Azure Synapse Analytics için yerleşik tanımları Azure İlkesi
Bu sayfa, Azure Synapse için Azure İlkesi yerleşik ilke tanımlarının dizinidir. Diğer hizmetlere yönelik ek Azure İlkesi yerleşikleri için bkz. Azure İlkesi yerleşik tanımlar.
Her yerleşik ilke tanımının adı, Azure portalındaki ilke tanımına bağlanır. Azure İlkesi GitHub deposundaki kaynağı görüntülemek için Sürüm sütunundaki bağlantıyı kullanın.
Azure Synapse
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Synapse çalışma alanında denetim etkinleştirilmelidir | Synapse çalışma alanınızda denetim, ayrılmış SQL havuzlarındaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Synapse Analytics ayrılmış SQL havuzları şifrelemeyi etkinleştirmelidir | Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için Azure Synapse Analytics ayrılmış SQL havuzları için saydam veri şifrelemesini etkinleştirin. Havuz için saydam veri şifrelemesini etkinleştirmenin sorgu performansını etkileyeebileceğini lütfen unutmayın. Diğer ayrıntılar için bkz. https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Synapse Workspace SQL Server TLS sürüm 1.2 veya daha yeni bir sürümü çalıştırıyor olmalıdır | TLS sürümünü 1.2 veya daha yeni bir sürüme ayarlamak, Azure Synapse çalışma alanı SQL sunucunuza yalnızca TLS 1.2 veya daha yeni sürümü kullanan istemcilerden erişilmesini sağlayarak güvenliği artırır. İyi belgelenmiş güvenlik açıkları olduğundan TLS'nin 1.2'den küçük sürümlerinin kullanılması önerilmez. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure Synapse çalışma alanları yalnızca onaylanan hedeflere giden veri trafiğine izin vermelidir | Yalnızca onaylanan hedeflere giden veri trafiğine izin vererek Synapse çalışma alanınızın güvenliğini artırın. Bu, verileri göndermeden önce hedefi doğrulayarak veri sızdırmayı önlemeye yardımcı olur. | Denetim, Devre Dışı, Reddet | 1.0.0 |
| Azure Synapse çalışma alanları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması Synapse çalışma alanının genel İnternet'te kullanıma sunulmadığından emin olarak güvenliği artırır. Özel uç noktalar oluşturmak Synapse çalışma alanlarınızın görünür kalmasını sınırlayabilir. Daha fazla bilgi için: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Synapse çalışma alanları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Azure Synapse çalışma alanlarında depolanan verilerin geri kalanında şifrelemeyi denetlemek için müşteri tarafından yönetilen anahtarları kullanın. Müşteri tarafından yönetilen anahtarlar, hizmet tarafından yönetilen anahtarlarla varsayılan şifrelemenin üzerine ikinci bir şifreleme katmanı ekleyerek çift şifreleme sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Synapse çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links | Denetim, Devre Dışı | 1.0.1 |
| Azure Synapse Çalışma Alanı Ayrılmış SQL en düşük TLS sürümünü yapılandırma | Müşteriler hem yeni Synapse çalışma alanları hem de mevcut çalışma alanları için API'yi kullanarak en düşük TLS sürümünü yükseltebilir veya düşürebilir. Bu nedenle, çalışma alanlarında daha düşük bir istemci sürümü kullanması gereken kullanıcılar bağlanabilirken, güvenlik gereksinimi olan kullanıcılar en düşük TLS sürümünü yükseltebilir. Daha fazla bilgi için: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Değiştir, Devre Dışı | 1.1.0 |
| Genel ağ erişimini devre dışı bırakmak için Azure Synapse çalışma alanlarını yapılandırma | Synapse çalışma alanınızın genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Değiştir, Devre Dışı | 1.0.0 |
| Azure Synapse çalışma alanlarını özel uç noktalarla yapılandırma | Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağınızı Azure hizmetlerine bağlar. Özel uç noktaları Azure Synapse çalışma alanlarına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links | DeployIfNotExists, Devre Dışı | 1.0.0 |
| SQL için Microsoft Defender'ı Synapse çalışma alanlarında etkinleştirilecek şekilde yapılandırma | SQL veritabanlarına erişmeye veya bu veritabanlarını kötüye kullanmak için olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılamak için Azure Synapse çalışma alanlarınızda SQL için Microsoft Defender'ı etkinleştirin. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Synapse çalışma alanlarını denetimin etkin olması için yapılandırma | SQL varlıklarınızda gerçekleştirilen işlemlerin yakalandığından emin olmak için Synapse çalışma alanlarında denetimin etkinleştirilmesi gerekir. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Synapse çalışma alanlarını Log Analytics çalışma alanında denetimi etkinleştirecek şekilde yapılandırma | SQL varlıklarınızda gerçekleştirilen işlemlerin yakalandığından emin olmak için Synapse çalışma alanlarında denetimin etkinleştirilmesi gerekir. Denetim etkinleştirilmemişse, bu ilke denetim olaylarını belirtilen Log Analytics çalışma alanına akacak şekilde yapılandıracaktır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Synapse Çalışma Alanlarını kimlik doğrulaması için yalnızca Microsoft Entra kimliklerini kullanacak şekilde yapılandırma | Synapse Çalışma Alanlarını Microsoft Entra-only kimlik doğrulamasını kullanacak şekilde gerekli kılıp yeniden yapılandırın. Bu ilke, yerel kimlik doğrulaması etkinken çalışma alanlarının oluşturulmasını engellemez. Yerel kimlik doğrulamasının etkinleştirilmesini engeller ve oluşturma sonrasında kaynaklarda Microsoft Entra-only kimlik doğrulamasını yeniden etkinleştirir. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/Synapse. | Değiştir, Devre Dışı | 1.0.0 |
| Synapse Çalışma Alanlarını, çalışma alanı oluşturma sırasında kimlik doğrulaması için yalnızca Microsoft Entra kimliklerini kullanacak şekilde yapılandırma | Synapse Çalışma Alanlarının Microsoft Entra-only kimlik doğrulamasıyla oluşturulmasını gerekli kılıp yeniden yapılandırın. Bu ilke, yerel kimlik doğrulamasının oluşturma sonrasında kaynaklarda yeniden etkinleştirilmesini engellemez. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/Synapse. | Değiştir, Devre Dışı | 1.2.0 |
| Event Hub'a Apache Spark havuzları (microsoft.synapse/workspaces/bigdatapools) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Apache Spark havuzları (microsoft.synapse/workspaces/bigdatapools) için bir Olay Hub'ına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics'e Apache Spark havuzları (microsoft.synapse/workspaces/bigdatapools) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Apache Spark havuzları (microsoft.synapse/workspaces/bigdatapools) için Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Depolama için Apache Spark havuzları (microsoft.synapse/workspaces/bigdatapools) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirin | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Apache Spark havuzları için Depolama Hesabına (microsoft.synapse/workspaces/bigdatapools) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Synapse Analytics (microsoft.synapse/workspaces) için Event Hub'a kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Azure Synapse Analytics (microsoft.synapse/workspaces) için bir Olay Hub'ına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Synapse Analytics (microsoft.synapse/workspaces) için Log Analytics'e kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Azure Synapse Analytics (microsoft.synapse/workspaces) için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Synapse Analytics 'in (microsoft.synapse/workspaces) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Azure Synapse Analytics için Depolama Hesabına (microsoft.synapse/workspaces) yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub'a Ayrılmış SQL havuzları (microsoft.synapse/workspaces/sqlpools) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Ayrılmış SQL havuzları (microsoft.synapse/workspaces/sqlpools) için bir Olay Hub'ına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics'e Ayrılmış SQL havuzları (microsoft.synapse/workspaces/sqlpools) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Ayrılmış SQL havuzları (microsoft.synapse/workspaces/sqlpools) için Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Ayrılmış SQL havuzları (microsoft.synapse/workspaces/sqlpools) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirerek Depolama | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri Ayrılmış SQL havuzları (microsoft.synapse/workspaces/sqlpools) için Depolama Hesabına yönlendirmek için bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub'a microsoft.synapse/workspaces/kustopools için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri microsoft.synapse/workspaces/kustopools için bir Olay Hub'ına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics'e microsoft.synapse/workspaces/kustopools için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri microsoft.synapse/workspaces/kustopools için Log Analytics çalışma alanına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Depolama için microsoft.synapse/workspaces/kustopools için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, günlükleri microsoft.synapse/workspaces/kustopools için Depolama Hesabına yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| EVENT Hub'a KAPSAM havuzları (microsoft.synapse/workspaces/scopepools) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, kapsam havuzları (microsoft.synapse/workspaces/scopepools) için günlükleri bir Olay Hub'ına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| LOG Analytics'e KAPSAM havuzları (microsoft.synapse/workspaces/scopepools) için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, kapsam havuzları (microsoft.synapse/workspaces/scopepools) için günlükleri Log Analytics çalışma alanına yönlendirmek üzere bir kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| KAPSAM havuzlarının (microsoft.synapse/workspaces/scopepools) Depolama için kategori grubuna göre günlüğe kaydetmeyi etkinleştirme | Kaynak günlükleri, kaynaklarınızda gerçekleşen etkinlikleri ve olayları izlemek ve oluşan değişikliklerle ilgili görünürlük ve içgörüler sağlamak için etkinleştirilmelidir. Bu ilke, kapsam havuzları için Depolama Hesabına (microsoft.synapse/workspaces/scopepools) günlükleri yönlendirmek için kategori grubu kullanarak bir tanılama ayarı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Azure Synapse çalışma alanlarında ip güvenlik duvarı kuralları kaldırılmalıdır | Tüm IP güvenlik duvarı kurallarının kaldırılması, Azure Synapse çalışma alanınıza yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, çalışma alanında genel ağ erişimine izin veren güvenlik duvarı kurallarının oluşturulmasını denetler. | Denetim, Devre Dışı | 1.0.0 |
| Azure Synapse çalışma alanlarında yönetilen çalışma alanı sanal ağı etkinleştirilmelidir | Yönetilen çalışma alanı sanal ağını etkinleştirmek, çalışma alanınızın diğer çalışma alanlarından yalıtılmış bir ağ olmasını sağlar. Bu sanal ağda dağıtılan veri tümleştirmesi ve Spark kaynakları, Spark etkinlikleri için kullanıcı düzeyinde yalıtım da sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Korumasız Synapse çalışma alanları için SQL için Microsoft Defender etkinleştirilmelidir | Synapse çalışma alanlarınızı korumak için SQL için Defender'ı etkinleştirin. SQL için Defender, veritabanlarına erişme veya veritabanlarını kötüye kullanmak için olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılamak için Synapse SQL'inizi izler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Synapse tarafından yönetilen özel uç noktaların yalnızca onaylı Azure Active Directory kiracılarındaki kaynaklara bağlanması gerekir | Synapse çalışma alanınızı yalnızca onaylı Azure Active Directory (Azure AD) kiracılarındaki kaynaklara bağlantılara izin vererek koruyun. Onaylanan Azure AD kiracıları ilke ataması sırasında tanımlanabilir. | Denetim, Devre Dışı, Reddet | 1.0.0 |
| Synapse çalışma alanı denetim ayarları, kritik etkinlikleri yakalamak için yapılandırılmış eylem gruplarına sahip olmalıdır | Denetim günlüklerinizin mümkün olduğunca kapsamlı olduğundan emin olmak için AuditActionsAndGroups özelliği tüm ilgili grupları içermelidir. En az SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP ve BATCH_COMPLETED_GROUP eklemenizi öneririz. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Synapse Çalışma Alanlarında Microsoft Entra-only kimlik doğrulaması etkinleştirilmelidir | Synapse Çalışma Alanlarının Microsoft Entra-only kimlik doğrulamasını kullanmasını gerektir. Bu ilke, yerel kimlik doğrulaması etkinken çalışma alanlarının oluşturulmasını engellemez. Oluşturma sonrasında kaynaklarda yerel kimlik doğrulamasının etkinleştirilmesi engellenir. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/Synapse. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Synapse Çalışma Alanları, çalışma alanı oluşturma sırasında kimlik doğrulaması için yalnızca Microsoft Entra kimliklerini kullanmalıdır | Synapse Çalışma Alanlarının Microsoft Entra-only kimlik doğrulamasıyla oluşturulmasını zorunlu kılar. Bu ilke, yerel kimlik doğrulamasının oluşturma sonrasında kaynaklarda yeniden etkinleştirilmesini engellemez. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/Synapse. | Denetim, Reddetme, Devre Dışı | 1.2.0 |
| Depolama hesabı hedefine SQL denetimine sahip Synapse çalışma alanları 90 gün veya daha uzun saklama ile yapılandırılmalıdır | Olay araştırma amacıyla Synapse çalışma alanınızın SQL denetimi için veri saklamayı depolama hesabı hedefine en az 90 güne ayarlamanızı öneririz. İşletim yaptığınız bölgeler için gerekli saklama kurallarını karşıladığınızdan emin olun. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Synapse çalışma alanlarınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir | Synapse çalışma alanlarınızda yinelenen SQL güvenlik açığı değerlendirme taramalarını yapılandırarak olası güvenlik açıklarını keşfedin, izleyin ve düzeltin. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Sonraki adımlar
- Yerleşik ilkeleri görmek için Azure İlkesi GitHub deposuna gidin.
- Azure İlkesi tanımı yapısını gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.