.0
Parola yaşı en az 1 gün olmayan Windows makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için bkz. https://aka.ms/gcpol. En düşük parola yaşı 1 gün olmayan Windows makineleri uyumlu değildir AuditIfNotExists, Devre Dışı 1.0.0
Parola karmaşıklığı ayarı etkin olmayan Windows makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için bkz. https://aka.ms/gcpol. Parola karmaşıklığı ayarı etkin olmayan Windows makineleri uyumlu değildir AuditIfNotExists, Devre Dışı 1.0.0
En düşük parola uzunluğunu 14 karakterle kısıtlamayan Windows makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için bkz. https://aka.ms/gcpol. En düşük parola uzunluğunu 14 karakterle kısıtlamayan Windows makineleri uyumlu değildir AuditIfNotExists, Devre Dışı 1.0.0
Geri alınabilen şifreleme kullanarak parola depolamayan Windows makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için bkz. https://aka.ms/gcpol. Ters çevrilebilir şifreleme kullanarak parola depolamayan Windows makineleri uyumlu değildir AuditIfNotExists, Devre Dışı 1.0.0
Linux VM'lerinde Konuk Yapılandırması atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtın Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. deployIfNotExists 1.2.0
Windows VM'lerinde Konuk Yapılandırması atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtın Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. deployIfNotExists 1.2.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Azure SQL Için Azure Defender Veritabanı sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
DNS için Azure Defender etkinleştirilmelidir DNS için Azure Defender, Azure kaynaklarınızdan gelen tüm DNS sorgularını sürekli izleyerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender, DNS katmanındaki şüpheli etkinlikler hakkında sizi uyarır. adresinde DNS https://aka.ms/defender-for-dns için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlik hakkında sizi uyarır. adresinden Resource Manager için Azure Defender'ın https://aka.ms/defender-for-resource-manager özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinliklerle ilgili uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
KORUMASız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
Korumasız SQL Yönetilen Örnekleri için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Depolama için Azure Defender etkinleştirilmelidir Depolama için Azure Defender, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanmasını sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Yüksek önem derecesi uyarıları için Email bildirimi etkinleştirilmelidir Aboneliklerinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. AuditIfNotExists, Devre Dışı 1.0.1
Yüksek önem derecesi uyarıları için abonelik sahibine Email bildirimi etkinleştirilmelidir Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. AuditIfNotExists, Devre Dışı 2.0.0
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Güvenlik sorunları için aboneliklerin bir iletişim e-posta adresi olmalıdır Aboneliklerinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. AuditIfNotExists, Devre Dışı 1.0.1

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
DNS için Azure Defender etkinleştirilmelidir DNS için Azure Defender, Azure kaynaklarınızdaki tüm DNS sorgularını sürekli izleyerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender, DNS katmanındaki şüpheli etkinlikler hakkında sizi uyarır. adresinde DNS https://aka.ms/defender-for-dns için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. adresinden Resource Manager için Azure Defender'ın https://aka.ms/defender-for-resource-manager özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinliklerle ilgili uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
KORUMASız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
Korumasız SQL Yönetilen Örnekleri için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Depolama için Azure Defender etkinleştirilmelidir Depolama için Azure Defender, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanmasını sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Yüksek önem derecesi uyarıları için Email bildirimi etkinleştirilmelidir Aboneliklerinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. AuditIfNotExists, Devre Dışı 1.0.1
Yüksek önem derecesi uyarıları için abonelik sahibine Email bildirimi etkinleştirilmelidir Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. AuditIfNotExists, Devre Dışı 2.0.0
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Güvenlik sorunları için aboneliklerin bir iletişim e-posta adresi olmalıdır Aboneliklerinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. AuditIfNotExists, Devre Dışı 1.0.1

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Yüksek önem derecesi uyarıları için Email bildirimi etkinleştirilmelidir Aboneliklerinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. AuditIfNotExists, Devre Dışı 1.0.1
Yüksek önem derecesi uyarıları için abonelik sahibine Email bildirimi etkinleştirilmelidir Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. AuditIfNotExists, Devre Dışı 2.0.0
Güvenlik sorunları için aboneliklerin bir iletişim e-posta adresi olmalıdır Aboneliklerinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. AuditIfNotExists, Devre Dışı 1.0.1

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
DNS için Azure Defender etkinleştirilmelidir DNS için Azure Defender, Azure kaynaklarınızdaki tüm DNS sorgularını sürekli izleyerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender, DNS katmanındaki şüpheli etkinlikler hakkında sizi uyarır. adresinde DNS https://aka.ms/defender-for-dns için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. adresinden Resource Manager için Azure Defender'ın https://aka.ms/defender-for-resource-manager özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinliklerle ilgili uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
KORUMASız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
Korumasız SQL Yönetilen Örnekleri için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Depolama için Azure Defender etkinleştirilmelidir Depolama için Azure Defender, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanmasını sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. AuditIfNotExists, Devre Dışı 4.0.0
Makinelerdeki SQL sunucularında güvenlik açığı bulguları çözümlenmelidir SQL güvenlik açığı değerlendirmesi veritabanınızı güvenlik açıklarına karşı tarar ve yanlış yapılandırmalar, aşırı izinler ve korumasız hassas veriler gibi en iyi uygulamalardan sapmaları ortaya çıkarır. Bulunan güvenlik açıklarını çözmek veritabanınızın güvenlik duruşunu büyük ölçüde geliştirebilir. AuditIfNotExists, Devre Dışı 1.0.0
Kapsayıcı güvenlik yapılandırmalarındaki güvenlik açıkları giderilmelidir Docker'ın yüklü olduğu makinelerde güvenlik yapılandırmasındaki güvenlik açıklarını denetleyin ve Azure Güvenlik Merkezi öneriler olarak görüntüleyin. AuditIfNotExists, Devre Dışı 3.0.0
Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir Yapılandırılan temeli karşılamayan sunucular öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.0.0
Sanal makine ölçek kümelerinizde güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir Sanal makine ölçek kümelerinizdeki işletim sistemi güvenlik açıklarını denetleyarak saldırılara karşı koruyun. AuditIfNotExists, Devre Dışı 3.0.0
Güvenlik açığı değerlendirmesi SQL Yönetilen Örneği etkinleştirilmelidir Yinelenen güvenlik açığı değerlendirme taramaları etkin olmayan her SQL Yönetilen Örneği denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. AuditIfNotExists, Devre Dışı 1.0.1
SQL sunucularınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir Yinelenen güvenlik açığı değerlendirme taramaları etkin olmayan Azure SQL sunucularını denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. AuditIfNotExists, Devre Dışı 2.0.0
Synapse çalışma alanlarınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir Synapse çalışma alanlarınızda yinelenen SQL güvenlik açığı değerlendirme taramalarını yapılandırarak olası güvenlik açıklarını keşfedin, izleyin ve düzeltin. AuditIfNotExists, Devre Dışı 1.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinliklerle ilgili uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Uç nokta koruma çözümü sanal makine ölçek kümelerine yüklenmelidir Sanal makinelerinizin ölçek kümelerinde bir uç nokta koruma çözümünün varlığını ve durumunu denetleyarak bunları tehditlere ve güvenlik açıklarına karşı koruyun. AuditIfNotExists, Devre Dışı 3.0.0
Azure Güvenlik Merkezi'de eksik Endpoint Protection'ları izleme Endpoint Protection aracısı yüklü olmayan sunucular Azure Güvenlik Merkezi tarafından öneri olarak izlenir AuditIfNotExists, Devre Dışı 3.1.0
Windows Defender Exploit Guard makinelerinizde etkinleştirilmelidir Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). AuditIfNotExists, Devre Dışı 1.1.1

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Azure DDoS Koruması Standart etkinleştirilmelidir DDoS koruma standardı, genel IP'ye sahip bir uygulama ağ geçidinin parçası olan alt ağa sahip tüm sanal ağlar için etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0
Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir Gelen trafiğin ek incelemesi için genel kullanıma yönelik web uygulamalarının önünde Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(s) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. Denetim, Reddetme, Devre Dışı 1.0.2
Sanal makinenizde IP İletme devre dışı bırakılmalıdır Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasını sağlar. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle ağ güvenlik ekibi tarafından gözden geçirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0
Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir Gelen trafiğin ek incelemesi için genel kullanıma yönelik web uygulamalarının önünde Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(s) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. Denetim, Reddetme, Devre Dışı 2.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
[Önizleme]: Azure Key Vault genel ağ erişimini devre dışı bırakmalıdır Anahtar kasanıza genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için bkz. https://aka.ms/akvprivatelink. Denetim, Reddetme, Devre Dışı 1.1.0-önizleme
Sanal makinenizle ilişkili ağ güvenlik gruplarında tüm ağ bağlantı noktaları kısıtlanmalıdır Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak tanıyabilir. AuditIfNotExists, Devre Dışı 3.0.0
API Management hizmetleri sanal ağ kullanmalıdır Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. Denetim, Devre Dışı 1.0.1
Uygulama Yapılandırması özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel bağlantı platformu, tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için bkz. https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Devre Dışı 1.0.2
Kubernetes Services üzerinde yetkili IP aralıkları tanımlanmalıdır YALNıZCA belirli aralıklardaki IP adreslerine API erişimi vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. Denetim, Devre Dışı 2.0.0
Redis için Azure Cache özel bağlantı kullanmalıdır Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmetleri genel ağ erişimini devre dışı bırakmalıdır Genel ağ erişimini devre dışı bırakmak, Azure Bilişsel Arama hizmetinizin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak, Arama hizmeti açığa çıkarmanızı sınırlayabilir. Daha fazla bilgi için bkz. https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints Denetim, Devre Dışı 1.0.0
Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkinleştirilmiş olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. Denetim, Reddetme, Devre Dışı 2.0.0
Azure Data Factory özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link AuditIfNotExists, Devre Dışı 1.0.0
Azure Event Grid etki alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek, veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için bkz. https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Event Grid konular özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için bkz. https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullanmalıdır Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. AuditIfNotExists, Devre Dışı 1.0.0
Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Denetim, Reddetme, Devre Dışı 1.1.0
Azure Service Bus ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
Azure SignalR Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel bağlantı platformu, tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink Denetim, Reddetme, Devre Dışı 1.0.1
Azure Synapse çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links Denetim, Devre Dışı 1.0.1
Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir Gelen trafiğin ek incelemesi için genel kullanıma yönelik web uygulamalarının önünde Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(s) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. Denetim, Reddetme, Devre Dışı 1.0.2
Bilişsel Hizmetler hesapları genel ağ erişimini devre dışı bırakmalıdır Genel ağ erişiminin devre dışı bırakılması, Bilişsel Hizmetler hesabının genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktaların oluşturulması Bilişsel Hizmetler hesabının görünür kalmasını sınırlayabilir. Daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?linkid=2129800. Denetim, Reddetme, Devre Dışı 2.0.0
Bilişsel Hizmetler hesapları ağ erişimini kısıtlamalıdır Bilişsel Hizmetler hesaplarına ağ erişimi kısıtlanmalıdır. Bilişsel Hizmetler hesabına yalnızca izin verilen ağlardan uygulamaların erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından gelen trafiğe veya genel İnternet IP adresi aralıklarına erişim verilebilir. Denetim, Reddetme, Devre Dışı 2.0.0
Bilişsel Hizmetler özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağlarınızı Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 Denetim, Devre Dışı 2.0.0
Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlere karşı korumak için yalnızca belirli genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde IP/güvenlik duvarı kuralı veya yapılandırılmış bir sanal ağ yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada ve https://aka.ms/acr/portal/public-network burada bulabilirsiniz https://aka.ms/acr/vnet. Denetim, Reddetme, Devre Dışı 1.1.0
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel bağlantı platformu, tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için bkz. https://aka.ms/acr/private-link. Denetim, Devre Dışı 1.0.1
CosmosDB hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints Denetim, Devre Dışı 1.0.0
Disk erişimi kaynakları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc AuditIfNotExists, Devre Dışı 1.0.0
Event Hub ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik grupları (NSG) ile sanal makinelerinize erişimi kısıtlayarak olası tehditlere karşı koruyun. NSG'lerle trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Devre Dışı 3.0.0
IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet Denetim, Devre Dışı 1.0.0
Sanal makinenizde IP İletme devre dışı bırakılmalıdır Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasını sağlar. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle ağ güvenlik ekibi tarafından gözden geçirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0
Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimi ile korunmalıdır Olası tam zamanında ağ (JIT) erişimi öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.0.0
Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır Açık uzaktan yönetim bağlantı noktaları vm'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek bir risk düzeyine maruz açıyor. Bu saldırılar makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. AuditIfNotExists, Devre Dışı 3.0.0
İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik grupları (NSG) ile erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlere karşı koruyun. NSG'lerle trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Devre Dışı 3.0.0
Azure SQL Veritabanındaki özel uç nokta bağlantıları etkinleştirilmelidir Özel uç nokta bağlantıları, Azure SQL Veritabanına özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu kılar. Denetim, Devre Dışı 1.1.0
Azure SQL Veritabanında genel ağ erişimi devre dışı bırakılmalıdır Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanınıza yalnızca özel bir uç noktadan erişilmesini sağlayarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 1.1.0
Depolama hesapları ağ erişimini kısıtlamalıdır Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Depolama hesabına yalnızca izin verilen ağlardan uygulamaların erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından gelen trafiğe veya genel İnternet IP adresi aralıklarına erişim verilebilir Denetim, Reddetme, Devre Dışı 1.1.1
Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlere karşı koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. Denetim, Reddetme, Devre Dışı 1.0.1
Depolama hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için adresine bakın: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Devre Dışı 2.0.0
Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir Ağ Güvenlik Grubu (NSG) ile alt ağınıza erişimi kısıtlayarak olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Access Control Listesi (ACL) kurallarının listesini içerir. AuditIfNotExists, Devre Dışı 3.0.0
Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir Gelen trafiğin ek incelemesi için genel kullanıma yönelik web uygulamalarının önünde Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(s) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. Denetim, Reddetme, Devre Dışı 2.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
[Önizleme]: Azure Key Vault genel ağ erişimini devre dışı bırakmalıdır Anahtar kasanıza genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için bkz. https://aka.ms/akvprivatelink. Denetim, Reddetme, Devre Dışı 1.1.0-önizleme
Sanal makinenizle ilişkili ağ güvenlik gruplarında tüm ağ bağlantı noktaları kısıtlanmalıdır Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak tanıyabilir. AuditIfNotExists, Devre Dışı 3.0.0
API Management hizmetleri sanal ağ kullanmalıdır Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. Denetim, Devre Dışı 1.0.1
Uygulama Yapılandırması özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel bağlantı platformu, tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için bkz. https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Devre Dışı 1.0.2
Kubernetes Services üzerinde yetkili IP aralıkları tanımlanmalıdır YALNıZCA belirli aralıklardaki IP adreslerine API erişimi vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. Denetim, Devre Dışı 2.0.0
Redis için Azure Cache özel bağlantı kullanmalıdır Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmetleri genel ağ erişimini devre dışı bırakmalıdır Genel ağ erişimini devre dışı bırakmak, Azure Bilişsel Arama hizmetinizin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak, Arama hizmeti açığa çıkarmanızı sınırlayabilir. Daha fazla bilgi için bkz. https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints Denetim, Devre Dışı 1.0.0
Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkinleştirilmiş olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. Denetim, Reddetme, Devre Dışı 2.0.0
Azure Data Factory özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link AuditIfNotExists, Devre Dışı 1.0.0
Azure Event Grid etki alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek, veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için bkz. https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Event Grid konular özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için bkz. https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullanmalıdır Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. AuditIfNotExists, Devre Dışı 1.0.0
Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link Denetim, Reddetme, Devre Dışı 1.1.0
Azure Service Bus ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
Azure SignalR Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel bağlantı platformu, tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink Denetim, Reddetme, Devre Dışı 1.0.1
Azure Synapse çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links Denetim, Devre Dışı 1.0.1
Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir Gelen trafiğin ek incelemesi için genel kullanıma yönelik web uygulamalarının önünde Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(s) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. Denetim, Reddetme, Devre Dışı 1.0.2
Bilişsel Hizmetler hesapları genel ağ erişimini devre dışı bırakmalıdır Genel ağ erişiminin devre dışı bırakılması, Bilişsel Hizmetler hesabının genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktaların oluşturulması Bilişsel Hizmetler hesabının görünür kalmasını sınırlayabilir. Daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?linkid=2129800. Denetim, Reddetme, Devre Dışı 2.0.0
Bilişsel Hizmetler hesapları ağ erişimini kısıtlamalıdır Bilişsel Hizmetler hesaplarına ağ erişimi kısıtlanmalıdır. Bilişsel Hizmetler hesabına yalnızca izin verilen ağlardan uygulamaların erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından gelen trafiğe veya genel İnternet IP adresi aralıklarına erişim verilebilir. Denetim, Reddetme, Devre Dışı 2.0.0
Bilişsel Hizmetler özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağlarınızı Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 Denetim, Devre Dışı 2.0.0
Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlere karşı korumak için yalnızca belirli genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde IP/güvenlik duvarı kuralı veya yapılandırılmış bir sanal ağ yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada ve https://aka.ms/acr/portal/public-network burada bulabilirsiniz https://aka.ms/acr/vnet. Denetim, Reddetme, Devre Dışı 1.1.0
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel bağlantı platformu, tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için bkz. https://aka.ms/acr/private-link. Denetim, Devre Dışı 1.0.1
CosmosDB hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints Denetim, Devre Dışı 1.0.0
Disk erişimi kaynakları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc AuditIfNotExists, Devre Dışı 1.0.0
Event Hub ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik grupları (NSG) ile sanal makinelerinize erişimi kısıtlayarak olası tehditlere karşı koruyun. NSG'lerle trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Devre Dışı 3.0.0
IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet Denetim, Devre Dışı 1.0.0
Sanal makinenizde IP İletme devre dışı bırakılmalıdır Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasını sağlar. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle ağ güvenlik ekibi tarafından gözden geçirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0
Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimi ile korunmalıdır Olası tam zamanında ağ (JIT) erişimi öneri olarak Azure Güvenlik Merkezi tarafından izlenecek AuditIfNotExists, Devre Dışı 3.0.0
Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz açıyor. Bu saldırılar makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. AuditIfNotExists, Devre Dışı 3.0.0
İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlere karşı koruyun. NSG'lerle trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Devre Dışı 3.0.0
Azure SQL Veritabanında özel uç nokta bağlantıları etkinleştirilmelidir Özel uç nokta bağlantıları, Azure SQL Veritabanına özel bağlantıyı etkinleştirerek güvenli iletişimi zorlar. Denetim, Devre Dışı 1.1.0
Azure SQL Veritabanında genel ağ erişimi devre dışı bırakılmalıdır Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanınıza yalnızca özel bir uç noktadan erişilmesini sağlayarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 1.1.0
Depolama hesapları ağ erişimini kısıtlamalıdır Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Depolama hesabına yalnızca izin verilen ağlardan gelen uygulamaların erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden bağlantılara izin vermek için belirli Azure sanal ağlarından gelen trafiğe veya genel İnternet IP adresi aralıklarına erişim verilebilir Denetim, Reddetme, Devre Dışı 1.1.1
Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlere karşı koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. Denetim, Reddetme, Devre Dışı 1.0.1
Depolama hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Devre Dışı 2.0.0
Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza giden ağ trafiğine izin veren veya reddeden Access Control Listesi (ACL) kurallarının listesini içerir. AuditIfNotExists, Devre Dışı 3.0.0
Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önünde Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi olarak korunmasını sağlar. Ayrıca özel kurallar aracılığıyla web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre kısıtlayabilirsiniz. Denetim, Reddetme, Devre Dışı 2.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
API Uygulamasına yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı, sunucu/hizmet kimlik doğrulamasını güvence altına alır ve aktarımdaki verileri ağ katmanı gizli dinleme saldırılarından korur. Denetim, Devre Dışı 1.0.0
Azure HDInsight kümeleri, Azure HDInsight küme düğümleri arasındaki iletişimi şifrelemek için aktarım sırasında şifreleme kullanmalıdır Azure HDInsight küme düğümleri arasında iletim sırasında verilerle oynanabilir. Aktarım sırasında şifrelemenin etkinleştirilmesi, bu iletim sırasında kötüye kullanım ve kurcalama sorunlarını giderir. Denetim, Reddetme, Devre Dışı 1.0.0
MySQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir MySQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak MySQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korunmaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkinleştirilmesini zorunlu kılır. Denetim, Devre Dışı 1.0.1
PostgreSQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir PostgreSQL için Azure Veritabanı, PostgreSQL için Azure Veritabanı sunucunuzu Güvenli Yuva Katmanı (SSL) kullanarak istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korunmaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkinleştirilmesini zorunlu kılır. Denetim, Devre Dışı 1.0.1
FTPS yalnızca API Uygulamanızda gerekli olmalıdır Gelişmiş güvenlik için FTPS zorlamasını etkinleştirme AuditIfNotExists, Devre Dışı 2.0.0
FTPS yalnızca İşlev Uygulamanızda gerekli olmalıdır Gelişmiş güvenlik için FTPS zorlamasını etkinleştirme AuditIfNotExists, Devre Dışı 2.0.0
Web Uygulamanızda FTPS gerekli olmalıdır Gelişmiş güvenlik için FTPS zorlamasını etkinleştirme AuditIfNotExists, Devre Dışı 2.0.0
İşlev Uygulamasına yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı, sunucu/hizmet kimlik doğrulamasını güvence altına alır ve aktarımdaki verileri ağ katmanı gizli dinleme saldırılarından korur. Denetim, Devre Dışı 1.0.0
Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı kimlik doğrulamasını güvence altına alır ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmuştur ve AKS Altyapısı ile Azure Arc özellikli Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için https://aka.ms/kubepolicydoc devre dışı 6.0.1
API Uygulamanızda en son TLS sürümü kullanılmalıdır En son TLS sürümüne yükseltme AuditIfNotExists, Devre Dışı 1.0.0
İşlev Uygulamanızda en son TLS sürümü kullanılmalıdır En son TLS sürümüne yükseltme AuditIfNotExists, Devre Dışı 1.0.0
Web Uygulamanızda en son TLS sürümü kullanılmalıdır En son TLS sürümüne yükseltme AuditIfNotExists, Devre Dışı 1.0.0
Yalnızca Redis için Azure Cache güvenli bağlantılar etkinleştirilmelidir yalnızca SSL ile Redis için Azure Cache bağlantıların etkinleştirilmesini denetleyin. Güvenli bağlantıların kullanılması sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur Denetim, Reddetme, Devre Dışı 1.0.0
Depolama hesaplarına güvenli aktarım etkinleştirilmelidir Depolama hesabınızda güvenli aktarım gereksinimini denetleme. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur Denetim, Reddetme, Devre Dışı 2.0.0
Web Uygulamasına yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı, sunucu/hizmet kimlik doğrulamasını güvence altına alır ve aktarımdaki verileri ağ katmanı dinleme saldırılarına karşı korur. Denetim, Devre Dışı 1.0.0
Windows web sunucuları güvenli iletişim protokollerini kullanacak şekilde yapılandırılmalıdır İnternet üzerinden iletişim kuran bilgilerin gizliliğini korumak için web sunucularınız endüstri standardı şifreleme protokolünün en son sürümünü (Aktarım Katmanı Güvenliği (TLS) kullanmalıdır. TLS, makineler arasındaki bağlantıyı şifrelemek için güvenlik sertifikaları kullanarak ağ üzerinden iletişimin güvenliğini sağlar. AuditIfNotExists, Devre Dışı 3.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
API Uygulamasına yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı, sunucu/hizmet kimlik doğrulamasını güvence altına alır ve aktarımdaki verileri ağ katmanı dinleme saldırılarına karşı korur. Denetim, Devre Dışı 1.0.0
Azure HDInsight kümeleri, Azure HDInsight küme düğümleri arasındaki iletişimi şifrelemek için aktarım sırasında şifreleme kullanmalıdır Azure HDInsight küme düğümleri arasında iletim sırasında verilerle oynanabilir. Aktarım sırasında şifrelemenin etkinleştirilmesi, bu iletim sırasında kötüye kullanım ve kurcalama sorunlarını giderir. Denetim, Reddetme, Devre Dışı 1.0.0
MySQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir MySQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak MySQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkinleştirilmesini zorunlu kılır. Denetim, Devre Dışı 1.0.1
PostgreSQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir PostgreSQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak PostgreSQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkinleştirilmesini zorunlu kılır. Denetim, Devre Dışı 1.0.1
FTPS yalnızca API Uygulamanızda gerekli olmalıdır Gelişmiş güvenlik için FTPS zorlamasını etkinleştirme AuditIfNotExists, Devre Dışı 2.0.0
FTPS yalnızca İşlev Uygulamanızda gerekli olmalıdır Gelişmiş güvenlik için FTPS zorlamasını etkinleştirme AuditIfNotExists, Devre Dışı 2.0.0
Web Uygulamanızda FTPS gerekli olmalıdır Gelişmiş güvenlik için FTPS zorlamasını etkinleştirme AuditIfNotExists, Devre Dışı 2.0.0
İşlev Uygulaması'nın yalnızca HTTPS üzerinden erişilebilir olması gerekir HTTPS kullanımı, sunucu/hizmet kimlik doğrulamasını güvence altına alır ve aktarımdaki verileri ağ katmanı dinleme saldırılarına karşı korur. Denetim, Devre Dışı 1.0.0
Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı kimlik doğrulamasını güvence altına alır ve aktarımdaki verileri ağ katmanı dinleme saldırılarına karşı korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmuştur ve AKS Altyapısı ile Azure Arc özellikli Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için https://aka.ms/kubepolicydoc devre dışı 6.0.1
API Uygulamanızda en son TLS sürümü kullanılmalıdır En son TLS sürümüne yükseltme AuditIfNotExists, Devre Dışı 1.0.0
İşlev Uygulamanızda en son TLS sürümü kullanılmalıdır En son TLS sürümüne yükseltme AuditIfNotExists, Devre Dışı 1.0.0
Web Uygulamanızda en son TLS sürümü kullanılmalıdır En son TLS sürümüne yükseltme AuditIfNotExists, Devre Dışı 1.0.0
Yalnızca Redis için Azure Cache güvenli bağlantılar etkinleştirilmelidir yalnızca SSL ile Redis için Azure Cache bağlantıların etkinleştirilmesini denetleyin. Güvenli bağlantıların kullanılması sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur Denetim, Reddetme, Devre Dışı 1.0.0
Depolama hesaplarına güvenli aktarım etkinleştirilmelidir Depolama hesabınızda güvenli aktarım gereksinimini denetleme. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur Denetim, Reddetme, Devre Dışı 2.0.0
Web Uygulamasına yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı, sunucu/hizmet kimlik doğrulamasını güvence altına alır ve aktarımdaki verileri ağ katmanı gizli dinleme saldırılarından korur. Denetim, Devre Dışı 1.0.0
Windows web sunucuları güvenli iletişim protokollerini kullanacak şekilde yapılandırılmalıdır İnternet üzerinden iletişim kuran bilgilerin gizliliğini korumak için web sunucularınız endüstri standardı şifreleme protokolünün en son sürümünü (Aktarım Katmanı Güvenliği (TLS) kullanmalıdır. TLS, makineler arasındaki bağlantıyı şifrelemek için güvenlik sertifikalarını kullanarak ağ üzerinden iletişimin güvenliğini sağlar. AuditIfNotExists, Devre Dışı 3.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
[Önizleme]: Azure Kurtarma Hizmetleri kasaları yedekleme verilerini şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Yedekleme verilerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gerekir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin tarafınızdan oluşturulan ve sahip olunan bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere anahtar yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. adresinden daha fazla https://aka.ms/AB-CmkEncryptionbilgi edinin. Denetim, Reddetme, Devre Dışı 1.0.0-önizleme
[Önizleme]: IoT Hub cihaz sağlama hizmeti verileri, müşteri tarafından yönetilen anahtarlar (CMK) kullanılarak şifrelenmelidir IoT Hub cihaz sağlama hizmetinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Bekleyen veriler hizmet tarafından yönetilen anahtarlarla otomatik olarak şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar (CMK) gerekir. CMK'ler, verilerin sizin tarafınızdan oluşturulan ve sahip olunan bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. cmk şifrelemesi hakkında daha fazla bilgi için bkz https://aka.ms/dps/CMK. . Denetim, Reddetme, Devre Dışı 1.0.0-önizleme
Azure Otomasyonu hesapları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Azure Otomasyonu Hesaplarınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gerekir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin tarafınızdan oluşturulan ve sahip olunan bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere anahtar yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. [https://aka.ms/automation-cmk](.. adresinden daha fazla bilgi edinin /.. /.. /automation/automation-secure-asset-encryption.md#:~:text=Azure Otomasyonu içindeki güvenli varlıklar kimlik bilgilerini, sertifikaları, bağlantıları,Microsoft tarafından yönetilen anahtarları kullanma) içerir. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Batch hesabı verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Batch hesabınızın verilerinin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gerekir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin tarafınızdan oluşturulan ve sahip olunan bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere anahtar yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. adresinden daha fazla https://aka.ms/Batch-CMKbilgi edinin. Denetim, Reddetme, Devre Dışı 1.0.1
Azure Container Instance kapsayıcı grubu şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır Müşteri tarafından yönetilen anahtarları kullanarak kapsayıcılarınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. Denetim, Devre Dışı, Reddet 1.0.0
Azure Cosmos DB hesapları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Azure Cosmos DB'nizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleme sırasında hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gerekir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin tarafınızdan oluşturulan ve sahip olunan bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere anahtar yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. adresinden daha fazla https://aka.ms/cosmosdb-cmkbilgi edinin. devre dışı 1.0.2
Azure Data Box işleri, cihaz kilidini açma parolasını şifrelemek için müşteri tarafından yönetilen bir anahtar kullanmalıdır Azure Data Box için cihaz kilidi açma parolasının şifrelenmesini denetlemek için müşteri tarafından yönetilen bir anahtar kullanın. Müşteri tarafından yönetilen anahtarlar, cihazı hazırlamak ve verileri otomatik bir şekilde kopyalamak için Data Box hizmeti tarafından cihazın kilidini açma parolasına erişimi yönetmeye de yardımcı olur. Cihazın kendisinde bulunan veriler Gelişmiş Şifreleme Standardı 256 bit şifreleme ile zaten şifrelenir ve cihazın kilit açma parolası varsayılan olarak Microsoft tarafından yönetilen bir anahtarla şifrelenir. Denetim, Reddetme, Devre Dışı 1.0.0
Bekleyen Azure Veri Gezgini şifrelemesi müşteri tarafından yönetilen bir anahtar kullanmalıdır Azure Veri Gezgini kümenizde müşteri tarafından yönetilen bir anahtar kullanarak bekleyen şifrelemeyi etkinleştirmek, bekleyen şifreleme tarafından kullanılan anahtar üzerinde ek denetim sağlar. Bu özellik genellikle özel uyumluluk gereksinimleri olan müşteriler için geçerlidir ve anahtarları yönetmek için bir Key Vault gerektirir. Denetim, Reddetme, Devre Dışı 1.0.0
Azure veri fabrikaları müşteri tarafından yönetilen bir anahtarla şifrelenmelidir Azure Data Factory kalan kısmında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gerekir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin tarafınızdan oluşturulan ve sahip olunan bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere anahtar yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. adresinden daha fazla https://aka.ms/adf-cmkbilgi edinin. Denetim, Reddetme, Devre Dışı 1.0.1
Azure HDInsight kümeleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Azure HDInsight kümelerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gerekir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin tarafınızdan oluşturulan ve sahip olunan bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere anahtar yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. adresinden daha fazla https://aka.ms/hdi.cmkbilgi edinin. Denetim, Reddetme, Devre Dışı 1.0.1
Azure HDInsight kümeleri bekleyen verileri şifrelemek için konakta şifreleme kullanmalıdır Konakta şifrelemeyi etkinleştirmek, verilerinizin korunmasına ve korunmasına yardımcı olarak kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olur. Konakta şifrelemeyi etkinleştirdiğinizde, VM ana bilgisayarında depolanan veriler bekleme durumunda şifrelenir ve akışlar Depolama hizmetine şifrelenir. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Machine Learning çalışma alanları müşteri tarafından yönetilen bir anahtarla şifrelenmelidir Müşteri tarafından yönetilen anahtarlarla Azure Machine Learning çalışma alanı verilerinin geri kalanında şifrelemeyi yönetin. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gerekir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin tarafınızdan oluşturulan ve sahip olunan bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere anahtar yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. adresinden daha fazla https://aka.ms/azureml-workspaces-cmkbilgi edinin. Denetim, Reddetme, Devre Dışı 1.0.3
Azure İzleyici Günlükleri kümeleri müşteri tarafından yönetilen anahtarla şifrelenmelidir Müşteri tarafından yönetilen anahtar şifrelemesi ile Azure İzleyici günlükleri kümesi oluşturun. Varsayılan olarak, günlük verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak mevzuat uyumluluğunu karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gerekir. Azure İzleyici'de müşteri tarafından yönetilen anahtar, verilerinize erişim üzerinde daha fazla denetim sağlar, bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. . devre dışı 1.0.0
Azure Stream Analytics işleri verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Stream Analytics işlerinizin meta verilerini ve özel veri varlıklarını depolama hesabınızda güvenli bir şekilde depolamak istediğinizde müşteri tarafından yönetilen anahtarları kullanın. Bu, Stream Analytics verilerinizin şifrelenme şekli üzerinde tam denetim sağlar. devre dışı 1.0.0
Azure Synapse çalışma alanları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Azure Synapse çalışma alanlarında depolanan verilerin geri kalanında şifrelemeyi denetlemek için müşteri tarafından yönetilen anahtarları kullanın. Müşteri tarafından yönetilen anahtarlar, hizmet tarafından yönetilen anahtarlarla varsayılan şifrelemenin üzerine ikinci bir şifreleme katmanı ekleyerek çift şifreleme sağlar. Denetim, Reddetme, Devre Dışı 1.0.0
Bot Hizmeti müşteri tarafından yönetilen anahtarla şifrelenmelidir Azure Bot Hizmeti, verilerinizi korumak ve kurumsal güvenlik ve uyumluluk taahhütlerini yerine getirmek için kaynağınızı otomatik olarak şifreler. Varsayılan olarak, Microsoft tarafından yönetilen şifreleme anahtarları kullanılır. Anahtarları yönetme veya aboneliğinize erişimi denetleme konusunda daha fazla esneklik için kendi anahtarını getir (KAG) olarak da bilinen müşteri tarafından yönetilen anahtarları seçin. Azure Bot Hizmeti şifrelemesi hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. devre dışı 1.0.0
hem işletim sistemleri hem de Azure Kubernetes Service kümelerindeki veri diskleri müşteri tarafından yönetilen anahtarlar tarafından şifrelenmelidir Müşteri tarafından yönetilen anahtarları kullanarak işletim sistemi ve veri disklerinin şifrelenmesi, anahtar yönetiminde daha fazla denetim ve daha fazla esneklik sağlar. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. Denetim, Reddetme, Devre Dışı 1.0.0
Bilişsel Hizmetler hesapları, müşteri tarafından yönetilen bir anahtarla veri şifrelemeyi etkinleştirmelidir Yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, Bilişsel Hizmetler'de depolanan verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere anahtar yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. adresinden müşteri tarafından yönetilen anahtarlar https://go.microsoft.com/fwlink/?linkid=2121321hakkında daha fazla bilgi edinin. Denetim, Reddetme, Devre Dışı 2.0.0
Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla şifrelenmelidir Kayıt defterlerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleme sırasında hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gerekir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin tarafınızdan oluşturulan ve sahip olunan bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere anahtar yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. adresinden daha fazla https://aka.ms/acr/CMKbilgi edinin. Denetim, Reddetme, Devre Dışı 1.1.2
Event Hub ad alanları şifreleme için müşteri tarafından yönetilen bir anahtar kullanmalıdır Azure Event Hubs Bekleyen verileri Microsoft tarafından yönetilen anahtarlarla (varsayılan) veya müşteri tarafından yönetilen anahtarlarla şifreleme seçeneğini destekler. Müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemeyi seçmek, Event Hub'ın ad alanınızdaki verileri şifrelemek için kullanacağı anahtarlara erişim atamanızı, döndürmenizi, devre dışı bırakmanızı ve erişimi iptal etmenizi sağlar. Event Hub'ın yalnızca ayrılmış kümelerdeki ad alanları için müşteri tarafından yönetilen anahtarlarla şifrelemeyi desteklediğini unutmayın. Denetim, Devre Dışı 1.0.0
Logic Apps Tümleştirme Hizmeti Ortamı, müşteri tarafından yönetilen anahtarlarla şifrelenmelidir Müşteri tarafından yönetilen anahtarları kullanarak Logic Apps verilerinin geri kalanında şifrelemeyi yönetmek için Integration Service Ortamı'na dağıtın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gerekir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin tarafınızdan oluşturulan ve sahip olunan bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere anahtar yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. Denetim, Reddetme, Devre Dışı 1.0.0
Yönetilen diskler hem platform tarafından yönetilen hem de müşteri tarafından yönetilen anahtarlarla çift şifrelenmelidir Belirli bir şifreleme algoritması, uygulaması veya anahtarının tehlikeye girme riskiyle ilgili endişe duyan yüksek güvenlik duyarlı müşteriler, platform tarafından yönetilen şifreleme anahtarlarını kullanarak altyapı katmanında farklı bir şifreleme algoritması/modu kullanarak ek şifreleme katmanını tercih edebilir. Çift şifreleme kullanmak için disk şifreleme kümeleri gereklidir. adresinden daha fazla https://aka.ms/disks-doubleEncryptionbilgi edinin. Denetim, Reddetme, Devre Dışı 1.0.0
İşletim sistemi ve veri diskleri müşteri tarafından yönetilen bir anahtarla şifrelenmelidir Yönetilen disklerinizin içeriğinin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleme sırasında platform tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gerekir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin tarafınızdan oluşturulan ve sahip olunan bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere anahtar yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. adresinden daha fazla https://aka.ms/disks-cmkbilgi edinin. Denetim, Reddetme, Devre Dışı 3.0.0
Azure İzleyici'de kaydedilen sorgular, günlük şifrelemesi için müşteri depolama hesabına kaydedilmelidir Kaydedilen sorguları depolama hesabı şifrelemesi ile korumak için depolama hesabını Log Analytics çalışma alanına bağlayın. Müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğunu karşılamak ve Azure İzleyici'de kaydedilen sorgularınıza erişim üzerinde daha fazla denetim sağlamak için gereklidir. Yukarıdaki diğer ayrıntılar için bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. . devre dışı 1.0.0
Service Bus Premium ad alanları şifreleme için müşteri tarafından yönetilen bir anahtar kullanmalıdır Azure Service Bus Bekleyen verileri Microsoft tarafından yönetilen anahtarlarla (varsayılan) veya müşteri tarafından yönetilen anahtarlarla şifreleme seçeneğini destekler. Müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemeyi seçtiğinizde Service Bus'ın ad alanınızdaki verileri şifrelemek için kullanacağı anahtarlara erişim atayabilir, döndürebilir, devre dışı bırakabilir ve erişimi iptal edebilirsiniz. Service Bus'ın yalnızca premium ad alanları için müşteri tarafından yönetilen anahtarlarla şifrelemeyi desteklediğini unutmayın. Denetim, Devre Dışı 1.0.0
SQL yönetilen örnekleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Saydam Veri Şifrelemesi'ni (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile daha fazla güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. Denetim, Reddetme, Devre Dışı 2.0.0
SQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Saydam Veri Şifrelemesi'ni (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli bir dış hizmet ile daha fazla güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. Denetim, Reddetme, Devre Dışı 2.0.1
Depolama hesabı şifreleme kapsamları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Depolama hesabı şifreleme kapsamlarınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Müşteri tarafından yönetilen anahtarlar, verilerin sizin tarafınızdan oluşturulan ve sahip olunan bir Azure anahtar kasası anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere anahtar yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. depolama hesabı şifreleme kapsamları hakkında daha fazla bilgi için bkz https://aka.ms/encryption-scopes-overview. . Denetim, Reddetme, Devre Dışı 1.0.0
Depolama hesapları şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır Müşteri tarafından yönetilen anahtarları kullanarak blob ve dosya depolama hesabınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. Denetim, Devre Dışı 1.0.3

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
App Service Ortamı iç şifrelemeyi etkinleştirmelidir InternalEncryption değerini true olarak ayarlamak, ön uçlar ile bir App Service Ortamı içindeki çalışanlar arasındaki disk belleği dosyasını, çalışan disklerini ve iç ağ trafiğini şifreler. Daha fazla bilgi edinmek için bkz https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. . Denetim, Devre Dışı 1.0.0
Otomasyon hesabı değişkenleri şifrelenmelidir Hassas verileri depolarken Otomasyon hesabı değişken varlıklarının şifrelenmesini etkinleştirmek önemlidir Denetim, Reddetme, Devre Dışı 1.1.0
Azure Data Box işleri, cihazdaki bekleyen veriler için çift şifrelemeyi etkinleştirmelidir Cihazdaki bekleyen veriler için ikinci bir yazılım tabanlı şifreleme katmanını etkinleştirin. Cihaz bekleyen veriler için Gelişmiş Şifreleme Standardı 256 bit şifreleme ile zaten korunmaktadır. Bu seçenek ikinci bir veri şifreleme katmanı ekler. Denetim, Reddetme, Devre Dışı 1.0.0
Azure İzleyici Günlükleri kümeleri altyapı şifrelemesi etkin (çift şifreleme) ile oluşturulmalıdır İki farklı şifreleme algoritması ve iki farklı anahtarla hizmet düzeyinde ve altyapı düzeyinde güvenli veri şifrelemenin etkinleştirildiğinden emin olmak için ayrılmış bir Azure İzleyici kümesi kullanın. Bu seçenek, bölgede desteklendiğinde varsayılan olarak etkindir, bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. . devre dışı 1.0.0
Azure Stack Edge cihazları çift şifreleme kullanmalıdır Cihazdaki bekleyen verilerin güvenliğini sağlamak için çift şifrelendiğinden, verilere erişimin denetlendiğinden ve cihaz devre dışı bırakıldıktan sonra verilerin veri disklerinden güvenli bir şekilde silindiğinden emin olun. Çift şifreleme, iki şifreleme katmanının kullanılmasıdır: Veri birimlerinde BitLocker XTS-AES 256 bit şifreleme ve sabit sürücülerin yerleşik şifrelemesi. Belirli bir Stack Edge cihazı için güvenlik genel bakış belgelerinde daha fazla bilgi edinin. devre dışı 1.0.0
Azure Veri Gezgini'de disk şifreleme etkinleştirilmelidir Disk şifrelemesini etkinleştirmek, kuruluşunuzun güvenlik ve uyumluluk taahhütlerini yerine getirmek için verilerinizin korunmasına ve korunmasına yardımcı olur. Denetim, Reddetme, Devre Dışı 2.0.0
Azure Veri Gezgini'da çift şifreleme etkinleştirilmelidir Çift şifrelemeyi etkinleştirmek, verilerinizin korunmasına ve korunmasına yardımcı olarak kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olur. Çift şifreleme etkinleştirildiğinde, depolama hesabındaki veriler iki farklı şifreleme algoritması ve iki farklı anahtar kullanılarak bir kez hizmet düzeyinde ve bir kez altyapı düzeyinde iki kez şifrelenir. Denetim, Reddetme, Devre Dışı 2.0.0
Service Fabric kümelerinde ClusterProtectionLevel özelliği EncryptAndSign olarak ayarlanmalıdır Service Fabric, birincil küme sertifikası kullanarak düğümden düğüme iletişim için üç koruma düzeyi (None, Sign ve EncryptAndSign) sağlar. Tüm düğümden düğüme iletilerin şifrelenmesini ve dijital olarak imzalanmasını sağlamak için koruma düzeyini ayarlayın Denetim, Reddetme, Devre Dışı 1.1.0
Depolama hesaplarının altyapı şifrelemesi olmalıdır Verilerin güvenli olduğundan daha yüksek düzeyde güvence sağlamak için altyapı şifrelemesini etkinleştirin. Altyapı şifrelemesi etkinleştirildiğinde, depolama hesabındaki veriler iki kez şifrelenir. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir Veri güvenliğini geliştirmek için, Azure Kubernetes Service düğüm vm'lerinizin sanal makine (VM) konağında depolanan veriler bekleme sırasında şifrelenmelidir. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. Denetim, Reddetme, Devre Dışı 1.0.0
SQL veritabanlarında Saydam Veri Şifreleme etkinleştirilmelidir Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir AuditIfNotExists, Devre Dışı 2.0.0
Sanal makinelerde ve sanal makine ölçek kümelerinde konakta şifreleme etkinleştirilmelidir Sanal makinenizin ve sanal makine ölçek kümesi verilerinizin uçtan uca şifrelemesini almak için konakta şifrelemeyi kullanın. Konakta şifreleme, geçici diskiniz ve işletim sistemi/veri diski önbellekleriniz için bekleyen şifrelemeyi etkinleştirir. Konakta şifreleme etkinleştirildiğinde geçici ve kısa ömürlü işletim sistemi diskleri platform tarafından yönetilen anahtarlarla şifrelenir. İşletim sistemi/veri diski önbellekleri, diskte seçilen şifreleme türüne bağlı olarak bekleyen durumda müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarla şifrelenir. adresinden daha fazla https://aka.ms/vm-hbebilgi edinin. Denetim, Reddetme, Devre Dışı 1.0.0
Sanal makineler, İşlem ve Depolama kaynakları arasındaki geçici diskleri, önbellekleri ve veri akışlarını şifrelemelidir Varsayılan olarak, bir sanal makinenin işletim sistemi ve veri diskleri, platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir. Geçici diskler, veri önbellekleri ve işlem ile depolama arasında akan veriler şifrelenmez. Şu durumda bu öneriyi göz ardı edin: 1. veya 2 kullanarak. Yönetilen Diskler sunucu tarafı şifrelemesi güvenlik gereksinimlerinizi karşılar. Daha fazla bilgi için bkz. Azure Disk Depolama'nın sunucu tarafı şifrelemesi: https://aka.ms/disksse Farklı disk şifreleme teklifleri: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Devre Dışı 2.0.3

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
App Service Ortamı iç şifrelemeyi etkinleştirmelidir InternalEncryption değerini true olarak ayarlamak, ön uçlar ile bir App Service Ortamı içindeki çalışanlar arasındaki disk belleği dosyasını, çalışan disklerini ve iç ağ trafiğini şifreler. Daha fazla bilgi edinmek için bkz https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. . Denetim, Devre Dışı 1.0.0
Otomasyon hesabı değişkenleri şifrelenmelidir Hassas verileri depolarken Otomasyon hesabı değişken varlıklarının şifrelenmesini etkinleştirmek önemlidir Denetim, Reddetme, Devre Dışı 1.1.0
Azure Data Box işleri, cihazdaki bekleyen veriler için çift şifrelemeyi etkinleştirmelidir Cihazdaki bekleyen veriler için ikinci bir yazılım tabanlı şifreleme katmanını etkinleştirin. Cihaz bekleyen veriler için Gelişmiş Şifreleme Standardı 256 bit şifreleme ile zaten korunmaktadır. Bu seçenek ikinci bir veri şifreleme katmanı ekler. Denetim, Reddetme, Devre Dışı 1.0.0
Azure İzleyici Günlükleri kümeleri altyapı şifrelemesi etkin (çift şifreleme) ile oluşturulmalıdır İki farklı şifreleme algoritması ve iki farklı anahtarla hizmet düzeyinde ve altyapı düzeyinde güvenli veri şifrelemenin etkinleştirildiğinden emin olmak için ayrılmış bir Azure İzleyici kümesi kullanın. Bu seçenek, bölgede desteklendiğinde varsayılan olarak etkindir, bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. . devre dışı 1.0.0
Azure Stack Edge cihazları çift şifreleme kullanmalıdır Cihazdaki bekleyen verilerin güvenliğini sağlamak için çift şifrelendiğinden, verilere erişimin denetlendiğinden ve cihaz devre dışı bırakıldıktan sonra verilerin veri disklerinden güvenli bir şekilde silindiğinden emin olun. Çift şifreleme, iki şifreleme katmanının kullanılmasıdır: Veri birimlerinde BitLocker XTS-AES 256 bit şifreleme ve sabit sürücülerin yerleşik şifrelemesi. Belirli bir Stack Edge cihazı için güvenlik genel bakış belgelerinde daha fazla bilgi edinin. devre dışı 1.0.0
Azure Veri Gezgini'de disk şifreleme etkinleştirilmelidir Disk şifrelemesini etkinleştirmek, kuruluşunuzun güvenlik ve uyumluluk taahhütlerini yerine getirmek için verilerinizin korunmasına ve korunmasına yardımcı olur. Denetim, Reddetme, Devre Dışı 2.0.0
Azure Veri Gezgini'da çift şifreleme etkinleştirilmelidir Çift şifrelemeyi etkinleştirmek, verilerinizin korunmasına ve korunmasına yardımcı olarak kurumsal güvenlik ve uyumluluk taahhütlerinizi yerine getirmenize yardımcı olur. Çift şifreleme etkinleştirildiğinde, depolama hesabındaki veriler iki farklı şifreleme algoritması ve iki farklı anahtar kullanılarak bir kez hizmet düzeyinde ve bir kez altyapı düzeyinde iki kez şifrelenir. Denetim, Reddetme, Devre Dışı 2.0.0
Service Fabric kümelerinde ClusterProtectionLevel özelliği EncryptAndSign olarak ayarlanmalıdır Service Fabric, birincil küme sertifikası kullanarak düğümden düğüme iletişim için üç koruma düzeyi (None, Sign ve EncryptAndSign) sağlar. Tüm düğümden düğüme iletilerin şifrelenmesini ve dijital olarak imzalanmasını sağlamak için koruma düzeyini ayarlayın Denetim, Reddetme, Devre Dışı 1.1.0
Depolama hesaplarının altyapı şifrelemesi olmalıdır Verilerin güvenli olduğundan daha yüksek düzeyde güvence sağlamak için altyapı şifrelemesini etkinleştirin. Altyapı şifrelemesi etkinleştirildiğinde, depolama hesabındaki veriler iki kez şifrelenir. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir Veri güvenliğini geliştirmek için, Azure Kubernetes Service düğüm vm'lerinizin sanal makine (VM) konağında depolanan veriler bekleme sırasında şifrelenmelidir. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. Denetim, Reddetme, Devre Dışı 1.0.0
SQL veritabanlarında Saydam Veri Şifreleme etkinleştirilmelidir Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir AuditIfNotExists, Devre Dışı 2.0.0
Sanal makinelerde ve sanal makine ölçek kümelerinde konakta şifreleme etkinleştirilmelidir Sanal makinenizin ve sanal makine ölçek kümesi verilerinizin uçtan uca şifrelemesini almak için konakta şifrelemeyi kullanın. Konakta şifreleme, geçici diskiniz ve işletim sistemi/veri diski önbellekleriniz için bekleyen şifrelemeyi etkinleştirir. Konakta şifreleme etkinleştirildiğinde geçici ve kısa ömürlü işletim sistemi diskleri platform tarafından yönetilen anahtarlarla şifrelenir. İşletim sistemi/veri diski önbellekleri, diskte seçilen şifreleme türüne bağlı olarak bekleyen durumda müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarla şifrelenir. adresinden daha fazla https://aka.ms/vm-hbebilgi edinin. Denetim, Reddetme, Devre Dışı 1.0.0
Sanal makineler, İşlem ve Depolama kaynakları arasındaki geçici diskleri, önbellekleri ve veri akışlarını şifrelemelidir Varsayılan olarak, bir sanal makinenin işletim sistemi ve veri diskleri, platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir. Geçici diskler, veri önbellekleri ve işlem ile depolama arasında akan veriler şifrelenmez. Şu durumda bu öneriyi göz ardı edin: 1. veya 2 kullanarak. Yönetilen Diskler sunucu tarafı şifrelemesi güvenlik gereksinimlerinizi karşılar. Daha fazla bilgi için bkz. Azure Disk Depolama'nın sunucu tarafı şifrelemesi: https://aka.ms/disksse Farklı disk şifreleme teklifleri: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Devre Dışı 2.0.3

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Azure SQL Için Azure Defender Veritabanı sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
DNS için Azure Defender etkinleştirilmelidir DNS için Azure Defender, Azure kaynaklarınızdan gelen tüm DNS sorgularını sürekli izleyerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender, DNS katmanındaki şüpheli etkinlikler hakkında sizi uyarır. adresinde DNS https://aka.ms/defender-for-dns için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlik hakkında sizi uyarır. adresinden Resource Manager için Azure Defender'ın https://aka.ms/defender-for-resource-manager özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinliklerle ilgili uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Depolama için Azure Defender etkinleştirilmelidir Depolama için Azure Defender, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanmasını sağlar. AuditIfNotExists, Devre Dışı 1.0.3
API uygulamasını çalıştırmak için kullanılırsa 'HTTP Sürümü'nin en son sürüm olduğundan emin olun Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanmaktadır. Varsa, güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 2.0.0
İşlev uygulamasını çalıştırmak için kullanılırsa 'HTTP Sürümü'nin en son sürüm olduğundan emin olun Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanmaktadır. Varsa, güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 2.0.0
Web uygulamasını çalıştırmak için kullanılırsa 'HTTP Sürümü'nin en son sürüm olduğundan emin olun Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanmaktadır. Varsa, güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 2.0.0
API uygulamasının bir parçası olarak kullanılıyorsa 'Java sürümünün' en son sürüm olduğundan emin olun Güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Java için düzenli aralıklarla daha yeni sürümler yayınlanmaktadır. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için API uygulamaları için en son Python sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 2.0.0
İşlev uygulamasının bir parçası olarak kullanılıyorsa 'Java sürümünün' en son sürüm olduğundan emin olun Güvenlik açıkları nedeniyle veya ek işlevler içermesi nedeniyle Java yazılımları için düzenli aralıklarla daha yeni sürümler yayınlanmaktadır. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için İşlev uygulamaları için en son Java sürümünü kullanmanız önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 2.0.0
Web uygulamasının bir parçası olarak kullanılıyorsa 'Java sürümünün' en son sürüm olduğundan emin olun Güvenlik açıkları nedeniyle veya ek işlevler içermesi nedeniyle Java yazılımları için düzenli aralıklarla daha yeni sürümler yayınlanmaktadır. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son Java sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 2.0.0
API uygulamasının bir parçası olarak kullanılıyorsa 'PHP sürümünün' en son sürüm olduğundan emin olun Belirli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla PHP yazılımı için daha yeni sürümler yayınlanmaktadır. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için API uygulamaları için en son PHP sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 2.1.0
WEB uygulamasının bir parçası olarak kullanılıyorsa 'PHP sürümünün' en son sürüm olduğundan emin olun Belirli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla PHP yazılımı için daha yeni sürümler yayınlanmaktadır. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için web uygulamaları için en son PHP sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 2.1.0
API uygulamasının bir parçası olarak kullanılıyorsa 'Python sürümünün' en son sürüm olduğundan emin olun Güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Python yazılımları için düzenli aralıklarla daha yeni sürümler yayınlanmaktadır. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için API uygulamaları için en son Python sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 3.0.0
İşlev uygulamasının bir parçası olarak kullanılıyorsa 'Python sürümünün' en son sürüm olduğundan emin olun Güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Python yazılımları için düzenli aralıklarla daha yeni sürümler yayınlanmaktadır. İşlev uygulamaları için en son Python sürümünün kullanılması, varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 3.0.0
Web uygulamasının bir parçası olarak kullanılıyorsa 'Python sürümünün' en son sürüm olduğundan emin olun Güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Python yazılımları için düzenli aralıklarla daha yeni sürümler yayınlanmaktadır. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için web uygulamaları için en son Python sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 3.0.0
Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir Geçerli Kubernetes sürümünüzdeki bilinen güvenlik açıklarına karşı koruma sağlamak için Kubernetes hizmet kümenizi daha sonraki bir Kubernetes sürümüne yükseltin. Kubernetes sürüm 1.11.9+, 1.12.7+, 1.13.5+ ve 1.14.0+ sürümlerinde CVE-2019-9946 güvenlik açığına düzeltme eki eklendi Denetim, Devre Dışı 1.0.2
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. AuditIfNotExists, Devre Dışı 4.0.0
Sanal makine ölçek kümelerinde sistem güncelleştirmeleri yüklenmelidir Windows ve Linux sanal makine ölçek kümelerinizin güvenli olduğundan emin olmak için eksik sistem güvenlik güncelleştirmeleri ve yüklenmesi gereken kritik güncelleştirmeler olup olmadığını denetleyin. AuditIfNotExists, Devre Dışı 3.0.0
Makinelerinize sistem güncelleştirmeleri yüklenmelidir Sunucularınızdaki eksik güvenlik sistemi güncelleştirmeleri öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.0.0
Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir Yapılandırılan temeli karşılamayan sunucular öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.0.0
Sanal makine ölçek kümelerinizde güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir Sanal makine ölçek kümelerinizdeki işletim sistemi güvenlik açıklarını denetleyarak saldırılara karşı koruyun. AuditIfNotExists, Devre Dışı 3.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
API uygulamasını çalıştırmak için kullanılırsa 'HTTP Sürümü'nin en son sürüm olduğundan emin olun Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanmaktadır. Varsa, güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 2.0.0
İşlev uygulamasını çalıştırmak için kullanılırsa 'HTTP Sürümü'nin en son sürüm olduğundan emin olun Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanmaktadır. Varsa, güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 2.0.0
Web uygulamasını çalıştırmak için kullanılırsa 'HTTP Sürümü'nin en son sürüm olduğundan emin olun Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanmaktadır. Varsa, güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 2.0.0
API uygulamasının bir parçası olarak kullanılıyorsa 'Java sürümünün' en son sürüm olduğundan emin olun Güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Java için düzenli aralıklarla daha yeni sürümler yayınlanmaktadır. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için API uygulamaları için en son Python sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 2.0.0
İşlev uygulamasının bir parçası olarak kullanılıyorsa 'Java sürümünün' en son sürüm olduğundan emin olun Güvenlik açıkları nedeniyle veya ek işlevler içermesi nedeniyle Java yazılımları için düzenli aralıklarla daha yeni sürümler yayınlanmaktadır. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için İşlev uygulamaları için en son Java sürümünü kullanmanız önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 2.0.0
Web uygulamasının bir parçası olarak kullanılıyorsa 'Java sürümünün' en son sürüm olduğundan emin olun Güvenlik açıkları nedeniyle veya ek işlevler içermesi nedeniyle Java yazılımları için düzenli aralıklarla daha yeni sürümler yayınlanmaktadır. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son Java sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 2.0.0
API uygulamasının bir parçası olarak kullanılıyorsa 'PHP sürümünün' en son sürüm olduğundan emin olun Belirli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla PHP yazılımı için daha yeni sürümler yayınlanmaktadır. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için API uygulamaları için en son PHP sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 2.1.0
WEB uygulamasının bir parçası olarak kullanılıyorsa 'PHP sürümünün' en son sürüm olduğundan emin olun Belirli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla PHP yazılımı için daha yeni sürümler yayınlanmaktadır. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için web uygulamaları için en son PHP sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 2.1.0
API uygulamasının bir parçası olarak kullanılıyorsa 'Python sürümünün' en son sürüm olduğundan emin olun Güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Python yazılımları için düzenli aralıklarla daha yeni sürümler yayınlanmaktadır. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için API uygulamaları için en son Python sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 3.0.0
İşlev uygulamasının bir parçası olarak kullanılıyorsa 'Python sürümünün' en son sürüm olduğundan emin olun Güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Python yazılımları için düzenli aralıklarla daha yeni sürümler yayınlanmaktadır. İşlev uygulamaları için en son Python sürümünün kullanılması, varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 3.0.0
Web uygulamasının bir parçası olarak kullanılıyorsa 'Python sürümünün' en son sürüm olduğundan emin olun Güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla Python yazılımları için düzenli aralıklarla daha yeni sürümler yayınlanmaktadır. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için web uygulamaları için en son Python sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Devre Dışı 3.0.0
Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir Geçerli Kubernetes sürümünüzdeki bilinen güvenlik açıklarına karşı koruma sağlamak için Kubernetes hizmet kümenizi daha sonraki bir Kubernetes sürümüne yükseltin. Kubernetes sürüm 1.11.9+, 1.12.7+, 1.13.5+ ve 1.14.0+ sürümlerinde CVE-2019-9946 güvenlik açığına düzeltme eki eklendi Denetim, Devre Dışı 1.0.2

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinliklerle ilgili uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Uç nokta koruma çözümü sanal makine ölçek kümelerine yüklenmelidir Sanal makinelerinizin ölçek kümelerinde bir uç nokta koruma çözümünün varlığını ve durumunu denetleyarak bunları tehditlere ve güvenlik açıklarına karşı koruyun. AuditIfNotExists, Devre Dışı 3.0.0
Azure Güvenlik Merkezi'de eksik Endpoint Protection'ın izlenmesi Endpoint Protection aracısı yüklü olmayan sunucular öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.1.0
Windows Defender Exploit Guard makinelerinizde etkinleştirilmelidir Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, çok çeşitli saldırı vektörlerine karşı cihazları kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek ve kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesini sağlar (yalnızca Windows) için tasarlanmış dört bileşene sahiptir. AuditIfNotExists, Devre Dışı 1.1.1

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Uç nokta koruma çözümü sanal makine ölçek kümelerine yüklenmelidir Bunları tehditlerden ve güvenlik açıklarından korumak için sanal makinelerinizin ölçek kümelerinde bir uç nokta koruma çözümünün varlığını ve durumunu denetleyin. AuditIfNotExists, Devre Dışı 3.0.0
Azure Güvenlik Merkezi'de eksik Endpoint Protection'ın izlenmesi Endpoint Protection aracısı yüklü olmayan sunucular öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 3.1.0
Windows Defender Exploit Guard makinelerinizde etkinleştirilmelidir Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, çok çeşitli saldırı vektörlerine karşı cihazları kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek ve kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesini sağlar (yalnızca Windows) için tasarlanmış dört bileşene sahiptir. AuditIfNotExists, Devre Dışı 1.1.1

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
[Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Azure Defender uzantısı yüklü olmalıdır Azure Defender'ın Azure Arc uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arcbilgi edinin. AuditIfNotExists, Devre Dışı 3.0.0-önizleme
[Önizleme]: Linux sanal makinelerine ağ trafiği veri toplama aracısı yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Dependency aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
[Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Dependency aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
Aboneliğinizde Log Analytics aracısının otomatik sağlanması etkinleştirilmelidir Güvenlik açıklarını ve tehditleri izlemek için Azure Güvenlik Merkezi Azure sanal makinelerinizden veri toplar. Veriler, makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okuyan ve verileri analiz için Log Analytics çalışma alanınıza kopyalayan, eski adıyla Microsoft Monitoring Agent (MMA) olarak bilinen Log Analytics aracısı tarafından toplanır. Aracıyı desteklenen tüm Azure VM'lerine ve oluşturulan yeni vm'lere otomatik olarak dağıtmak için otomatik sağlamayı etkinleştirmenizi öneririz. AuditIfNotExists, Devre Dışı 1.0.1
Azure SQL Için Azure Defender Veritabanı sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
DNS için Azure Defender etkinleştirilmelidir DNS için Azure Defender, Azure kaynaklarınızdan gelen tüm DNS sorgularını sürekli izleyerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender, DNS katmanındaki şüpheli etkinlikler hakkında sizi uyarır. adresinde DNS https://aka.ms/defender-for-dns için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlik hakkında sizi uyarır. adresinden Resource Manager için Azure Defender'ın https://aka.ms/defender-for-resource-manager özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
KORUMASız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
Korumasız SQL Yönetilen Örnekleri için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Depolama için Azure Defender etkinleştirilmelidir Depolama için Azure Defender, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Konuk Yapılandırması uzantısı makinelerinize yüklenmelidir Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. adresinden daha fazla https://aka.ms/gcpolbilgi edinin. AuditIfNotExists, Devre Dışı 1.0.1
Log Analytics aracısı Azure Güvenlik Merkezi izleme için sanal makinenize yüklenmelidir Bu ilke, Log Analytics aracısı yüklü değilse Güvenlik Merkezi'nin güvenlik açıklarını ve tehditlerini izlemek için kullandığı Windows/Linux sanal makinelerini (VM) denetler AuditIfNotExists, Devre Dışı 1.0.0
Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makine ölçek kümelerinize yüklenmelidir Güvenlik Merkezi, güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM) veri toplar. AuditIfNotExists, Devre Dışı 1.0.0
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Ağ İzleyicisi etkinleştirilmelidir Ağ İzleyicisi, Azure'da, azure'a ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanızı sağlar. Sanal ağın bulunduğu her bölgede bir ağ izleyicisi kaynak grubunun oluşturulması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. AuditIfNotExists, Devre Dışı 3.0.0
Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanmış yönetilen kimliğe sahip olmadıklarında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol AuditIfNotExists, Devre Dışı 1.0.1

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetlerinin basitleştirilmiş izin yönetimini ve merkezi kimlik yönetimini sağlar AuditIfNotExists, Devre Dışı 1.0.0
Bilişsel Hizmetler hesaplarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır Yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, Bilişsel Hizmetler hesaplarının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirdiğini güvence altına alarak güvenliği artırır. Daha fazla bilgi için bkz. https://aka.ms/cs/auth. Denetim, Reddetme, Devre Dışı 1.0.0
Yönetilen kimlik API Uygulamanızda kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 2.0.0
yönetilen kimlik İşlev Uygulamanızda kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 2.0.0
Yönetilen kimlik Web Uygulamanızda kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 2.0.0
Aboneliğinizde yazma izinleri olan hesaplarda MFA etkinleştirilmelidir Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0
Aboneliğinizde sahip izinleri olan hesaplarda MFA etkinleştirilmelidir Hesap veya kaynak ihlalini önlemek için sahip izinlerine sahip olan tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0
Aboneliğinizde okuma izinlerine sahip hesaplarda MFA etkinleştirilmelidir Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0
Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır Service Fabric'te yalnızca Azure Active Directory aracılığıyla istemci kimlik doğrulaması kullanımını denetleme Denetim, Reddetme, Devre Dışı 1.1.0
Yönetim sertifikaları yerine aboneliklerinizi korumak için hizmet sorumluları kullanılmalıdır Yönetim sertifikaları, kimlik doğrulaması yapan herkesin ilişkili oldukları abonelikleri yönetmesine olanak sağlar. Abonelikleri daha güvenli bir şekilde yönetmek için, sertifika güvenliğinin aşılmasıyla ilgili etkiyi sınırlamak için Resource Manager ile hizmet sorumlularının kullanılması önerilir. AuditIfNotExists, Devre Dışı 1.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Sanal Makineler için Azure Backup etkinleştirilmelidir Azure Backup etkinleştirerek Azure Sanal Makineler korumasını sağlayın. Azure Backup, Azure için güvenli ve uygun maliyetli bir veri koruma çözümüdür. AuditIfNotExists, Devre Dışı 3.0.0
Coğrafi olarak yedekli yedekleme MariaDB için Azure Veritabanı için etkinleştirilmelidir MariaDB için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. Denetim, Devre Dışı 1.0.1
Coğrafi olarak yedekli yedekleme MySQL için Azure Veritabanı için etkinleştirilmelidir MySQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. Denetim, Devre Dışı 1.0.1
Coğrafi olarak yedekli yedekleme PostgreSQL için Azure Veritabanı için etkinleştirilmelidir PostgreSQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. Denetim, Devre Dışı 1.0.1
Anahtar kasalarında temizleme koruması etkinleştirilmelidir Bir anahtar kasasının kötü amaçlı silinmesi kalıcı veri kaybına yol açabilir. Kuruluşunuzdaki kötü amaçlı bir insider, anahtar kasalarını silebilir ve temizleyebilir. Temizleme koruması, geçici olarak silinen anahtar kasaları için zorunlu saklama süresini zorunlu kılarak sizi insider saldırılarına karşı korur. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse anahtar kasalarınızı temizleyemez. Denetim, Reddetme, Devre Dışı 2.0.0
Anahtar kasalarında geçici silme etkinleştirilmelidir Geçici silme etkinleştirilmeden bir anahtar kasası silindiğinde anahtar kasasında depolanan tüm gizli diziler, anahtarlar ve sertifikalar kalıcı olarak silinir. Anahtar kasasının yanlışlıkla silinmesi kalıcı veri kaybına neden olabilir. Geçici silme, yanlışlıkla silinen bir anahtar kasasını yapılandırılabilir bir saklama süresi için kurtarmanıza olanak tanır. Denetim, Reddetme, Devre Dışı 2.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Olağanüstü durum kurtarma yapılandırılmadan sanal makineleri denetleme Olağanüstü durum kurtarma yapılandırılmamış sanal makineleri denetleyin. Olağanüstü durum kurtarma hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/asr-doc. auditIfNotExists 1.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Coğrafi olarak yedekli yedekleme MariaDB için Azure Veritabanı için etkinleştirilmelidir MariaDB için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. Denetim, Devre Dışı 1.0.1
Coğrafi olarak yedekli yedekleme MySQL için Azure Veritabanı için etkinleştirilmelidir MySQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. Denetim, Devre Dışı 1.0.1
Coğrafi olarak yedekli yedekleme PostgreSQL için Azure Veritabanı için etkinleştirilmelidir PostgreSQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. Denetim, Devre Dışı 1.0.1
Depolama Hesapları için coğrafi olarak yedekli depolama etkinleştirilmelidir Yüksek oranda kullanılabilir uygulamalar oluşturmak için coğrafi yedekliliği kullanma Denetim, Devre Dışı 1.0.0
Azure SQL Veritabanları için uzun süreli coğrafi olarak yedekli yedekleme etkinleştirilmelidir Bu ilke, uzun süreli coğrafi olarak yedekli yedeklemenin etkinleştirilmediği tüm Azure SQL Veritabanlarını denetler. AuditIfNotExists, Devre Dışı 2.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetlerinin basitleştirilmiş izin yönetimini ve merkezi kimlik yönetimini sağlar AuditIfNotExists, Devre Dışı 1.0.0
Bilişsel Hizmetler hesaplarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır Yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, Bilişsel Hizmetler hesaplarının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirdiğini güvence altına alarak güvenliği artırır. Daha fazla bilgi için bkz. https://aka.ms/cs/auth. Denetim, Reddetme, Devre Dışı 1.0.0
Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır Service Fabric'te yalnızca Azure Active Directory aracılığıyla istemci kimlik doğrulaması kullanımını denetleme Denetim, Reddetme, Devre Dışı 1.1.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetlerinin basitleştirilmiş izin yönetimini ve merkezi kimlik yönetimini sağlar AuditIfNotExists, Devre Dışı 1.0.0
Özel RBAC kurallarının kullanımını denetleme Hataya yatkın olan özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleyin. Özel rollerin kullanılması özel durum olarak kabul edilir ve sıkı bir gözden geçirme ve tehdit modellemesi gerektirir Denetim, Devre Dışı 1.0.0
Bilişsel Hizmetler hesaplarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır Yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, Bilişsel Hizmetler hesaplarının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirdiğini güvence altına alarak güvenliği artırır. Daha fazla bilgi için bkz. https://aka.ms/cs/auth. Denetim, Reddetme, Devre Dışı 1.0.0
Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır Service Fabric'te yalnızca Azure Active Directory aracılığıyla istemci kimlik doğrulaması kullanımını denetleme Denetim, Reddetme, Devre Dışı 1.1.0
Yönetim sertifikaları yerine aboneliklerinizi korumak için hizmet sorumluları kullanılmalıdır Yönetim sertifikaları, kimlik doğrulaması yapan herkesin ilişkili oldukları abonelikleri yönetmesine olanak sağlar. Abonelikleri daha güvenli bir şekilde yönetmek için, sertifika güvenliğinin aşılmasıyla ilgili etkiyi sınırlamak için Resource Manager ile hizmet sorumlularının kullanılması önerilir. AuditIfNotExists, Devre Dışı 1.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
[Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Azure Defender uzantısı yüklü olmalıdır Azure Defender'ın Azure Arc uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arcbilgi edinin. AuditIfNotExists, Devre Dışı 3.0.0-önizleme
Azure SQL Için Azure Defender Veritabanı sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
DNS için Azure Defender etkinleştirilmelidir DNS için Azure Defender, Azure kaynaklarınızdan gelen tüm DNS sorgularını sürekli izleyerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender, DNS katmanındaki şüpheli etkinlikler hakkında sizi uyarır. adresinde DNS https://aka.ms/defender-for-dns için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlik hakkında sizi uyarır. adresinden Resource Manager için Azure Defender'ın https://aka.ms/defender-for-resource-manager özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Korumasız SQL Yönetilen Örnekleri için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Depolama için Azure Defender etkinleştirilmelidir Depolama için Azure Defender, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimi ile korunmalıdır Olası tam zamanında ağ (JIT) erişimi öneri olarak Azure Güvenlik Merkezi tarafından izlenecek AuditIfNotExists, Devre Dışı 3.0.0
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan Azure'da barındırılan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 1.1.0
Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan, Azure'da barındırılan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 1.1.0
SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetlerinin basitleştirilmiş izin yönetimini ve merkezi kimlik yönetimini sağlar AuditIfNotExists, Devre Dışı 1.0.0
Parolasız hesapları olan Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için bkz. https://aka.ms/gcpol. Parolasız hesapları olan Linux makineleriyle uyumlu olmayan makineler AuditIfNotExists, Devre Dışı 1.2.0
Bilişsel Hizmetler hesaplarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır Yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, Bilişsel Hizmetler hesaplarının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirdiğini güvence altına alarak güvenliği artırır. Daha fazla bilgi için bkz. https://aka.ms/cs/auth. Denetim, Reddetme, Devre Dışı 1.0.0
Linux VM'lerinde Konuk Yapılandırması atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtın Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. deployIfNotExists 1.2.0
Yönetilen kimlik API Uygulamanızda kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 2.0.0
yönetilen kimlik İşlev Uygulamanızda kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 2.0.0
Yönetilen kimlik Web Uygulamanızda kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 2.0.0
Aboneliğinizde yazma izinleri olan hesaplarda MFA etkinleştirilmelidir Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0
Aboneliğinizde sahip izinleri olan hesaplarda MFA etkinleştirilmelidir Hesap veya kaynak ihlalini önlemek için sahip izinlerine sahip olan tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0
Aboneliğinizde okuma izinlerine sahip hesaplarda MFA etkinleştirilmelidir Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0
Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır Service Fabric'te yalnızca Azure Active Directory aracılığıyla istemci kimlik doğrulaması kullanımını denetleme Denetim, Reddetme, Devre Dışı 1.1.0
Depolama hesapları yeni Azure Resource Manager kaynaklarına geçirilmelidir Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik için etiketler ve kaynak grupları desteği gibi güvenlik iyileştirmeleri sağlamak üzere depolama hesaplarınız için yeni Azure Resource Manager kullanın. yönetim Denetim, Reddetme, Devre Dışı 1.0.0
Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik için etiketler ve kaynak grupları desteği gibi güvenlik iyileştirmeleri sağlamak üzere sanal makineleriniz için yeni Azure Resource Manager kullanın yönetim Denetim, Reddetme, Devre Dışı 1.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
[Önizleme]: Azure Key Vault genel ağ erişimini devre dışı bırakmalıdır Anahtar kasanıza genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için bkz. https://aka.ms/akvprivatelink. Denetim, Reddetme, Devre Dışı 1.1.0-önizleme
Sanal makinenizle ilişkili ağ güvenlik gruplarında tüm ağ bağlantı noktaları kısıtlanmalıdır Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak tanıyabilir. AuditIfNotExists, Devre Dışı 3.0.0
API Management hizmetleri sanal ağ kullanmalıdır Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içindeki arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağdan erişilebilir olacak şekilde yapılandırılabilir. Denetim, Devre Dışı 1.0.1
Uygulama Yapılandırması özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da koruma altına alınmış olursunuz. Daha fazla bilgi için bkz. https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Devre Dışı 1.0.2
Kubernetes Services üzerinde yetkili IP aralıkları tanımlanmalıdır API erişimini yalnızca belirli aralıklardaki IP adreslerine vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan gelen uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. Denetim, Devre Dışı 2.0.0
Redis için Azure Cache özel bağlantı kullanmalıdır Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmetleri genel ağ erişimini devre dışı bırakmalıdır Genel ağ erişimini devre dışı bırakmak, Azure Bilişsel Arama hizmetinizin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak, Arama hizmeti maruz kalmanızı sınırlayabilir. Daha fazla bilgi için bkz. https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Devre Dışı 1.0.0
Azure Cosmos DB hesaplarının güvenlik duvarı kuralları olmalıdır Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. Denetim, Reddetme, Devre Dışı 2.0.0
Azure Data Factory özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Devre Dışı 1.0.0
Azure Event Grid etki alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için bkz. https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Event Grid konu başlıkları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için bkz. https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullanmalıdır Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel bir uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. AuditIfNotExists, Devre Dışı 1.0.0
Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Denetim, Reddetme, Devre Dışı 1.1.0
Azure Service Bus ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
Azure SignalR Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınızla eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://aka.ms/asrs/privatelink. Denetim, Reddetme, Devre Dışı 1.0.1
Azure Synapse çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Denetim, Devre Dışı 1.0.1
Bilişsel Hizmetler hesapları genel ağ erişimini devre dışı bırakmalıdır Genel ağ erişimini devre dışı bırakmak, Bilişsel Hizmetler hesabının genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak Bilişsel Hizmetler hesabının açığa çıkarılmalarını sınırlayabilir. Daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?linkid=2129800. Denetim, Reddetme, Devre Dışı 2.0.0
Bilişsel Hizmetler hesapları ağ erişimini kısıtlamalıdır Bilişsel Hizmetler hesaplarına ağ erişimi kısıtlanmalıdır. Bilişsel Hizmetler hesabına yalnızca izin verilen ağlardan gelen uygulamaların erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için belirli Azure sanal ağlarından gelen trafiğe veya genel İnternet IP adresi aralıklarına erişim verilebilir. Denetim, Reddetme, Devre Dışı 2.0.0
Bilişsel Hizmetler özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?linkid=2129800. Denetim, Devre Dışı 2.0.0
Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde IP/güvenlik duvarı kuralı veya yapılandırılmış bir sanal ağ yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada ve https://aka.ms/acr/portal/public-network burada bulabilirsiniz https://aka.ms/acr/vnet. Denetim, Reddetme, Devre Dışı 1.1.0
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da koruma altına alınmış olursunuz. Daha fazla bilgi için bkz. https://aka.ms/acr/private-link. Denetim, Devre Dışı 1.0.1
CORS, her kaynağın Web Uygulamalarınıza erişmesine izin vermemelidir Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının web uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının web uygulamanızla etkileşim kurmasına izin verin. AuditIfNotExists, Devre Dışı 1.0.0
CosmosDB hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınızla eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Denetim, Devre Dışı 1.0.0
Disk erişim kaynakları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Devre Dışı 1.0.0
Event Hub ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik grupları (NSG) ile erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'lerle trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Devre Dışı 3.0.0
IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://aka.ms/iotdpsvnet. Denetim, Devre Dışı 1.0.0
Sanal makinenizde IP İletme devre dışı bırakılmalıdır Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle ağ güvenlik ekibi tarafından gözden geçirilmelidir. AuditIfNotExists, Devre Dışı 3.0.0
Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimi ile korunmalıdır Olası tam zamanında ağ (JIT) erişimi öneri olarak Azure Güvenlik Merkezi tarafından izlenecek AuditIfNotExists, Devre Dışı 3.0.0
Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz açıyor. Bu saldırılar makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. AuditIfNotExists, Devre Dışı 3.0.0
İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlere karşı koruyun. NSG'lerle trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Devre Dışı 3.0.0
Azure SQL Veritabanında özel uç nokta bağlantıları etkinleştirilmelidir Özel uç nokta bağlantıları, Azure SQL Veritabanına özel bağlantıyı etkinleştirerek güvenli iletişimi zorlar. Denetim, Devre Dışı 1.1.0
Azure SQL Veritabanında genel ağ erişimi devre dışı bırakılmalıdır Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanınıza yalnızca özel bir uç noktadan erişilmesini sağlayarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. Denetim, Reddetme, Devre Dışı 1.1.0
Depolama hesapları ağ erişimini kısıtlamalıdır Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Depolama hesabına yalnızca izin verilen ağlardan gelen uygulamaların erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden bağlantılara izin vermek için belirli Azure sanal ağlarından gelen trafiğe veya genel İnternet IP adresi aralıklarına erişim verilebilir Denetim, Reddetme, Devre Dışı 1.1.1
Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlere karşı koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. Denetim, Reddetme, Devre Dışı 1.0.1
Depolama hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Devre Dışı 2.0.0
Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza giden ağ trafiğine izin veren veya reddeden Access Control Listesi (ACL) kurallarının listesini içerir. AuditIfNotExists, Devre Dışı 3.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Aboneliğinize birden fazla sahip atanmış olmalıdır Yönetici erişimi yedekliliğine sahip olmak için birden fazla abonelik sahibi atamanız önerilir. AuditIfNotExists, Devre Dışı 3.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Aboneliğiniz için en fazla 3 sahip belirlenmelidir Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için en fazla 3 abonelik sahibi ataması önerilir. AuditIfNotExists, Devre Dışı 3.0.0
Özel RBAC kurallarının kullanımını denetleme Hataya yatkın olan özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleyin. Özel rollerin kullanılması özel durum olarak kabul edilir ve sıkı bir gözden geçirme ve tehdit modellemesi gerektirir Denetim, Devre Dışı 1.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Aboneliğiniz için en fazla 3 sahip belirlenmelidir Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için en fazla 3 abonelik sahibi ataması önerilir. AuditIfNotExists, Devre Dışı 3.0.0
Özel RBAC kurallarının kullanımını denetleme Hataya yatkın olan özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleyin. Özel rollerin kullanılması özel durum olarak kabul edilir ve sıkı bir gözden geçirme ve tehdit modellemesi gerektirir Denetim, Devre Dışı 1.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
KORUMASız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
Korumasız SQL Yönetilen Örnekleri için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan Azure'da barındırılan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 1.1.0
Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan, Azure'da barındırılan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 1.1.0
Uygulama Yapılandırması özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da koruma altına alınmış olursunuz. Daha fazla bilgi için bkz. https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Devre Dışı 1.0.2
Parolasız hesaplardan uzak bağlantılara izin veren Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için bkz. https://aka.ms/gcpol. Parolasız hesaplardan uzak bağlantılara izin veren Linux makineleri uyumlu değilse makineler uyumlu olmaz AuditIfNotExists, Devre Dışı 1.2.0
Redis için Azure Cache bir sanal ağ içinde bulunmalıdır Azure Sanal Ağ dağıtımı, Redis için Azure Cache yanı sıra alt ağlar, erişim denetimi ilkeleri ve erişimi daha fazla kısıtlamak için diğer özellikler için gelişmiş güvenlik ve yalıtım sağlar. bir Redis için Azure Cache örneği bir sanal ağ ile yapılandırıldığında, genel olarak ele alınamaz ve yalnızca sanal ağ içindeki sanal makinelerden ve uygulamalardan erişilebilir. Denetim, Reddetme, Devre Dışı 1.0.3
Redis için Azure Cache özel bağlantı kullanmalıdır Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Devre Dışı 1.0.0
Azure Data Factory özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Devre Dışı 1.0.0
Azure Event Grid etki alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için bkz. https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Event Grid konu başlıkları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için bkz. https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullanmalıdır Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel bir uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. AuditIfNotExists, Devre Dışı 1.0.0
Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Denetim, Reddetme, Devre Dışı 1.1.0
Azure Service Bus ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
Azure SignalR Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınızla eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://aka.ms/asrs/privatelink. Denetim, Reddetme, Devre Dışı 1.0.1
Azure Synapse çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Denetim, Devre Dışı 1.0.1
Bilişsel Hizmetler özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?linkid=2129800. Denetim, Devre Dışı 2.0.0
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da koruma altına alınmış olursunuz. Daha fazla bilgi için bkz. https://aka.ms/acr/private-link. Denetim, Devre Dışı 1.0.1
CosmosDB hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınızla eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Denetim, Devre Dışı 1.0.0
Linux VM'lerinde Konuk Yapılandırması atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtın Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. deployIfNotExists 1.2.0
Windows VM'lerinde Konuk Yapılandırması atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtın Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. deployIfNotExists 1.2.0
Disk erişimi kaynakları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc AuditIfNotExists, Devre Dışı 1.0.0
Event Hub ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet Denetim, Devre Dışı 1.0.0
Azure SQL Veritabanındaki özel uç nokta bağlantıları etkinleştirilmelidir Özel uç nokta bağlantıları, Azure SQL Veritabanına özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu kılar. Denetim, Devre Dışı 1.1.0
API Apps için uzaktan hata ayıklama kapatılmalıdır Uzaktan hata ayıklama, API uygulamalarında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 1.0.0
İşlev Uygulamaları için uzaktan hata ayıklama kapatılmalıdır Uzaktan hata ayıklama, işlev uygulamalarında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 1.0.0
Web Uygulamaları için uzaktan hata ayıklama kapatılmalıdır Uzaktan hata ayıklama, web uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 1.0.0
Depolama hesapları ağ erişimini kısıtlamalıdır Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Depolama hesabına yalnızca izin verilen ağlardan uygulamaların erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından gelen trafiğe veya genel İnternet IP adresi aralıklarına erişim verilebilir Denetim, Reddetme, Devre Dışı 1.1.1
Depolama hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için adresine bakın: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Devre Dışı 2.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimliği olmayan Azure'da barındırılan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 1.1.0
Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliği olmayan, Azure'da barındırılan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. değiştir 1.1.0
Uygulama Yapılandırması özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel bağlantı platformu, tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için bkz. https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Devre Dışı 1.0.2
Parolasız hesaplardan uzak bağlantılara izin veren Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtıldığını gerektirir. Ayrıntılar için bkz. https://aka.ms/gcpol. Parolasız hesaplardan uzak bağlantılara izin veren Linux makineleri uyumlu değilse makineler uyumlu olmaz AuditIfNotExists, Devre Dışı 1.2.0
Redis için Azure Cache bir sanal ağ içinde bulunmalıdır Azure Sanal Ağ dağıtımı, Redis için Azure Cache için gelişmiş güvenlik ve yalıtımın yanı sıra alt ağlar, erişim denetimi ilkeleri ve erişimi daha fazla kısıtlamak için diğer özellikleri sağlar. bir Redis için Azure Cache örneği bir sanal ağ ile yapılandırıldığında, genel olarak adreslenebilir değildir ve yalnızca sanal ağ içindeki sanal makinelerden ve uygulamalardan erişilebilir. Denetim, Reddetme, Devre Dışı 1.0.3
Redis için Azure Cache özel bağlantı kullanmalıdır Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Reddetme, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Denetim, Devre Dışı 1.0.0
Azure Data Factory özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Devre Dışı 1.0.0
Azure Event Grid etki alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için bkz. https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Event Grid konu başlıkları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için bkz. https://aka.ms/privateendpoints. Denetim, Devre Dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullanmalıdır Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel bir uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. AuditIfNotExists, Devre Dışı 1.0.0
Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Denetim, Reddetme, Devre Dışı 1.1.0
Azure Service Bus ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
Azure SignalR Hizmeti özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınızla eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://aka.ms/asrs/privatelink. Denetim, Reddetme, Devre Dışı 1.0.1
Azure Synapse çalışma alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Denetim, Devre Dışı 1.0.1
Bilişsel Hizmetler özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?linkid=2129800. Denetim, Devre Dışı 2.0.0
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da koruma altına alınmış olursunuz. Daha fazla bilgi için bkz. https://aka.ms/acr/private-link. Denetim, Devre Dışı 1.0.1
CosmosDB hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınızla eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Denetim, Devre Dışı 1.0.0
Linux VM'lerinde Konuk Yapılandırması atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtın Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. deployIfNotExists 1.2.0
Windows VM'lerinde Konuk Yapılandırması atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtın Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. deployIfNotExists 1.2.0
Disk erişimi kaynakları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc AuditIfNotExists, Devre Dışı 1.0.0
Event Hub ad alanları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için bkz. https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Devre Dışı 1.0.0
IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet Denetim, Devre Dışı 1.0.0
Azure SQL Veritabanındaki özel uç nokta bağlantıları etkinleştirilmelidir Özel uç nokta bağlantıları, Azure SQL Veritabanına özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu kılar. Denetim, Devre Dışı 1.1.0
API Apps için uzaktan hata ayıklama kapatılmalıdır Uzaktan hata ayıklama, API uygulamalarında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 1.0.0
İşlev Uygulamaları için uzaktan hata ayıklama kapatılmalıdır Uzaktan hata ayıklama, işlev uygulamalarında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 1.0.0
Web Uygulamaları için uzaktan hata ayıklama kapatılmalıdır Uzaktan hata ayıklama, web uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 1.0.0
Depolama hesapları ağ erişimini kısıtlamalıdır Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Depolama hesabına yalnızca izin verilen ağlardan uygulamaların erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından gelen trafiğe veya genel İnternet IP adresi aralıklarına erişim verilebilir Denetim, Reddetme, Devre Dışı 1.1.1
Depolama hesapları özel bağlantı kullanmalıdır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlamanızı sağlar. Özel Bağlantı platformu, azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için adresine bakın: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Devre Dışı 2.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Yüksek önem derecesi uyarıları için Email bildirimi etkinleştirilmelidir Aboneliklerinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. AuditIfNotExists, Devre Dışı 1.0.1
Yüksek önem derecesi uyarıları için abonelik sahibine Email bildirimi etkinleştirilmelidir Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. AuditIfNotExists, Devre Dışı 2.0.0
Güvenlik sorunları için aboneliklerin bir iletişim e-posta adresi olmalıdır Aboneliklerinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. AuditIfNotExists, Devre Dışı 1.0.1

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
[Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Azure Defender uzantısı yüklü olmalıdır Azure Defender'ın Azure Arc uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arcbilgi edinin. AuditIfNotExists, Devre Dışı 3.0.0-önizleme
[Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
[Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
DNS için Azure Defender etkinleştirilmelidir DNS için Azure Defender, Azure kaynaklarınızdan gelen tüm DNS sorgularını sürekli izleyerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender, DNS katmanındaki şüpheli etkinlikler hakkında sizi uyarır. adresinde DNS https://aka.ms/defender-for-dns için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlik hakkında sizi uyarır. adresinden Resource Manager için Azure Defender'ın https://aka.ms/defender-for-resource-manager özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
KORUMASız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
Korumasız SQL Yönetilen Örnekleri için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Depolama için Azure Defender etkinleştirilmelidir Depolama için Azure Defender, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Ağ İzleyicisi etkinleştirilmelidir Ağ İzleyicisi, Azure'da, azure'a ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanızı sağlar. Sanal ağın bulunduğu her bölgede bir ağ izleyicisi kaynak grubunun oluşturulması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. AuditIfNotExists, Devre Dışı 3.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
[Kullanım dışı]: App Services'teki tanılama günlükleri etkinleştirilmelidir Uygulamada tanılama günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye girerse araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır AuditIfNotExists, Devre Dışı 2.0.0 kullanım dışı
[Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Azure Defender uzantısı yüklü olmalıdır Azure Defender'ın Azure Arc uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arcbilgi edinin. AuditIfNotExists, Devre Dışı 3.0.0-önizleme
[Önizleme]: Linux sanal makinelerine ağ trafiği veri toplama aracısı yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Dependency aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
[Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Dependency aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
SQL Server'da denetim etkinleştirilmelidir sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için SQL Server denetimi etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 2.0.0
Aboneliğinizde Log Analytics aracısının otomatik sağlanması etkinleştirilmelidir Güvenlik açıklarını ve tehditleri izlemek için Azure Güvenlik Merkezi Azure sanal makinelerinizden veri toplar. Veriler, makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okuyan ve verileri analiz için Log Analytics çalışma alanınıza kopyalayan, eski adıyla Microsoft Monitoring Agent (MMA) olarak bilinen Log Analytics aracısı tarafından toplanır. Aracıyı desteklenen tüm Azure VM'lerine ve oluşturulan yeni vm'lere otomatik olarak dağıtmak için otomatik sağlamayı etkinleştirmenizi öneririz. AuditIfNotExists, Devre Dışı 1.0.1
Azure SQL Için Azure Defender Veritabanı sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
DNS için Azure Defender etkinleştirilmelidir DNS için Azure Defender, Azure kaynaklarınızdan gelen tüm DNS sorgularını sürekli izleyerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender, DNS katmanındaki şüpheli etkinlikler hakkında sizi uyarır. adresinde DNS https://aka.ms/defender-for-dns için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlik hakkında sizi uyarır. adresinden Resource Manager için Azure Defender'ın https://aka.ms/defender-for-resource-manager özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
KORUMASız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
Korumasız SQL Yönetilen Örnekleri için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Depolama için Azure Defender etkinleştirilmelidir Depolama için Azure Defender, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Konuk Yapılandırması uzantısı makinelerinize yüklenmelidir Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. adresinden daha fazla https://aka.ms/gcpolbilgi edinin. AuditIfNotExists, Devre Dışı 1.0.1
Log Analytics aracısı Azure Güvenlik Merkezi izleme için sanal makinenize yüklenmelidir Bu ilke, Log Analytics aracısı yüklü değilse Güvenlik Merkezi'nin güvenlik açıklarını ve tehditlerini izlemek için kullandığı Windows/Linux sanal makinelerini (VM) denetler AuditIfNotExists, Devre Dışı 1.0.0
Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makine ölçek kümelerinize yüklenmelidir Güvenlik Merkezi, güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM) veri toplar. AuditIfNotExists, Devre Dışı 1.0.0
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Ağ İzleyicisi etkinleştirilmelidir Ağ İzleyicisi, Azure'da, azure'a ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanızı sağlar. Sanal ağın bulunduğu her bölgede bir ağ izleyicisi kaynak grubunun oluşturulması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. AuditIfNotExists, Devre Dışı 3.0.0
Azure Data Lake Store'daki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Azure Stream Analytics'teki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Batch hesaplarındaki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Data Lake Analytics kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Olay Hub'ında kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Key Vault kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır AuditIfNotExists, Devre Dışı 5.0.0
Logic Apps'teki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Arama hizmetlerindeki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Service Bus'taki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Sanal Makine Ölçek Kümeleri kaynak günlükleri etkinleştirilmelidir Bir olay veya güvenliğin aşılması durumunda araştırma gerektiğinde etkinlik kaydının yeniden oluşturulabilmesi için Günlükler'i etkinleştirmeniz önerilir. AuditIfNotExists, Devre Dışı 2.1.0
Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanmış yönetilen kimliğe sahip olmadıklarında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol AuditIfNotExists, Devre Dışı 1.0.1

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Depolama hesabı hedefine yönelik denetime sahip SQL sunucuları 90 gün veya daha uzun saklama ile yapılandırılmalıdır Olay araştırması amacıyla, SQL Server'nizin denetimi için veri saklamayı depolama hesabı hedefine en az 90 güne ayarlamanızı öneririz. İşletim yaptığınız bölgeler için gerekli saklama kurallarını karşıladığınızdan emin olun. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. AuditIfNotExists, Devre Dışı 3.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
[Kullanım dışı]: App Services'teki tanılama günlükleri etkinleştirilmelidir Uygulamada tanılama günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye girerse araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır AuditIfNotExists, Devre Dışı 2.0.0 kullanım dışı
[Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Azure Defender uzantısı yüklü olmalıdır Azure Defender'ın Azure Arc uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arcbilgi edinin. AuditIfNotExists, Devre Dışı 3.0.0-önizleme
[Önizleme]: Linux sanal makinelerine ağ trafiği veri toplama aracısı yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Dependency aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
[Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Dependency aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
SQL Server'da denetim etkinleştirilmelidir sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için SQL Server denetimi etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 2.0.0
Aboneliğinizde Log Analytics aracısının otomatik sağlanması etkinleştirilmelidir Güvenlik açıklarını ve tehditleri izlemek için Azure Güvenlik Merkezi Azure sanal makinelerinizden veri toplar. Veriler, makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okuyan ve verileri analiz için Log Analytics çalışma alanınıza kopyalayan, eski adıyla Microsoft Monitoring Agent (MMA) olarak bilinen Log Analytics aracısı tarafından toplanır. Aracıyı desteklenen tüm Azure VM'lerine ve oluşturulan yeni vm'lere otomatik olarak dağıtmak için otomatik sağlamayı etkinleştirmenizi öneririz. AuditIfNotExists, Devre Dışı 1.0.1
Azure SQL Için Azure Defender Veritabanı sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
DNS için Azure Defender etkinleştirilmelidir DNS için Azure Defender, Azure kaynaklarınızdan gelen tüm DNS sorgularını sürekli izleyerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender, DNS katmanındaki şüpheli etkinlikler hakkında sizi uyarır. adresinde DNS https://aka.ms/defender-for-dns için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlik hakkında sizi uyarır. adresinden Resource Manager için Azure Defender'ın https://aka.ms/defender-for-resource-manager özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
KORUMASız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
Korumasız SQL Yönetilen Örnekleri için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Depolama için Azure Defender etkinleştirilmelidir Depolama için Azure Defender, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Konuk Yapılandırması uzantısı makinelerinize yüklenmelidir Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. adresinden daha fazla https://aka.ms/gcpolbilgi edinin. AuditIfNotExists, Devre Dışı 1.0.1
Log Analytics aracısı Azure Güvenlik Merkezi izleme için sanal makinenize yüklenmelidir Bu ilke, Log Analytics aracısı yüklü değilse Güvenlik Merkezi'nin güvenlik açıklarını ve tehditlerini izlemek için kullandığı Windows/Linux sanal makinelerini (VM) denetler AuditIfNotExists, Devre Dışı 1.0.0
Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makine ölçek kümelerinize yüklenmelidir Güvenlik Merkezi, güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM) veri toplar. AuditIfNotExists, Devre Dışı 1.0.0
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Ağ İzleyicisi etkinleştirilmelidir Ağ İzleyicisi, Azure'da, azure'a ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanızı sağlar. Sanal ağın bulunduğu her bölgede bir ağ izleyicisi kaynak grubunun oluşturulması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. AuditIfNotExists, Devre Dışı 3.0.0
Azure Data Lake Store'daki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Azure Stream Analytics'teki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Batch hesaplarındaki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Data Lake Analytics kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Olay Hub'ında kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Key Vault kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır AuditIfNotExists, Devre Dışı 5.0.0
Logic Apps'teki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Arama hizmetlerindeki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Service Bus'taki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Sanal Makine Ölçek Kümeleri kaynak günlükleri etkinleştirilmelidir Bir olay veya güvenliğin aşılması durumunda araştırma gerektiğinde etkinlik kaydının yeniden oluşturulabilmesi için Günlükler'i etkinleştirmeniz önerilir. AuditIfNotExists, Devre Dışı 2.1.0
Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanmış yönetilen kimliğe sahip olmadıklarında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol AuditIfNotExists, Devre Dışı 1.0.1

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
[Kullanım dışı]: App Services'teki tanılama günlükleri etkinleştirilmelidir Uygulamada tanılama günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye girerse araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır AuditIfNotExists, Devre Dışı 2.0.0 kullanım dışı
[Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Azure Defender uzantısı yüklü olmalıdır Azure Defender'ın Azure Arc uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arcbilgi edinin. AuditIfNotExists, Devre Dışı 3.0.0-önizleme
[Önizleme]: Linux sanal makinelerine ağ trafiği veri toplama aracısı yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Dependency aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
[Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Dependency aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
SQL Server'da denetim etkinleştirilmelidir sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için SQL Server denetimi etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 2.0.0
Aboneliğinizde Log Analytics aracısının otomatik sağlanması etkinleştirilmelidir Güvenlik açıklarını ve tehditleri izlemek için Azure Güvenlik Merkezi Azure sanal makinelerinizden veri toplar. Veriler, makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okuyan ve verileri analiz için Log Analytics çalışma alanınıza kopyalayan, eski adıyla Microsoft Monitoring Agent (MMA) olarak bilinen Log Analytics aracısı tarafından toplanır. Aracıyı desteklenen tüm Azure VM'lerine ve oluşturulan yeni vm'lere otomatik olarak dağıtmak için otomatik sağlamayı etkinleştirmenizi öneririz. AuditIfNotExists, Devre Dışı 1.0.1
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
DNS için Azure Defender etkinleştirilmelidir DNS için Azure Defender, Azure kaynaklarınızdaki tüm DNS sorgularını sürekli izleyerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender, DNS katmanındaki şüpheli etkinlikler hakkında sizi uyarır. adresinde DNS https://aka.ms/defender-for-dns için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. adresinden Resource Manager için Azure Defender'ın https://aka.ms/defender-for-resource-manager özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinliklerle ilgili uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
KORUMASız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
Korumasız SQL Yönetilen Örnekleri için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Depolama için Azure Defender etkinleştirilmelidir Depolama için Azure Defender, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanmasını sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Konuk Yapılandırması uzantısı makinelerinize yüklenmelidir Makinenizin konuk içi ayarlarının güvenli yapılandırmalarından emin olmak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. daha fazla bilgi için bkz https://aka.ms/gcpol. . AuditIfNotExists, Devre Dışı 1.0.1
Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makinenize yüklenmelidir Bu ilke, Güvenlik Merkezi'nin güvenlik açıklarını ve tehditlerini izlemek için kullandığı Log Analytics aracısı yüklü değilse tüm Windows/Linux sanal makinelerini (VM) denetler AuditIfNotExists, Devre Dışı 1.0.0
Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makine ölçek kümelerinize yüklenmelidir Güvenlik Merkezi, güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM) veri toplar. AuditIfNotExists, Devre Dışı 1.0.0
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Ağ İzleyicisi etkinleştirilmelidir Ağ İzleyicisi, Azure'da ve Azure'da ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubu olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. AuditIfNotExists, Devre Dışı 3.0.0
Azure Data Lake Store'daki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Azure Stream Analytics'teki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Batch hesaplarındaki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Data Lake Analytics kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Olay Hub'ında kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Key Vault kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır AuditIfNotExists, Devre Dışı 5.0.0
Logic Apps'teki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Arama hizmetlerindeki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Service Bus'taki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Sanal Makine Ölçek Kümeleri kaynak günlükleri etkinleştirilmelidir Bir olay veya güvenliğin aşılması durumunda araştırma gerektiğinde etkinlik kaydının yeniden oluşturulabilmesi için Günlükler'i etkinleştirmeniz önerilir. AuditIfNotExists, Devre Dışı 2.1.0
Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanmış yönetilen kimliğe sahip olmadıklarında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol AuditIfNotExists, Devre Dışı 1.0.1

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisinin kümelerinize yüklenmesi ve etkinleştirilmesi gerekir Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi, Açık İlke Aracısı (OPA) için bir erişim denetleyicisi web kancası olan Gatekeeper v3'i, kümelerinizde merkezi ve tutarlı bir şekilde büyük ölçekli zorlamalar ve korumalar uygulamak için genişletir. Denetim, Devre Dışı 1.0.2
CORS, her kaynağın API Uygulamanıza erişmesine izin vermemelidir Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının API uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının API uygulamanızla etkileşim kurmasına izin verin. AuditIfNotExists, Devre Dışı 1.0.0
CORS, her kaynağın İşlev Uygulamalarınıza erişmesine izin vermemelidir Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının İşlev uygulamanıza erişmesine izin vermemelidir. yalnızca gerekli etki alanlarının İşlev uygulamanızla etkileşim kurmasına izin verin. AuditIfNotExists, Devre Dışı 1.0.0
CORS, her kaynağın Web Uygulamalarınıza erişmesine izin vermemelidir Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının web uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının web uygulamanızla etkileşim kurmasına izin verin. AuditIfNotExists, Devre Dışı 1.0.0
API uygulamasında 'İstemci Sertifikaları (Gelen istemci sertifikaları)' seçeneğinin 'Açık' olarak ayarlandığından emin olun İstemci sertifikaları, uygulamanın gelen istekler için sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikaya sahip istemciler uygulamaya ulaşabilir. Denetim, Devre Dışı 1.0.0
WEB uygulamasında 'İstemci Sertifikaları (Gelen istemci sertifikaları)' seçeneğinin 'Açık' olarak ayarlandığından emin olun İstemci sertifikaları, uygulamanın gelen istekler için sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikaya sahip istemciler uygulamaya ulaşabilir. Denetim, Devre Dışı 1.0.0
İşlev uygulamalarında 'İstemci Sertifikaları (Gelen istemci sertifikaları)' etkinleştirilmelidir İstemci sertifikaları, uygulamanın gelen istekler için sertifika istemesine olanak sağlar. Yalnızca geçerli sertifikaları olan istemciler uygulamaya ulaşabilir. Denetim, Devre Dışı 1.0.1
Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır Kubernetes kümesinde kaynak tükenme saldırılarını önlemek için kapsayıcı CPU ve bellek kaynak sınırlarını zorunlu kılma. Bu ilke Kubernetes Service (AKS) ve AKS Altyapısı ile Azure Arc özellikli Kubernetes için önizleme için genel kullanıma sunulmuştur. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. devre dışı 7.0.1
Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır Pod kapsayıcılarının bir Kubernetes kümesinde konak işlem kimliği ad alanını ve konak IPC ad alanını paylaşmasını engelleyin. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.2 ve CIS 5.2.3'ün bir parçasıdır. Bu ilke Kubernetes Service (AKS) ve AKS Altyapısı ile Azure Arc özellikli Kubernetes için önizleme için genel kullanıma sunulmuştur. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. devre dışı 3.0.2
Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır Kapsayıcılar yalnızca Kubernetes kümesinde izin verilen AppArmor profillerini kullanmalıdır. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik Pod Güvenlik İlkeleri'nin bir parçasıdır. Bu ilke Kubernetes Service (AKS) ve AKS Altyapısı ile Azure Arc özellikli Kubernetes için önizleme için genel kullanıma sunulmuştur. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. devre dışı 4.0.3
Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır Kubernetes kümesindeki kapsayıcıların saldırı yüzeyini azaltmak için özellikleri kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.8 ve CIS 5.2.9'un bir parçasıdır. Bu ilke Kubernetes Service (AKS) ve AKS Altyapısı ile Azure Arc özellikli Kubernetes için önizleme için genel kullanıma sunulmuştur. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. devre dışı 4.0.2
Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır Kubernetes kümesinin bilinmeyen güvenlik açıklarına, güvenlik sorunlarına ve kötü amaçlı görüntülere maruz kalma riskini azaltmak için güvenilen kayıt defterlerinden görüntüleri kullanın. Bu ilke Kubernetes Service (AKS) ve AKS Altyapısı ile Azure Arc özellikli Kubernetes için önizleme için genel kullanıma sunulmuştur. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. devre dışı 7.0.4
Kubernetes küme kapsayıcıları salt okunur kök dosya sistemiyle çalıştırılmalıdır Kubernetes kümesindeki PATH'e kötü amaçlı ikili dosyalar eklenerek çalışma zamanındaki değişikliklerden korunmak için kapsayıcıları salt okunur kök dosya sistemiyle çalıştırın. Bu ilke Kubernetes Service (AKS) ve AKS Altyapısı ile Azure Arc özellikli Kubernetes için önizleme için genel kullanıma sunulmuştur. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. devre dışı 4.0.2
Kubernetes kümesi pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır Pod HostPath birimi bağlamalarını Kubernetes Kümesinde izin verilen konak yollarına sınırlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik Pod Güvenlik İlkeleri'nin bir parçasıdır. Bu ilke Kubernetes Service (AKS) ve AKS Altyapısı ile Azure Arc özellikli Kubernetes için önizleme için genel kullanıma sunulmuştur. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. devre dışı 4.0.2
Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır Podların ve kapsayıcıların Kubernetes Kümesinde çalıştırmak için kullanabileceği kullanıcı, birincil grup, ek grup ve dosya sistemi grubu kimliklerini denetleyin. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik Pod Güvenlik İlkeleri'nin bir parçasıdır. Bu ilke Kubernetes Service (AKS) ve AKS Altyapısı ile Azure Arc özellikli Kubernetes için önizleme için genel kullanıma sunulmuştur. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. devre dışı 4.0.3
Kubernetes küme podları yalnızca onaylanan konak ağını ve bağlantı noktası aralığını kullanmalıdır Kubernetes kümesindeki konak ağına ve izin verilebilen konak bağlantı noktası aralığına pod erişimini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeyi amaçlayan CIS 5.2.4'ün bir parçasıdır. Bu ilke Kubernetes Service (AKS) ve AKS Altyapısı ile Azure Arc özellikli Kubernetes için önizleme için genel kullanıma sunulmuştur. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. devre dışı 4.0.2
Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir Kubernetes kümesine erişimin güvenliğini sağlamak için hizmetleri yalnızca izin verilen bağlantı noktalarında dinleyecek şekilde kısıtlayın. Bu ilke Kubernetes Service (AKS) ve AKS Altyapısı ile Azure Arc özellikli Kubernetes için önizleme için genel kullanıma sunulmuştur. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. devre dışı 6.1.2
Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir Kubernetes kümesinde ayrıcalıklı kapsayıcıların oluşturulmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.1'in bir parçasıdır. Bu ilke Kubernetes Service (AKS) ve AKS Altyapısı ile Azure Arc özellikli Kubernetes için önizleme için genel kullanıma sunulmuştur. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. devre dışı 7.0.1
Kubernetes kümeleri, kapsayıcı ayrıcalıklı yükseltmesine izin vermemelidir Kapsayıcıların Kubernetes kümesinde köke ayrıcalık yükseltmesi ile çalışmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeyi amaçlayan CIS 5.2.5'in bir parçasıdır. Bu ilke Kubernetes Service (AKS) ve AKS Altyapısı ile Azure Arc özellikli Kubernetes için önizleme için genel kullanıma sunulmuştur. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. devre dışı 4.0.1
Linux makineleri Azure işlem güvenliği temeli gereksinimlerini karşılamalıdır Önkoşulların ilke atama kapsamına dağıtıldığını gerektirir. Ayrıntılar için bkz. https://aka.ms/gcpol. Makine, Azure işlem güvenlik temelindeki önerilerden biri için doğru yapılandırılmamışsa makineler uyumsuzdur. AuditIfNotExists, Devre Dışı 1.3.0
API Apps için uzaktan hata ayıklama kapatılmalıdır Uzaktan hata ayıklama, API uygulamalarında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 1.0.0
İşlev Uygulamaları için uzaktan hata ayıklama kapatılmalıdır Uzaktan hata ayıklama, işlev uygulamalarında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 1.0.0
Web Uygulamaları için uzaktan hata ayıklama kapatılmalıdır Uzaktan hata ayıklama, web uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. AuditIfNotExists, Devre Dışı 1.0.0
Windows makineleri Azure işlem güvenliği temeli gereksinimlerini karşılamalıdır Önkoşulların ilke atama kapsamına dağıtıldığını gerektirir. Ayrıntılar için bkz. https://aka.ms/gcpol. Makine, Azure işlem güvenlik temelindeki önerilerden biri için doğru yapılandırılmamışsa makineler uyumsuzdur. AuditIfNotExists, Devre Dışı 1.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Makinelerinizde güvenli uygulamaları tanımlamak için uyarlamalı uygulama denetimleri etkinleştirilmelidir Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. AuditIfNotExists, Devre Dışı 3.0.0
Uyarlamalı uygulama denetim ilkenizdeki izin verilenler listesi kuralları güncelleştirilmelidir Azure Güvenlik Merkezi uyarlamalı uygulama denetimleriyle denetim için yapılandırılmış makine gruplarındaki davranış değişikliklerini izleyin. Güvenlik Merkezi, makinelerinizde çalışan işlemleri analiz etmek ve bilinen güvenli uygulamaların listesini önermek için makine öğrenmesini kullanır. Bunlar, uyarlamalı uygulama denetimi ilkelerinde izin vermek için önerilen uygulamalar olarak sunulur. AuditIfNotExists, Devre Dışı 3.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinliklerle ilgili uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Makinelerinizde güvenli uygulamaları tanımlamak için uyarlamalı uygulama denetimleri etkinleştirilmelidir Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. AuditIfNotExists, Devre Dışı 3.0.0
Uyarlamalı uygulama denetim ilkenizdeki izin verilenler listesi kuralları güncelleştirilmelidir Azure Güvenlik Merkezi uyarlamalı uygulama denetimleriyle denetim için yapılandırılmış makine gruplarındaki davranış değişikliklerini izleyin. Güvenlik Merkezi, makinelerinizde çalışan işlemleri analiz etmek ve bilinen güvenli uygulamaların listesini önermek için makine öğrenmesini kullanır. Bunlar, uyarlamalı uygulama denetimi ilkelerinde izin vermek için önerilen uygulamalar olarak sunulur. AuditIfNotExists, Devre Dışı 3.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Makinelerinizde güvenli uygulamaları tanımlamak için uyarlamalı uygulama denetimleri etkinleştirilmelidir Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. AuditIfNotExists, Devre Dışı 3.0.0
Uyarlamalı uygulama denetim ilkenizdeki izin verilenler listesi kuralları güncelleştirilmelidir Azure Güvenlik Merkezi uyarlamalı uygulama denetimleriyle denetim için yapılandırılmış makine gruplarındaki davranış değişikliklerini izleyin. Güvenlik Merkezi, makinelerinizde çalışan işlemleri analiz etmek ve bilinen güvenli uygulamaların listesini önermek için makine öğrenmesini kullanır. Bunlar, uyarlamalı uygulama denetimi ilkelerinde izin vermek için önerilen uygulamalar olarak sunulur. AuditIfNotExists, Devre Dışı 3.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Makinelerinizde güvenli uygulamaları tanımlamak için uyarlamalı uygulama denetimleri etkinleştirilmelidir Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. AuditIfNotExists, Devre Dışı 3.0.0
Uyarlamalı uygulama denetim ilkenizdeki izin verilenler listesi kuralları güncelleştirilmelidir Azure Güvenlik Merkezi uyarlamalı uygulama denetimleriyle denetim için yapılandırılmış makine gruplarındaki davranış değişikliklerini izleyin. Güvenlik Merkezi, makinelerinizde çalışan işlemleri analiz etmek ve bilinen güvenli uygulamaların listesini önermek için makine öğrenmesini kullanır. Bunlar, uyarlamalı uygulama denetimi ilkelerinde izin vermek için önerilen uygulamalar olarak sunulur. AuditIfNotExists, Devre Dışı 3.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Makinelerinizde güvenli uygulamaları tanımlamak için uyarlamalı uygulama denetimleri etkinleştirilmelidir Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. AuditIfNotExists, Devre Dışı 3.0.0
Uyarlamalı uygulama denetim ilkenizdeki izin verilenler listesi kuralları güncelleştirilmelidir Azure Güvenlik Merkezi uyarlamalı uygulama denetimleriyle denetim için yapılandırılmış makine gruplarındaki davranış değişikliklerini izleyin. Güvenlik Merkezi, makinelerinizde çalışan işlemleri analiz etmek ve bilinen güvenli uygulamaların listesini önermek için makine öğrenmesini kullanır. Bunlar, uyarlamalı uygulama denetimi ilkelerinde izin vermek için önerilen uygulamalar olarak sunulur. AuditIfNotExists, Devre Dışı 3.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Coğrafi olarak yedekli yedekleme MariaDB için Azure Veritabanı için etkinleştirilmelidir MariaDB için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. Denetim, Devre Dışı 1.0.1
Coğrafi olarak yedekli yedekleme MySQL için Azure Veritabanı için etkinleştirilmelidir MySQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. Denetim, Devre Dışı 1.0.1
Coğrafi olarak yedekli yedekleme PostgreSQL için Azure Veritabanı için etkinleştirilmelidir PostgreSQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. Denetim, Devre Dışı 1.0.1
Depolama Hesapları için coğrafi olarak yedekli depolama etkinleştirilmelidir Yüksek oranda kullanılabilir uygulamalar oluşturmak için coğrafi yedekliliği kullanma Denetim, Devre Dışı 1.0.0
Azure SQL Veritabanları için uzun süreli coğrafi olarak yedekli yedekleme etkinleştirilmelidir Bu ilke, uzun süreli coğrafi olarak yedekli yedekleme etkinleştirilmemiş tüm Azure SQL Veritabanlarını denetler. AuditIfNotExists, Devre Dışı 2.0.0

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
[Kullanım dışı]: App Services'teki tanılama günlükleri etkinleştirilmelidir Uygulamada tanılama günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye atılırsa araştırma amacıyla etkinlik kayıtlarını yeniden oluşturmanıza olanak tanır AuditIfNotExists, Devre Dışı 2.0.0-kullanım dışı
[Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Azure Defender uzantısı yüklü olmalıdır Azure Defender'ın Azure Arc uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arcbilgi edinin. AuditIfNotExists, Devre Dışı 3.0.0-önizleme
[Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
[Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme
SQL Server'da denetim etkinleştirilmelidir Sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için SQL Server denetimi etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 2.0.0
Aboneliğinizde Log Analytics aracısının otomatik sağlanması etkinleştirilmelidir Güvenlik açıklarını ve tehditleri izlemek için Azure Güvenlik Merkezi Azure sanal makinelerinizden veri toplar. Veriler, makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okuyan ve verileri analiz için Log Analytics çalışma alanınıza kopyalayan, eski adıyla Microsoft Monitoring Agent (MMA) olarak bilinen Log Analytics aracısı tarafından toplanır. Aracıyı desteklenen tüm Azure VM'lerine ve oluşturulan yeni vm'lere otomatik olarak dağıtmak için otomatik sağlamayı etkinleştirmenizi öneririz. AuditIfNotExists, Devre Dışı 1.0.1
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2
DNS için Azure Defender etkinleştirilmelidir DNS için Azure Defender, Azure kaynaklarınızdaki tüm DNS sorgularını sürekli izleyerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender, DNS katmanındaki şüpheli etkinlikler hakkında sizi uyarır. adresinde DNS https://aka.ms/defender-for-dns için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Resource Manager için Azure Defender etkinleştirilmelidir Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. adresinden Resource Manager için Azure Defender'ın https://aka.ms/defender-for-resource-manager özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Devre Dışı 1.0.0
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinliklerle ilgili uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
KORUMASız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
Korumasız SQL Yönetilen Örnekleri için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2
Depolama için Azure Defender etkinleştirilmelidir Depolama için Azure Defender, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanmasını sağlar. AuditIfNotExists, Devre Dışı 1.0.3
Konuk Yapılandırması uzantısı makinelerinize yüklenmelidir Makinenizin konuk içi ayarlarının güvenli yapılandırmalarından emin olmak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. daha fazla bilgi için bkz https://aka.ms/gcpol. . AuditIfNotExists, Devre Dışı 1.0.1
Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makinenize yüklenmelidir Bu ilke, Güvenlik Merkezi'nin güvenlik açıklarını ve tehditlerini izlemek için kullandığı Log Analytics aracısı yüklü değilse tüm Windows/Linux sanal makinelerini (VM) denetler AuditIfNotExists, Devre Dışı 1.0.0
Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makine ölçek kümelerinize yüklenmelidir Güvenlik Merkezi, güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM) veri toplar. AuditIfNotExists, Devre Dışı 1.0.0
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0
Ağ İzleyicisi etkinleştirilmelidir Ağ İzleyicisi, Azure'da, azure'a ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanızı sağlar. Sanal ağın bulunduğu her bölgede bir ağ izleyicisi kaynak grubunun oluşturulması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. AuditIfNotExists, Devre Dışı 3.0.0
Azure Data Lake Store'daki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Azure Stream Analytics'teki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Batch hesaplarındaki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Data Lake Analytics kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Olay Hub'ında kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Key Vault kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır AuditIfNotExists, Devre Dışı 5.0.0
Logic Apps'teki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Arama hizmetlerindeki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Service Bus'taki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Sanal Makine Ölçek Kümeleri kaynak günlükleri etkinleştirilmelidir Bir olay veya güvenliğin aşılması durumunda araştırma gerektiğinde etkinlik kaydının yeniden oluşturulabilmesi için Günlükler'i etkinleştirmeniz önerilir. AuditIfNotExists, Devre Dışı 2.1.0
Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanmış yönetilen kimliğe sahip olmadıklarında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol AuditIfNotExists, Devre Dışı 1.0.1

Kuruluş sistemlerinin yetkisiz kullanımını belirleme.

Kimlik: CMMC L3 SI.2.217 Sahipliği: Paylaşılan

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3
Windows Defender Exploit Guard makinelerinizde etkinleştirilmelidir Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, çok çeşitli saldırı vektörlerine karşı cihazları kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek ve kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesini sağlar (yalnızca Windows) için tasarlanmış dört bileşene sahiptir. AuditIfNotExists, Devre Dışı 1.1.1

Sonraki adımlar

Azure İlkesi hakkında ek makaleler: