التعريفات المضمنة في Azure Policy لـ Microsoft Defender for Cloud
هذه الصفحة عبارة عن فهرس لتعريفات نهج Azure Policy المضمنة ذات الصلة بـ Microsoft Defender for Cloud. تتوفر المجموعات التالية لتعريفات النهج:
- تسرد مجموعة المبادرات تعريفات مبادرة Azure Policy في فئة "Defender for Cloud".
- تسرد مجموعة المبادرة الافتراضية جميع تعريفات نهج Azure التي تعد جزءا من مبادرة Defender for Cloud الافتراضية، معيار أمان السحابة من Microsoft. يعتمد هذا المعيار الذي تم تأليفه من قِبل Microsoft والذي يحظى باحترام كبير على عناصر تحكم من Center for Internet Security (CIS) وNational Institute of Standards and Technology (NIST) مع التركيز على السحاب المتمركز للأمان.
- تسرد مجموعة الفئة جميع تعريفات Azure Policy في فئة "Defender for Cloud".
لمزيد من المعلومات حول نُهج الأمان، راجع التعامل مع نُهج الأمان. للتعرُّف على العناصر الإضافية الأخرى في Azure Policy للخدمات الأخرى، راجع التعريفات المضمنة في Azure Policy.
اسم كل ارتباط لتعريف سياسة مضمنة لتعريف سياسة في مدخل Azure. أستخدم الرابط الموجود في العمود Version لعرض المصدر على Azure Policy GitHub repo.
Microsoft Defender لمبادرات السحابة
للتعرف على المبادرات المضمنة التي تتم مراقبتها بواسطة Defender for Cloud، راجع الجدول التالي:
| Name | الوصف | السياسات | إصدار |
|---|---|---|---|
| [معاينة]: توزيع Microsoft Defender لعامل نقطة النهاية | قم بتوزيع Microsoft Defender for Endpoint agent على الصور المناسبة. | 4 | 1.0.0-المعاينة |
| تكوين خدمة Advanced Threat Protection ليتم تمكينها في قواعد البيانات ذات الصلة مفتوحة المصدر | قم بتمكين خدمة Advanced Threat Protection في قواعد البيانات ذات الصلة مفتوحة المصدر من المستوى غير الأساسي لاكتشاف الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. راجع https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| تكوين Azure Defender لتمكينه في خوادم SQL ومثيلات SQL المُدارة | قم بتمكين Azure Defender في خوادم SQL ومثيلات SQL المُدارة لاكتشاف الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. | 3 | 3.0.0 |
| تكوين خطط Microsoft Defender for Cloud | يوفر Microsoft Defender for Cloud حماية شاملة أصلية على السحابة من التطوير إلى وقت التشغيل في بيئات متعددة السحابة. استخدم مبادرة النهج لتكوين خطط وملحقات Defender for Cloud ليتم تمكينها على نطاق (نطاقات) محددة. | 11 | 1.0.0 |
| تكوين Microsoft Defender لقواعد البيانات المراد تمكينها | كون Microsoft Defender لقواعد البيانات لحماية Azure SQL Databases وManaged Instances وقواعد البيانات الارتباطية مفتوحة المصدر وCosmos DB. | 4 | 1.0.0 |
| تكوين إعدادات تكامل Microsoft Defender لنقطة النهاية متعددة مع Microsoft Defender for Cloud | قم بتكوين إعدادات تكامل Microsoft Defender لنقطة النهاية المتعددة مع Microsoft Defender for Cloud (WDATP، WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW، WDATP_UNIFIED_SOLUTION وما إلى ذلك). راجع: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint لمزيد من المعلومات. | 3 | 1.0.0 |
| تكوين أجهزة SQL الظاهرية وخوادم SQL الممكنة بواسطة Arc لتثبيت Microsoft Defender ل SQL و AMA مع مساحة عمل LA | يجمع Microsoft Defender for SQL الأحداث من الوكلاء ويستخدمها لتوفير تنبيهات الأمان ومهام التصلب المخصصة (التوصيات). إنشاء مجموعة موارد وقاعدة تجميع بيانات ومساحة عمل Log Analytics في نفس منطقة الجهاز. | 9 | 1.3.0 |
| تكوين أجهزة SQL الظاهرية وخوادم SQL الممكنة بواسطة Arc لتثبيت Microsoft Defender ل SQL و AMA مع مساحة عمل LA معرفة من قبل المستخدم | يجمع Microsoft Defender for SQL الأحداث من الوكلاء ويستخدمها لتوفير تنبيهات الأمان ومهام التصلب المخصصة (التوصيات). إنشاء مجموعة موارد وقاعدة تجميع بيانات في نفس المنطقة مثل مساحة عمل Log Analytics المعرفة من قبل المستخدم. | 8 | 1.2.0 |
| Microsoft cloud security benchmark | تمثل مبادرة معيار أمان السحابة من Microsoft النهج والضوابط التي تنفذ توصيات الأمان المحددة في معيار أمان السحابة من Microsoft، راجع https://aka.ms/azsecbm. يعمل هذا أيضًا كمبادرة النهج الافتراضية لـ Microsoft Defender for Cloud. يمكنك تعيين هذه المبادرة مباشرة أو إدارة سياساتها ونتائج التوافق داخل Microsoft Defender for Cloud. | 230 | 57.44.0 |
مبادرة Defender for Cloud الافتراضية (معيار أمان السحابة من Microsoft)
للتعرف على النُهج المضمنة التي تتم مراقبتها بواسطة Defender for Cloud، راجع الجدول التالي:
| اسم السياسة (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور | لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي | AuditIfNotExists، معطل | 3.0.0 - المعاينة |
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
| [معاينة]: يجب تمكين Microsoft Entra Only Authentication لخادم Azure PostgreSQL المرن | يؤدي تعطيل أساليب المصادقة المحلية والسماح بمصادقة Microsoft Entra فقط إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى خادم Azure PostgreSQL المرن حصريا بواسطة هويات Microsoft Entra. | المراجعة، معطلة | 1.0.0-المعاينة |
| [معاينة]: يجب أن تفرض خوادم Azure Stack HCI نهج التحكم في التطبيق باستمرار | كحد أدنى، قم بتطبيق نهج Microsoft WDAC الأساسي في الوضع المفروض على جميع خوادم Azure Stack HCI. يجب أن تكون نهج التحكم في تطبيق Windows Defender (WDAC) المطبقة متسقة عبر الخوادم في نفس المجموعة. | Audit, Disabled, AuditIfNotExists | 1.0.0-المعاينة |
| [معاينة]: يجب أن تفي خوادم Azure Stack HCI بمتطلبات Secured-core | تأكد من أن جميع خوادم Azure Stack HCI تفي بمتطلبات Secured-core. لتمكين متطلبات خادم Secured-core: 1. من صفحة مجموعات Azure Stack HCI، انتقل إلى مركز إدارة Windows وحدد اتصال. 2. انتقل إلى ملحق الأمان وحدد Secured-core. 3. حدد أي إعداد غير ممكن وانقر فوق تمكين. | Audit, Disabled, AuditIfNotExists | 1.0.0-المعاينة |
| [معاينة]: يجب أن تحتوي أنظمة Azure Stack HCI على وحدات تخزين مشفرة | استخدم BitLocker لتشفير نظام التشغيل ووحدات تخزين البيانات على أنظمة Azure Stack HCI. | Audit, Disabled, AuditIfNotExists | 1.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على أجهزة Linux الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على أجهزة التشغيل الموثوقة وLinux الظاهرية السرية. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس أجهزة Linux الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على مجموعات مقياس أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري Trusted Launch و Confidential Linux. | AuditIfNotExists، معطل | معاينة 5.1.0 |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على الأجهزة Windows الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية. | AuditIfNotExists، معطل | معاينة 4.0.0 |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس الأجهزة Windows الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على مجموعات مقياس الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري الموثوق بها وWindows السرية. | AuditIfNotExists، معطل | 3.1.0-المعاينة |
| [معاينة]: يجب حماية شبكات المضيف والأجهزة الظاهرية على أنظمة Azure Stack HCI | حماية البيانات على شبكة مضيفي Azure Stack HCI وعلى اتصالات شبكة الجهاز الظاهري. | Audit, Disabled, AuditIfNotExists | 1.0.0-المعاينة |
| [معاينة]: يجب أن تستخدم أجهزة Linux الظاهرية مكونات التمهيد الموقعة والموثوق بها فقط | يجب توقيع جميع مكونات تمهيد نظام التشغيل (محمل التمهيد، النواة، برامج تشغيل النواة) من قبل ناشرين موثوق بهم. حدد Defender for Cloud مكونات تمهيد نظام التشغيل غير الموثوق بها على واحد أو أكثر من أجهزة Linux الخاصة بك. لحماية أجهزتك من المكونات الضارة المحتملة، أضفها إلى قائمة السماح أو قم بإزالة المكونات المحددة. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Linux Azure Arc الخاصة بك | يقوم هذا النهج بتدقيق أجهزة Linux Azure Arc إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 - المعاينة |
| [معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Windows Azure Arc الخاصة بك | يقوم هذا النهج بتدقيق أجهزة Windows Azure Arc إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 - المعاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تمكين التشغيل الآمن على الأجهزة Windows الظاهرية المعتمدة | قم بتمكين التمهيد الآمن على أجهزة Windows الظاهرية المدعومة؛ للتخفيف من التغييرات الضارة وغير المصرح بها لسلسلة التمهيد. بمجرد التمكين، سيتم السماح بتشغيل أدوات تحميل التشغيل وkernel وبرامج تشغيله فقط. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية. | المراجعة، معطلة | معاينة 4.0.0 |
| [معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين | يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 3.1.0-المعاينة |
| [معاينة]: يجب تمكين vTPM على الأجهزة الظاهرية المعتمدة | تمكين جهاز TPM الظاهري على الأجهزة الظاهرية المدعومة لتسهيل Measured Boot، وميزات أمان نظام التشغيل الأخرى التي تتطلب TPM. بمجرد تمكين vTPM يمكن استخدامها لتشهد تكامل التمهيد. ينطبق هذا التقييم فقط على الأجهزة الظاهرية الموثوق بها التي تم تمكينها من التشغيل. | المراجعة، معطلة | 2.0.0-المعاينة |
| يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
| يجب توفير مسؤول Microsoft Entra لخوادم MySQL | تدقيق توفير مسؤول Microsoft Entra لخادم MySQL لتمكين مصادقة Microsoft Entra. تتيح مصادقة Microsoft Entra إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.1.1 |
| يجب توفير مسؤول Microsoft Entra لخوادم PostgreSQL | تدقيق توفير مسؤول Microsoft Entra لخادم PostgreSQL لتمكين مصادقة Microsoft Entra. تتيح مصادقة Microsoft Entra إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| يجب مصادقة نقاط نهاية واجهة برمجة التطبيقات في Azure API Management | يجب أن تفرض نقاط نهاية واجهة برمجة التطبيقات المنشورة داخل Azure API Management المصادقة للمساعدة في تقليل مخاطر الأمان. يتم أحيانا تنفيذ آليات المصادقة بشكل غير صحيح أو مفقودة. يسمح هذا للمهاجمين باستغلال عيوب التنفيذ والوصول إلى البيانات. تعرف على المزيد حول تهديد واجهة برمجة تطبيقات OWASP لمصادقة المستخدم المعطلة هنا: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists، معطل | 1.0.1 |
| يجب تعطيل نقاط نهاية واجهة برمجة التطبيقات غير المستخدمة وإزالتها من خدمة Azure API Management | كأفضل ممارسة أمان، تعتبر نقاط نهاية واجهة برمجة التطبيقات التي لم تتلق نسبة استخدام الشبكة لمدة 30 يوما غير مستخدمة ويجب إزالتها من خدمة إدارة واجهة برمجة تطبيقات Azure. قد يشكل الاحتفاظ بنقاط نهاية واجهة برمجة التطبيقات غير المستخدمة خطرا أمنيا على مؤسستك. قد تكون هذه واجهات برمجة التطبيقات التي كان يجب إهمالها من خدمة Azure API Management ولكن قد تكون تركت نشطة عن طريق الخطأ. لا تتلقى واجهات برمجة التطبيقات هذه عادة أحدث تغطية أمنية. | AuditIfNotExists، معطل | 1.0.1 |
| يجب أن تستخدم واجهات برمجة تطبيقات API Management بروتوكولات مشفرة فقط | لضمان أمان البيانات أثناء النقل، يجب أن تكون واجهات برمجة التطبيقات متاحة فقط من خلال بروتوكولات مشفرة، مثل HTTPS أو WSS. تجنب استخدام بروتوكولات غير آمنة، مثل HTTP أو WS. | تدقيق، تعطيل، رفض | 2.0.2 |
| يجب مصادقة استدعاءات APIM إلى خلفيات واجهة برمجة التطبيقات | يتعين أن تستخدم الاستدعاءات الصادرة عن APIM إلى الخلفيات شكلاً من أشكال المصادقة، سواء عبر الشهادات أو بيانات الاعتماد. لا تنطبق على خلفيات Service Fabric. | تدقيق، تعطيل، رفض | 1.0.1 |
| يجب ألا تتجاوز استدعاءات APIM إلى خلفيات واجهة برمجة التطبيقات خطة التحقق من صحة بصمة الإبهام أو الاسم | لتحسين أمان واجهة برمجة التطبيقات، يجب أن تتحقق إدارة واجهة برمجة التطبيقات من صحة شهادة الخادم الخلفي لجميع استدعاءات واجهة برمجة التطبيقات. تمكين بصمة إبهام شهادة SSL والتحقق من صحة الاسم. | تدقيق، تعطيل، رفض | 1.0.2 |
| يجب عدم تمكين نقطة نهاية الإدارة المباشرة لإدارة واجهة برمجة التطبيقات | تتجاوز واجهة برمجة تطبيقات REST للإدارة المباشرة في Azure API Management آليات التحكم في الوصول المستندة إلى دور Azure Resource Manager والتخويل والتقييد، مما يزيد من ثغرة الخدمة. | تدقيق، تعطيل، رفض | 1.0.2 |
| يجب تعيين إصدار واجهة برمجة التطبيقات للحد الأدنى من APIM إلى 2019-12-01 أو أحدث | لمنع مشاركة أسرار الخدمة مع مستخدمي القراءة فقط، يتعين تعيين الحد الأدنى لإصدار واجهة برمجة التطبيقات إلى 2019-12-01 أو أحدث. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب تخزين البيانات السرية لإدارة API المسماة في Azure Key Vault | القيم المسماة هي مجموعة من أزواج الأسماء والقيم في كل خدمة APIM. يمكن تخزين القيم السرية إما كنص مشفر في APIM (أسرار مخصصة) أو عن طريق الرجوع إلى الأسرار في Azure Key Vault. لتحسين أمان إدارة واجهة برمجة التطبيقات والأسرار، راجع البيانات السرية المسماة من Azure Key Vault. يدعم Azure Key Vault إدارة الوصول متعدد المستويات ونهج تدوير البيانات السرية. | تدقيق، تعطيل، رفض | 1.0.2 |
| يجب أن تستخدم خدمات APIM شبكة ظاهرية | يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن تعطل إدارة واجهة برمجة التطبيقات الوصول إلى الشبكة العامة إلى نقاط نهاية تكوين الخدمة | لتحسين أمان خدمات APIM، قم بتقييد الاتصال بنقاط نهاية تكوين الخدمة، مثل واجهة برمجة تطبيقات إدارة الوصول المباشر أو نقطة نهاية إدارة تكوين Git أو نقطة نهاية تكوين البوابات المستضافة ذاتيا. | AuditIfNotExists، معطل | 1.0.1 |
| يجب عدم تحديد نطاق اشتراكات APIM لجميع واجهات برمجة التطبيقات | يجب تحديد نطاق اشتراكات إدارة واجهة برمجة التطبيقات لمنتج أو واجهة برمجة تطبيقات فردية بدلا من جميع واجهات برمجة التطبيقات، مما قد يؤدي إلى التعرض المفرط للبيانات. | تدقيق، تعطيل، رفض | 1.1.0 |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين شهادات العميل (شهادات العميل الواردة) لتطبيقات App Service | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين سجلات الموارد لتطبيقات App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 2.0.1 |
| تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
| يجب أن تتطلب تطبيقات App Service FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS" | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. | AuditIfNotExists، معطل | 2.0.1 |
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تتطلب المصادقة على أجهزة Linux مفاتيح SSH | على الرغم من أن SSH نفسه يوفر اتصالاً مشفراً، فإن استخدام كلمات المرور مع SSH لا يزال يترك الجهاز الظاهري عرضة لهجمات القوة الغاشمة. الخيار الأكثر أماناً للمصادقة إلى جهاز ظاهري Azure Linux عبر SSH يكون باستخدام زوج مفاتيح public-private والذي يُعرف أيضًا باسم مفاتيح SSH. اعرف المزيد:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists، معطل | 3.2.0 |
| يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes | قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة. | المراجعة، معطلة | 2.0.1 |
| يجب تشفير متغيرات حساب التنفيذ التلقائي | من المهم تمكين تشفير أصول متغير حساب التنفيذ التلقائي عند تخزين البيانات الحساسة | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تقوم موارد Azure الذكاء الاصطناعي Services بتشفير البيانات الثابتة باستخدام مفتاح مدار من قبل العميل (CMK) | يوفر استخدام المفاتيح التي يديرها العميل لتشفير البيانات الثابتة مزيدا من التحكم في دورة حياة المفتاح، بما في ذلك التدوير والإدارة. وهذا أمر ذو صلة خاصة بالمنظمات ذات متطلبات الامتثال ذات الصلة. لا يتم تقييم هذا بشكل افتراضي وينبغي تطبيقه فقط عند الحاجة إلى الامتثال أو متطلبات النهج التقييدية. إذا لم يتم تمكينها، تشفير البيانات باستخدام مفاتيح مدارة بواسطة النظام الأساسي. لتنفيذ ذلك، قم بتحديث المعلمة 'Effect' في نهج الأمان للنطاق القابل للتطبيق. | التدقيق، الرفض، التعطيل | 2.2.0 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة | من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure. | التدقيق، الرفض، التعطيل | 3.2.0 |
| يجب أن تستخدم موارد Azure الذكاء الاصطناعي Services Azure Private Link | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يقلل النظام الأساسي Private Link من مخاطر تسرب البيانات من خلال التعامل مع الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. تعرف على المزيد حول الارتباطات الخاصة في: https://aka.ms/AzurePrivateLink/Overview | المراجعة، معطلة | 1.0.0 |
| يجب أن يكون إصدار النظام الأساسي لإدارة واجهة برمجة تطبيقات Azure stv2 | سيتم إيقاف إصدار النظام الأساسي لحساب Azure API Management stv1 اعتبارا من 31 أغسطس 2024، ويجب ترحيل هذه المثيلات إلى النظام الأساسي لحساب stv2 للحصول على دعم مستمر. تعرّف على المزيد من خلال: https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يكون لدى مجموعات Kubernetes الممكنة في Azure Arc ملحق نهج Azure مثبت | يوفر ملحق Azure Policy لـAzure Arc عمليات إنفاذ وضمانات على نطاق واسع على نظام مجموعات Kubernetes الممكنة في Arc بطريقة مركزية ومتسقة. تعرّف على المزيد من خلال https://aka.ms/akspolicydoc. | AuditIfNotExists، معطل | 1.1.0 |
| يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية | تأكد من حماية الأجهزة الظاهرية Azure الخاصة بك عن طريق تمكين النسخ الاحتياطي Azure. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية | يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب أن تستخدم حسابات Azure Cosmos DB المفاتيح التي يديرها العملاء لتشفير البيانات في وضع السكون | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة Azure Cosmos DB. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/cosmosdb-cmk. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب أن يعطل Azure Cosmos DB الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم كشف حساب CosmosDB الخاص بك على شبكة الإنترنت العامة. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من كشف حساب CosmosDB الخاص بك. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل مجموعات Azure Databricks IP العام | يؤدي تعطيل IP العام للمجموعات في مساحات عمل Azure Databricks إلى تحسين الأمان من خلال ضمان عدم كشف المجموعات على الإنترنت العام. تعرف على المزيد من خلال: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تكون مساحات عمل Azure Databricks في شبكة ظاهرية | توفر شبكات Azure الظاهرية أمانا وعزلا محسنين لمساحات عمل Azure Databricks، بالإضافة إلى الشبكات الفرعية ونهج التحكم في الوصول والميزات الأخرى لتقييد الوصول بشكل أكبر. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن تعطل مساحات عمل Azure Databricks الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض المورد على الإنترنت العام. يمكنك التحكم في تعرض مواردك عن طريق إنشاء نقاط نهاية خاصة بدلا من ذلك. تعرف على المزيد من خلال: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم مساحات عمل Azure Databricks رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مساحات عمل Azure Databricks، يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/adbpe. | المراجعة، معطلة | 1.0.2 |
| يجب تمكين Azure DDoS Protection | يجب تمكين حماية DDoS لجميع الشبكات الظاهرية مع شبكة فرعية تعد جزءا من بوابة تطبيق مع IP عام. | AuditIfNotExists، معطل | 3.0.1 |
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر | يكتشف Azure Defender لقواعد البيانات العلائقية مفتوحة المصدر الأنشطة الشاذة التي تشير إلى محاولات غير عادية، وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. تعرف على المزيد حول قدرات Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر في https://aka.ms/AzDforOpenSourceDBsDocu. مهم: سيؤدي تمكين هذه الخطة إلى فرض رسوم على حماية قواعد البيانات العلائقية مفتوحة المصدر. تعرف على الأسعار في صفحة التسعير الخاصة بمركز الأمان: https://aka.ms/pricing-security-center | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| يجب تمكين Azure Defender for SQL للخوادم المرنة MySQL غير المحمية | تدقيق خوادم MySQL المرنة دون أمان البيانات المتقدم | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender for SQL لخوادم PostgreSQL المرنة غير المحمية | تدقيق خوادم PostgreSQL المرنة دون أمان البيانات المتقدم | AuditIfNotExists، معطل | 1.0.0 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب تمكين جدار حماية Azure Key Vault | قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security | التدقيق، الرفض، التعطيل | 3.2.1 |
| يجب أن تستخدم Azure Key Vaults رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| يجب أن يتم تمكين ملف تعريف Azure Defender لمجموعات خدمة Azure Kubernetes | يوفر Microsoft Defender for Containers إمكانات أمان Kubernetes الأصلية في السحابة بما في ذلك تعزيز البيئة وحماية أحمال العمل وحماية وقت التشغيل. عند تمكين SecurityProfile.AzureDefender على مجموعة خدمة Azure Kubernetes، يتم نشر وكيل في المجموعة الخاصة بك لجمع بيانات أحداث الأمان. تعرف على المزيد حول Microsoft Defender for Containers في https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | المراجعة، معطلة | 2.0.1 |
| يجب إعادة إنشاء مثيلات حساب Azure التعلم الآلي للحصول على آخر تحديثات البرامج | تأكد من تشغيل مثيلات حساب Azure التعلم الآلي على أحدث نظام تشغيل متوفر. يتم تحسين الأمان وتقليل الثغرات الأمنية عن طريق التشغيل باستخدام أحدث تصحيحات الأمان. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| يجب أن تكون حسابات Azure التعلم الآلي في شبكة ظاهرية | توفر شبكات Azure الظاهرية أمانا وعزلا محسنين ل Azure التعلم الآلي حوسبة المجموعات والمثيلات، بالإضافة إلى الشبكات الفرعية ونهج التحكم في الوصول والميزات الأخرى لتقييد الوصول بشكل أكبر. عند تكوين حساب مع شبكة ظاهرية، فإنه لا يمكن معالجته بشكل عام ولا يمكن الوصول إليه إلا من الأجهزة والتطبيقات الظاهرية داخل الشبكة الظاهرية. | المراجعة، معطلة | 1.0.1 |
| يجب أن يكون لدى حسابات Azure التعلم الآلي أساليب مصادقة محلية معطلة | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من أن التعلم الآلي الحسابات تتطلب هويات Azure Active Directory حصريا للمصادقة. تعرف على المزيد من خلال: https://aka.ms/azure-ml-aad-policy. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب تشفير مساحات العمل الخاصة بـ Azure Machine Learning باستخدام مفتاح مُدار من قِبل العميل | إدارة تشفير البيانات الثابتة بيانات مساحة عمل Azure التعلم الآلي باستخدام مفاتيح مدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/azureml-workspaces-cmk. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تعطل مساحات عمل Azure التعلم الآلي الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم كشف مساحات عمل التعلم الآلي على الإنترنت العام. يمكنك التحكم في تعرض مساحات العمل الخاصة بك عن طريق إنشاء نقاط نهاية خاصة بدلا من ذلك. تعرف على المزيد في: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&؛ tabs=azure-portal. | التدقيق، الرفض، التعطيل | 2.0.1 |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
| يجب تمكين مصادقة Microsoft Entra فقط لخادم Azure MySQL المرن | يؤدي تعطيل أساليب المصادقة المحلية والسماح بمصادقة Microsoft Entra فقط إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى خادم Azure MySQL المرن حصريا بواسطة هويات Microsoft Entra. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات | تمتد الوظيفة الإضافية لسياسة Azure Policy لخدمة Kubernetes (AKS) إلى Gatekeeper v3، webhook وحدة تحكم القبول لعامل Open Policy Agent(OPA)، لتطبيق إنفاذ على نطاق واسع وضمانات على المجموعات بطريقة مركزية ومتسقة. | المراجعة، معطلة | 1.0.2 |
| يجب أن تحتوي صور حاوية سجل Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender) | يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. يمكن أن يؤدي حل الثغرات الأمنية إلى تحسين وضع الأمان بشكل كبير، مما يضمن أن الصور آمنة للاستخدام قبل النشر. | AuditIfNotExists، معطل | 1.0.1 |
| يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender) | يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. توفر هذه التوصية رؤية للصور الضعيفة التي تعمل حاليا في مجموعات Kubernetes الخاصة بك. معالجة الثغرات الأمنية في صور الحاوية التي يتم تشغيلها حاليا هو المفتاح لتحسين وضع الأمان الخاص بك، ما يقلل بشكل كبير من سطح الهجوم لأحمال العمل المعبأة في حاويات. | AuditIfNotExists، معطل | 1.0.1 |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن يستخدم Azure Spring Cloud ميزة إضافة الشبكة | يجب أن تستخدم مثيلات Azure Spring Cloud إدخال الشبكة الظاهرية للأغراض التالية: 1. عزل Azure Spring Cloud من الإنترنت. 2. تمكين Azure Spring Cloud من التفاعل مع الأنظمة في مركز البيانات المحلية أو خدمة Azure في الشبكات الظاهرية الأخرى. 3. تمكين العملاء من التحكم في اتصالات الشبكة الواردة والصادرة لـ Azure Spring Cloud. | تدقيق، تعطيل، رفض | 1.2.0 |
| يجب تشغيل Azure SQL Database الإصدار 1.2 من بروتوكول أمان طبقة النقل (TLS) أو إصدار أحدث | يؤدي تعيين إصدار بروتوكول أمان طبقة النقل (TLS) إلى 1.2 أو إصدار أحدث إلى تحسين الأمان من خلال التأكد من أنه لا يمكن الوصول إلى Azure SQL Database إلا من العملاء الذين يستخدمون الإصدار TLS 1.2 أو إصداراً أحدث. ولا ينصح باستخدام إصدارات من TLS أقل من 1.2 نظراً لأنها تحتوي على ثغرات أمنية موثقة بشكل جيد. | تدقيق، تعطيل، رفض | 2.0.0 |
| يجب تمكين مصادقة Microsoft Entra فقط لقاعدة بيانات Azure SQL | طلب خوادم Azure SQL المنطقية لاستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إنشاء الخوادم مع تمكين المصادقة المحلية. يمنع تمكين المصادقة المحلية على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/adonlycreate. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين مصادقة Microsoft Entra فقط في قاعدة بيانات Azure SQL أثناء الإنشاء | طلب إنشاء خوادم Azure SQL المنطقية باستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إعادة تمكين المصادقة المحلية على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/adonlycreate. | التدقيق، الرفض، التعطيل | 1.2.0 |
| يجب تمكين مصادقة Microsoft Entra فقط لمثيل Azure SQL المدار | طلب Azure SQL Managed Instance لاستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إنشاء مثيلات Azure SQL المدارة مع تمكين المصادقة المحلية. يمنع تمكين المصادقة المحلية على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/adonlycreate. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تقوم مثيلات Azure SQL المدارة بتعطيل الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة (نقطة النهاية العامة) على مثيلات Azure SQL المدارة إلى تحسين الأمان من خلال التأكد من أنه لا يمكن الوصول إليها إلا من داخل شبكاتها الظاهرية أو عبر نقاط النهاية الخاصة. لمعرفة المزيد حول الوصول إلى الشبكة العامة، قم بزيارة https://aka.ms/mi-public-endpoint. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يكون لدى مثيلات Azure SQL المدارة مصادقة Microsoft Entra فقط ممكنة أثناء الإنشاء | طلب إنشاء مثيل Azure SQL المدار باستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إعادة تمكين المصادقة المحلية على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/adonlycreate. | التدقيق، الرفض، التعطيل | 1.2.0 |
| يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure | يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يكون للشهادات أقصى فترة صلاحية محددة | إدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد الحد الأقصى من الوقت الذي يمكن أن تكون الشهادة صالحة داخل مخزن المفتاح الخاص بك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.2.1 |
| يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون بمحتويات السجلات. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/acr/CMK. | التدقيق، الرفض، التعطيل | 1.1.2 |
| يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة | تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. تعرف على المزيد حول قواعد شبكة سجل الحاويات هنا: https://aka.ms/acr/privatelinkوhttps://aka.ms/acr/portal/public-network.https://aka.ms/acr/vnet | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
| يجب تعطيل أساليب المصادقة لحسابات قاعدة بيانات Cosmos DB | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان عن طريق ضمان أن تتطلب حسابات قاعدة بيانات Cosmos DB هويات Azure Active Directory على وجه الحصر للمصادقة. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب تمكين سجلات التشخيص في موارد خدمات Azure الذكاء الاصطناعي | تمكين السجلات لموارد خدمات Azure الذكاء الاصطناعي. يمكنك هذا من إعادة إنشاء مسارات النشاط لأغراض التحقيق، عند حدوث حادث أمان أو اختراق شبكتك | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.2.0 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.1.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL | قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| تطبيقات الوظائف يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 5.0.0 |
| يجب أن تتطلب تطبيقات الوظائف FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 2.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB | تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL | تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure | يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure | يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.3 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية | يجب أن يكون لمفاتيح التشفير تاريخ انتهاء صلاحية محدد وألا تكون دائمة. توفر المفاتيح الصالحة إلى الأبد للمهاجم المحتمل المزيد من الوقت لاختراق المفتاح. من المستحسن أن يتم تعيين تواريخ انتهاء الصلاحية على مفاتيح التشفير. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن يكون لأسرار Key Vault تاريخ انتهاء صلاحية | يجب أن يكون للأسرار تاريخ انتهاء صلاحية محدد وألا تكون دائمة. الأسرار التي هي صالحة إلى الأبد توفر للمهاجم المحتمل مع المزيد من الوقت للتنازل عنها. من الممارسات الأمنية الموصى بها تعيين تواريخ انتهاء الصلاحية على الأسرار. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب تمكين حماية الحذف في خزائن المفاتيح | يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب تمكين الحذف المبدئي في Key vaults | يؤدي حذف key vault من دون حذف مبدئي ممكن إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في key vault نهائيًا. يمكن أن يؤدي الحذف العرضي لمخزن البيانات السرية إلى فقدان دائم للبيانات. يتيح لك الحذف الناعم استرداد مخزن مفاتيح تم حذفها عن طريق الخطأ لفترة استبقاء قابلة للتكوين. | التدقيق، الرفض، التعطيل | 3.0.0 |
| يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة | فرض حاوية CPU وحدود موارد الذاكرة لمنع هجمات استنفاد الموارد في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.3.0 |
| يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة | قم بحظر حاويات الجراب من مشاركة مساحة اسم معرف عملية المضيف ومساحة اسم IPC المضيف في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.2 وCIS 5.2.3 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.2.0 |
| يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب أن تستخدم الحاويات ملفات تعريف AppArmor المسموح بها فقط في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها | يجب تقييد القدرات لخفض سطح الهجوم من الحاويات في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.8 وCIS 5.2.9 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط | استخدم الصور من السجلات الموثوق بها لتقليل خطر تعرض مجموعة Kubernetes للثغرات الأمنية غير المعروفة ومشكلات الأمان والصور الضارة. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.3.0 |
| يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط | تشغيل حاويات مع نظام ملفات جذر للقراءة فقط للحماية من التغييرات في وقت التشغيل مع الثنائيات الضارة التي يتم إضافتها إلى PATH في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.3.0 |
| يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط | تحميل حجم جراب HostPath الحد إلى مسارات المضيف المسموح به في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS) وKubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة | التحكم في المستخدم، المجموعة الأساسية، المجموعة التكميلية ومعرفات مجموعة نظام الملفات التي يمكن استخدامها pods وحاويات لتشغيل في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط | تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.4 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب تقييد الخدمات للاستماع فقط على المنافذ المسموح بها لتأمين الوصول إلى مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.2.0 |
| يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة | لا تسمح بإنشاء حاويات مميزة في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.1 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.2.0 |
| يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS | يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. هذه الإمكانية متاحة حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة ل Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.2.0 |
| يجب أن تقوم مجموعات Kubernetes بتعطيل بيانات اعتماد API للتحميل التلقائي | يجب تعطيل تحميل بيانات اعتماد واجهة برمجة التطبيقات تلقائياً لمنع مورد Pod الذي يُحتمل تعرضه للخطر لتشغيل أوامر واجهة برمجة التطبيقات ضد مجموعات Kubernetes. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 4.2.0 |
| يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية | لا تسمح بتشغيل الحاويات مع التصعيد امتياز الجذر في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.5 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاص بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.2.0 |
| المعاينة: يجب ألا تمنح مجموعات Kubernetes إمكانيات أمان CAP_SYS_ADMIN | لتقليل السطح المعرض للهجوم في الحاويات الخاصة بك، قم بتقييد قدرات CAP_SYS_ADMIN Linux. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.0 |
| يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية | يجب منع استخدام مساحة الاسم الافتراضية في مجموعات Kubernetes للحماية من الوصول غير المصرح به لأنواع موارد ConfigMap وPod وSecret وService وServiceAccount. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 4.2.0 |
| يجب أن تلبي أجهزة Linux المتطلبات الأساسية لأمان حساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure. | AuditIfNotExists، معطل | 2.2.0 |
| يجب أن تمكن أجهزة Linux الظاهرية تشفير قرص Azure أو EncryptionAtHost. | على الرغم من أن نظام تشغيل الجهاز الظاهري وأقراص البيانات مشفرة في حالة عدم التشغيل بشكل افتراضي باستخدام مفاتيح مدارة بواسطة النظام الأساسي؛ لا يتم تشفير أقراص الموارد (الأقراص المؤقتة) وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين موارد الحوسبة والتخزين. استخدم تشفير قرص Azure أو EncryptionAtHost للمعالجة. تفضل بزيارة https://aka.ms/diskencryptioncomparison لمقارنة عروض التشفير. يتطلب هذا النهج شرطين أساسيين لنشرهما في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.2.1 |
| يجب تكوين الأجهزة للتحقق بشكل دوري من وجود تحديثات نظام مفقودة | لضمان تشغيل التقييمات الدورية لتحديثات النظام المفقودة تلقائياً كل 24 ساعة، يجب تعيين خاصية "AssessmentMode" على "AutomaticByPlatform". تعرف على المزيد حول خاصية "AssessmentMode" لنظام التشغيل Windows: https://aka.ms/computevm-windowspatchassessmentmode، لنظام التشغيل Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | التدقيق، الرفض، التعطيل | 3.7.0 |
| يجب أن يكون لدى الأجهزة نتائج سرية تم حلها | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تحتوي على نتائج سرية من حلول مسح البيانات السرية على أجهزتك الظاهرية. | AuditIfNotExists، معطل | 1.0.2 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين Microsoft إدارة وضع الأمان السحابي في Defender | توفر Defender Cloud Security Posture Management (CSPM) قدرات وضع محسنة ورسما بيانيا ذكيا جديدا للأمان السحابي للمساعدة في تحديد المخاطر وتحديد أولوياتها وتقليلها. يتوفر إدارة وضع الأمان السحابي في Defender بالإضافة إلى قدرات وضع الأمان الأساسية المجانية التي يتم تشغيلها بشكل افتراضي في Defender for Cloud. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لواجهة برمجة التطبيقات | يوفر Microsoft Defender لواجهات برمجة التطبيقات اكتشافا وحماية واكتشافا وتغطية استجابة جديدة لمراقبة الهجمات الشائعة المستندة إلى واجهة برمجة التطبيقات والتكوينات الخاطئة للأمان. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لـ SQL لمساحات عمل Synapse غير المحمية | تمكين Defender for SQL لحماية مساحات عمل Synapse الخاصة بك. يقوم Defender for SQL بمراقبة Synapse SQL لاكتشاف الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. | AuditIfNotExists، معطل | 1.0.0 |
| يجب حماية Microsoft Defender لحالة SQL لخوادم SQL الممكنة بواسطة Arc | يوفر Microsoft Defender for SQL وظائف لعرض الثغرات الأمنية المحتملة في قاعدة البيانات والتخفيف منها، واكتشاف الأنشطة الشاذة التي قد تشير إلى تهديدات لقواعد بيانات SQL، واكتشاف البيانات الحساسة وتصنيفها. بمجرد التمكين، تشير حالة الحماية إلى أنه تتم مراقبة المورد بنشاط. حتى عند تمكين Defender، يجب التحقق من صحة إعدادات التكوين المتعددة على العامل والجهاز ومساحة العمل وخادم SQL لضمان الحماية النشطة. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خوادم MySQL. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | AuditIfNotExists، معطل | 1.0.4 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis | تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خوادم PostgreSQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة تشفير البيانات الثابتة لخوادم PostgreSQL لديك. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | AuditIfNotExists، معطل | 1.0.4 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين نقطة النهاية الخاصة لخوادم MySQL | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP. | التدقيق، الرفض، التعطيل | 2.0.1 |
| يجب تمكين سجلات الموارد في Azure Data Lake Store | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في مساحات عمل Azure Databricks | تمكن سجلات الموارد من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحقيق عند حدوث حادث أمان أو عند اختراق الشبكة. | AuditIfNotExists، معطل | 1.0.1 |
| ينبغي تمكين سجلات الموارد في Azure Kubernetes Service | يمكن أن تساعد سجلات موارد Azure Kubernetes Service في إعادة إنشاء مسارات الأنشطة عند التحقيق في حوادث الأمان. تمكينه للتأكد من وجود السجلات عند الحاجة | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين سجلات الموارد في Azure التعلم الآلي Workspaces | تمكن سجلات الموارد من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحقيق عند حدوث حادث أمان أو عند اختراق الشبكة. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين سجلات الموارد في Azure Stream Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في حسابات Batch | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Data Lake Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Event Hub | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في مركز IoT | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 3.1.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Logic Apps | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.1.0 |
| يجب تمكين سجلات الموارد في خدمات البحث | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Service Bus | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services | لتوفير تصفية تجميعية على الإجراءات التي يمكن للمستخدمين تنفيذها، استخدم التحكم المستند إلى الأدوار (RBAC) في الوصول لإدارة الأذونات في مجموعات خدمة Kubernetes، وتكوين نهج التفويض ذات الصلة. | المراجعة، معطلة | 1.0.4 |
| يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign | يوفر Service Fabric ثلاثة مستويات من الحماية (None، وSign، وEncryptAndSign) للاتصال عقدة إلى عقدة باستخدام شهادة نظام مجموعة أساسية. تعيين مستوى الحماية لضمان تشفير كافة رسائل العقدة إلى العقدة وتوقيعها رقميا | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
| ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية | رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات. | AuditIfNotExists، معطل | 4.1.0 |
| يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تمكين التزويد التلقائي المستهدف من قبل خادم SQL لخوادم SQL على خطة الأجهزة | لضمان حماية أجهزة SQL الظاهرية وخوادم SQL الممكنة بواسطة Arc، تأكد من تكوين عامل مراقبة Azure المستهدف من SQL للتوزيع تلقائيا. هذا ضروري أيضا إذا كنت قد قمت مسبقا بتكوين التزويد التلقائي ل Microsoft Monitoring Agent، حيث يتم إهمال هذا المكون. تعرَّف على المزيد: https://aka.ms/SQLAMAMigration | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يتم حل نتائج الثغرات الأمنية في خوادم SQL على الأجهزة | يقوم تقييم الثغرات الأمنية في SQL بفحص قاعدة البيانات بحثًا عن أي ثغرات أمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات الزائدة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عُثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.1 |
| ينبغي تكوين خوادم SQL لاستخدام التدقيق لوجهة حساب التخزين مع الاحتفاظ بهذه السجلات لمدة 90 يومًا أو أكثر | لأغراض التحقيق في الحوادث، نوصي بتعيين الاحتفاظ بالبيانات لمراجعة SQL Server إلى وجهة حساب التخزين لمدة 90 يومًا على الأقل. تأكد من الاستيفاء بقواعد الاحتفاظ الضرورية للمناطق التي تعمل فيها. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية. | AuditIfNotExists، معطل | 3.0.0 |
| يجب ترحيل حسابات التخزين إلى موارد Azure Resource Manager الجديدة | استخدم Azure Resource Manager الجديد لحسابات التخزين لتزويد تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، وتحسين التدقيق، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى مخزن البيانات السرية، والمصادقة المستندة إلى Microsoft Azure Active Directory ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تمنع حسابات التخزين الوصول إلى المفتاح المشترك | راجع متطلبات Azure Active Directory (Azure AD) لتخويل طلبات حساب التخزين الخاص بك. بشكل افتراضي، يمكن تخويل الطلبات باستخدام بيانات اعتماد Azure Active Directory، أو باستخدام مفتاح الوصول إلى الحساب لمصادقة المفتاح المشترك. ومن بين نوعي التخويل هذين، يوفر Azure AD أمانًا فائقًا وسهولة أكثر في الاستخدام عبر المفتاح المشترك، وتوصي به Microsoft. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية | احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم حسابات التخزين مفتاحاً مداراً من قبل العميل للتشفير | أمّن الكائن الثنائي كبير الحجم وحساب تخزين الملفات بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | المراجعة، معطلة | 1.0.3 |
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين مصادقة Microsoft Entra فقط لمساحات عمل Synapse | طلب مساحات عمل Synapse لاستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إنشاء مساحات العمل مع تمكين المصادقة المحلية. يمنع تمكين المصادقة المحلية على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/Synapse. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم مساحات عمل Synapse هويات Microsoft Entra فقط للمصادقة أثناء إنشاء مساحة العمل | طلب إنشاء مساحات عمل Synapse باستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إعادة تمكين المصادقة المحلية على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/Synapse. | التدقيق، الرفض، التعطيل | 1.2.0 |
| يجب تثبيت تحديثات النظام على مجموعات مقياس الجهاز الظاهري | مراجعة ما إذا كانت هناك أي تحديثات أمان للنظام مفقودة والتحديثات المهمة التي يجب تثبيتها لضمان أن مجموعات نطاقات الجهاز الظاهري Windows وLinux آمنة. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي تثبيت تحديثات النظام على أجهزتك | سيراقب Azure Security Center تحديثات نظام الأمان المفقودة على خوادمك من قبيل التوصيات | AuditIfNotExists، معطل | 4.0.0 |
| يجب تثبيت تحديثات النظام على الأجهزة الخاصة بك (مدعومة من مركز التحديث) | تفتقد أجهزتك إلى النظام والأمان والتحديثات الهامة. غالبًا ما تتضمن تحديثات البرامج تصحيحات حرجة لثقوب الأمان. يتم استغلال هذه الثقوب في كثير من الأحيان في هجمات البرامج الضارة لذلك من الضروري الحفاظ على تحديث برنامجك. لتثبيت جميع التصحيحات المعلقة وتأمين أجهزتك، اتبع خطوات المعالجة. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تعيين أكثر من مالك واحد لاشتراكك | يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين التشفير على المضيف في الأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري | استخدم التشفير في المضيف للحصول على تشفير من طرف إلى طرف لجهازك الظاهري وبيانات مجموعة مقياس الجهاز الظاهري. التشفير في المضيف يتيح تشفير البيانات الثابتة للقرص المؤقت الخاص بك وذاكرة التخزين المؤقت لـ OS/قرص البيانات. يتم تشفير أقراص OS المؤقتة والزائلة باستخدام مفاتيح تتم إدارتها من خلال النظام الأساسي عند تمكين التشفير في المضيف. يتم تشفير ذاكرة التخزين المؤقت لأقراص OS/data في حالة راحة باستخدام مفتاح مدار من قبل العميل أو مفتاح مدار بواسطة النظام الأساسي، وذلك حسب نوع التشفير المحدد على القرص. تعرّف على المزيد من خلال https://aka.ms/vm-hbe. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة | استخدم إدارة موارد Azure الجديدة للأجهزة الظاهرية لتوفير تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، والمراجعة الأفضل، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى خزنة المفاتيح للأسرار، والمصادقة المستندة إلى Azure AD، ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
| يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | تدقيق، تعطيل، رفض | 1.1.0 |
| يجب أن تستخدم بوابات VPN مصادقة Azure Active Directory (Azure AD) فقط لمستخدمي نقطة إلى موقع | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من استخدام بوابات الشبكة الخاصة الافتراضية معرفات Azure Active Directory فقط للمصادقة. تعرف على المزيد حول مصادقة Azure AD على https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
| ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار | مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.1 |
| ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك | تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 2.0.0 |
| يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة | لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة. | AuditIfNotExists، معطل | 4.1.1 |
| يجب أن تفي الأجهزة التي تعمل بنظام التشغيل Windows بمتطلبات أساس أمان حساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تمكن أجهزة Windows الظاهرية تشفير قرص Azure أو EncryptionAtHost. | على الرغم من أن نظام تشغيل الجهاز الظاهري وأقراص البيانات مشفرة في حالة عدم التشغيل بشكل افتراضي باستخدام مفاتيح مدارة بواسطة النظام الأساسي؛ لا يتم تشفير أقراص الموارد (الأقراص المؤقتة) وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين موارد الحوسبة والتخزين. استخدم تشفير قرص Azure أو EncryptionAtHost للمعالجة. تفضل بزيارة https://aka.ms/diskencryptioncomparison لمقارنة عروض التشفير. يتطلب هذا النهج شرطين أساسيين لنشرهما في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.1.1 |
فئة Microsoft Defender for Cloud
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب تثبيت عامل أمان Azure على أجهزة Linux Arc | قم بتثبيت عامل أمان Azure على أجهزة Linux Arc لمراقبة أجهزتك بحثًا عن تكوينات الأمان والثغرات الأمنية. يمكن رؤية نتائج التقييمات وإدارتها في مركز أمان Azure. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تثبيت عامل أمان Azure على مجموعات مقياس الجهاز الظاهري Linux | قم بتثبيت عامل أمان Azure على مجموعات مقاييس أجهزة Linux الظاهرية لمراقبة أجهزتك بحثًا عن تكوينات الأمان والثغرات الأمنية. يمكن رؤية نتائج التقييمات وإدارتها في مركز أمان Azure. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: يجب تثبيت عامل أمان Azure على أجهزة Linux الظاهرية | قم بتثبيت عامل أمان Azure على أجهزة Linux الظاهرية لمراقبة أجهزتك بحثًا عن تكوينات الأمان والثغرات الأمنية. يمكن رؤية نتائج التقييمات وإدارتها في مركز أمان Azure. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: يجب تثبيت عامل أمان Azure على أجهزة Windows Arc | قم بتثبيت عامل أمان Azure على أجهزة Windows Arc لمراقبة أجهزتك بحثًا عن تكوينات الأمان والثغرات الأمنية. يمكن رؤية نتائج التقييمات وإدارتها في مركز أمان Azure. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تثبيت عامل أمان Azure على مجموعات مقياس الجهاز الظاهري ل Windows | قم بتثبيت عامل أمان Azure على مجموعات مقاييس أجهزة Windows الظاهرية لمراقبة أجهزتك بحثًا عن تكوينات الأمان والثغرات الأمنية. يمكن رؤية نتائج التقييمات وإدارتها في مركز أمان Azure. | AuditIfNotExists، معطل | -preview 2.1.0 |
| [معاينة]: يجب تثبيت عامل أمان Azure على الأجهزة الظاهرية التي تعمل بنظام Windows | قم بتثبيت عامل أمان Azure على أجهزة Windows الظاهرية لمراقبة أجهزتك بحثًا عن تكوينات الأمان والثغرات الأمنية. يمكن رؤية نتائج التقييمات وإدارتها في مركز أمان Azure. | AuditIfNotExists، معطل | -preview 2.1.0 |
| [معاينة]: يجب تثبيت ملحق ChangeTracking على جهاز Linux Arc | قم بتثبيت ملحق ChangeTracking على أجهزة Linux Arc لتمكين مراقبة تكامل الملفات (FIM) في Azure Security Center. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitoring Agent. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق ChangeTracking على جهازك الظاهري الذي يعمل بنظام Linux | قم بتثبيت ملحق ChangeTracking على أجهزة Linux الظاهرية لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitoring Agent. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق ChangeTracking على مجموعات مقياس الجهاز الظاهري Linux | قم بتثبيت ملحق ChangeTracking على مجموعات مقياس أجهزة Linux الظاهرية لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitoring Agent. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق ChangeTracking على جهاز Windows Arc | قم بتثبيت ملحق ChangeTracking على أجهزة Windows Arc لتمكين مراقبة تكامل الملفات (FIM) في Azure Security Center. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitoring Agent. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق ChangeTracking على جهازك الظاهري الذي يعمل بنظام Windows | قم بتثبيت ملحق ChangeTracking على أجهزة Windows الظاهرية لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitoring Agent. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق ChangeTracking على مجموعات مقياس الجهاز الظاهري ل Windows | قم بتثبيت ملحق ChangeTracking على مجموعات مقياس أجهزة Windows الظاهرية لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitoring Agent. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين Azure Defender لعامل SQL على الجهاز الظاهري | تكوين أجهزة Windows لتثبيت Azure Defender لوكيل SQL تلقائيًا حيث تم تثبيت Azure Monitor Agent. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يُنشئ مجموعة موارد ومساحة عمل تحليلات السجل في نفس منطقة الجهاز. يجب أن تكون الأجهزة الظاهرية المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين ChangeTracking Extension لأجهزة Linux Arc | قم بتكوين أجهزة Linux Arc لتثبيت ملحق ChangeTracking تلقائياً لتمكين File Integrity Monitoring(FIM) في Azure Security Center. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitor Agent. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين ChangeTracking Extension لمجموعات مقياس الجهاز الظاهري Linux | قم بتكوين مجموعات مقياس جهاز Linux الظاهري لتثبيت ملحق ChangeTracking تلقائياً لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitor Agent. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين ChangeTracking Extension لأجهزة Linux الظاهرية | قم بتكوين أجهزة Linux الظاهرية لتثبيت ملحق ChangeTracking تلقائياً لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitor Agent. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين ChangeTracking Extension لأجهزة Windows Arc | قم بتكوين أجهزة Windows Arc لتثبيت ملحق ChangeTracking تلقائياً لتمكين File Integrity Monitoring(FIM) في Azure Security Center. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitor Agent. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين ChangeTracking Extension لمجموعات مقياس الجهاز الظاهري ل Windows | قم بتكوين مجموعات مقياس جهاز Windows الظاهري لتثبيت ملحق ChangeTracking تلقائياً لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitor Agent. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين ChangeTracking Extension للأجهزة الظاهرية التي تعمل بنظام Windows | قم بتكوين أجهزة Windows الظاهرية لتثبيت ملحق ChangeTracking تلقائياً لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitor Agent. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين أجهزة Linux Arc المدعومة لتثبيت عامل أمان Azure تلقائيا | تكوين أجهزة Linux Arc المدعومة لتثبيت عامل أمان Azure تلقائيًا. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يجب أن تكون أجهزة Linux Arc المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين مجموعات مقياس الجهاز الظاهري ل Linux المدعومة لتثبيت عامل أمان Azure تلقائيا | تكوين مجموعات مقاييس أجهزة Linux الظاهرية المدعومة لتثبيت عامل أمان Azure تلقائيًا. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يجب أن تكون الأجهزة الظاهرية المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين مجموعات مقياس الجهاز الظاهري ل Linux المدعومة لتثبيت ملحق Guest Attestation تلقائيا | تكوين مجموعات مقياس أجهزة Linux الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيًا للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | 6.1.0-إصدار أولي |
| [معاينة]: تكوين أجهزة Linux الظاهرية المدعومة لتمكين التمهيد الآمن تلقائيا | تكوين أجهزة Linux الظاهرية المدعومة لتمكين التمهيد الآمن تلقائيًا للتخفيف من التغييرات الضارة وغير المصرح بها لسلسلة التمهيد. بمجرد التمكين، سيتم السماح بتشغيل أدوات تحميل التشغيل وkernel وبرامج تشغيله فقط. | DeployIfNotExists، معطل | معاينة 5.0.0 |
| [معاينة]: تكوين أجهزة Linux الظاهرية المدعومة لتثبيت عامل أمان Azure تلقائيا | تكوين أجهزة Linux الظاهرية المدعومة لتثبيت وكيل Azure Security تلقائيًا. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يجب أن تكون الأجهزة الظاهرية المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | 7.0.0-معاينة |
| [معاينة]: تكوين أجهزة Linux الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيا | تكوين أجهزة Linux الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيًا للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | 7.1.0-معاينة |
| [معاينة]: تكوين الأجهزة الظاهرية المدعومة لتمكين vTPM تلقائيا | تكوين الأجهزة الظاهرية المدعومة لتمكين vTPM تلقائيًا لتسهيل Measured Boot وميزات أمان نظام التشغيل الأخرى التي تتطلب TPM. بمجرد تمكين vTPM يمكن استخدامها لتشهد تكامل التمهيد. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين أجهزة Windows Arc المدعومة لتثبيت عامل أمان Azure تلقائيا | تكوين أجهزة Windows Arc المدعومة لتثبيت عامل أمان Azure تلقائيًا. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يجب أن تكون أجهزة Windows Arc المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين أجهزة Windows المدعومة لتثبيت عامل أمان Azure تلقائيا | تكوين أجهزة Windows المدعومة لتثبيت وكيل Azure Security تلقائيًا. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يجب أن تكون الأجهزة الظاهرية المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | معاينة 5.1.0 |
| [معاينة]: تكوين مجموعات مقياس الجهاز الظاهري ل Windows المدعومة لتثبيت عامل أمان Azure تلقائيا | تكوين مجموعات مقاييس أجهزة Windows الظاهرية المدعومة لتثبيت عامل أمان Azure تلقائيًا. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يجب أن تكون مجموعات مقاييس أجهزة Windows الظاهرية المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | -preview 2.1.0 |
| [معاينة]: تكوين مجموعات مقياس الجهاز الظاهري ل Windows المدعومة لتثبيت ملحق Guest Attestation تلقائيا | تكوين مجموعات مقياس أجهزة Windows الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيًا للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | معاينة 4.1.0 |
| [معاينة]: تكوين أجهزة Windows الظاهرية المدعومة لتمكين التمهيد الآمن تلقائيا | تكوين أجهزة Windows الظاهرية المدعومة لتمكين التمهيد الآمن تلقائيًا للتخفيف من التغييرات الضارة وغير المصرح بها لسلسلة التمهيد. بمجرد التمكين، سيتم السماح بتشغيل أدوات تحميل التشغيل وkernel وبرامج تشغيله فقط. | DeployIfNotExists، معطل | 3.0.0 - المعاينة |
| [معاينة]: تكوين أجهزة Windows الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيا | تكوين أجهزة Windows الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيًا للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | معاينة 5.1.0 |
| [معاينة]: تكوين الأجهزة الظاهرية التي تم إنشاؤها باستخدام صور معرض الصور المشتركة لتثبيت ملحق Guest Attestation | قم بتكوين الأجهزة الظاهرية التي تم إنشاؤها باستخدام صور Shared Image Gallery لتثبيت ملحق Guest Attestation تلقائياً للسماح لمركز أمان Azure بالتصديق على تكامل التشغيل ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين VMSS الذي تم إنشاؤه باستخدام صور معرض الصور المشتركة لتثبيت ملحق Guest Attestation | قم بتكوين مجموعات مقياس الأجهزة الظاهرية (VMSS) التي تم إنشاؤها باستخدام صور Shared Image Gallery لتثبيت ملحق Guest Attestation تلقائياً للسماح لمركز أمان Azure بالتصديق على تكامل التشغيل ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | -preview 2.1.0 |
| [معاينة]: نشر عامل Microsoft Defender لنقطة النهاية على أجهزة Linux المختلطة | يوزع عامل Microsoft Defender for Endpoint نقطة النهاية على أجهزة Linux المختلطة | DeployIfNotExists، AuditIfNotExists، معطل | 2.0.1-معاينة |
| [معاينة]: نشر عامل Microsoft Defender لنقطة النهاية على أجهزة Linux الظاهرية | يوزع عامل Microsoft Defender لنقطة النهاية على صور جهاز Linux الظاهري القابلة للتطبيق. | DeployIfNotExists، AuditIfNotExists، معطل | 3.0.0 - المعاينة |
| [معاينة]: نشر عامل Microsoft Defender لنقطة النهاية على أجهزة Windows Azure Arc | يوزع Microsoft Defender for Endpoint على أجهزة Windows Azure Arc. | DeployIfNotExists، AuditIfNotExists، معطل | 2.0.1-معاينة |
| [معاينة]: نشر عامل Microsoft Defender لنقطة النهاية على أجهزة Windows الظاهرية | يوزع Microsoft Defender لنقطة النهاية على صور أجهزة Windows الظاهرية القابلة للتطبيق. | DeployIfNotExists، AuditIfNotExists، معطل | 2.0.1-معاينة |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على أجهزة Linux الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على أجهزة التشغيل الموثوقة وLinux الظاهرية السرية. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس أجهزة Linux الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على مجموعات مقياس أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري Trusted Launch و Confidential Linux. | AuditIfNotExists، معطل | معاينة 5.1.0 |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على الأجهزة Windows الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية. | AuditIfNotExists، معطل | معاينة 4.0.0 |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس الأجهزة Windows الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على مجموعات مقياس الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري الموثوق بها وWindows السرية. | AuditIfNotExists، معطل | 3.1.0-المعاينة |
| [معاينة]: يجب أن تستخدم أجهزة Linux الظاهرية مكونات التمهيد الموقعة والموثوق بها فقط | يجب توقيع جميع مكونات تمهيد نظام التشغيل (محمل التمهيد، النواة، برامج تشغيل النواة) من قبل ناشرين موثوق بهم. حدد Defender for Cloud مكونات تمهيد نظام التشغيل غير الموثوق بها على واحد أو أكثر من أجهزة Linux الخاصة بك. لحماية أجهزتك من المكونات الضارة المحتملة، أضفها إلى قائمة السماح أو قم بإزالة المكونات المحددة. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تستخدم أجهزة Linux الظاهرية التمهيد الآمن | للحماية من تثبيت أدوات التشغيل الجذرية ومجموعات التمهيد المستندة إلى البرامج الضارة، قم بتمكين Secure Boot على أجهزة Linux الافتراضية المدعومة. يضمن Secure Boot السماح بتشغيل أنظمة التشغيل وبرامج التشغيل الموقعة فقط. ينطبق هذا التقييم فقط على أجهزة Linux الظاهرية التي تم تثبيت Azure Monitor Agent عليها. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب أن يكون لدى الأجهزة منافذ مغلقة قد تعرض ناقلات الهجوم | تحظر شروط استخدام Azure استخدام خدمات Azure بطرق قد تؤدي إلى إتلاف أو تعطيل أو زيادة العبء أو الإضرار بأي خادم أو شبكة Microsoft. يجب إغلاق المنافذ المكشوفة التي حددتها هذه التوصية للحفاظ على أمانك. وتقدم التوصية أيضاً تفسيراً للتهديد المحتمل لكل منفذ محدد. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تمكين التشغيل الآمن على الأجهزة Windows الظاهرية المعتمدة | قم بتمكين التمهيد الآمن على أجهزة Windows الظاهرية المدعومة؛ للتخفيف من التغييرات الضارة وغير المصرح بها لسلسلة التمهيد. بمجرد التمكين، سيتم السماح بتشغيل أدوات تحميل التشغيل وkernel وبرامج تشغيله فقط. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية. | المراجعة، معطلة | معاينة 4.0.0 |
| [معاينة]: يجب أن تكون حالة إثبات ضيف الأجهزة الظاهرية سليمة | يتم إجراء تصديق الضيف عن طريق إرسال سجل موثوق به (TCGLog) إلى خادم تصديق. يستخدم الخادم هذه السجلات لتحديد ما إذا كانت مكونات التمهيد جديرة بالثقة. يهدف هذا التقييم إلى اكتشاف الاختراقات في سلسلة التمهيد التي قد تكون نتيجة التعرض إلى bootkit أو rootkit. ينطبق هذا التقييم فقط على الأجهزة الظاهرية التي تم تمكين Trusted Launch عليها، والتي تم تثبيت ملحق Guest Attestation عليها. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تمكين vTPM على الأجهزة الظاهرية المعتمدة | تمكين جهاز TPM الظاهري على الأجهزة الظاهرية المدعومة لتسهيل Measured Boot، وميزات أمان نظام التشغيل الأخرى التي تتطلب TPM. بمجرد تمكين vTPM يمكن استخدامها لتشهد تكامل التمهيد. ينطبق هذا التقييم فقط على الأجهزة الظاهرية الموثوق بها التي تم تمكينها من التشغيل. | المراجعة، معطلة | 2.0.0-المعاينة |
| يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك | تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت | يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل | AuditIfNotExists، معطل | 3.0.0 |
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي | راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية. | AuditIfNotExists، معطل | 3.0.0 |
| يجب مصادقة نقاط نهاية واجهة برمجة التطبيقات في Azure API Management | يجب أن تفرض نقاط نهاية واجهة برمجة التطبيقات المنشورة داخل Azure API Management المصادقة للمساعدة في تقليل مخاطر الأمان. يتم أحيانا تنفيذ آليات المصادقة بشكل غير صحيح أو مفقودة. يسمح هذا للمهاجمين باستغلال عيوب التنفيذ والوصول إلى البيانات. تعرف على المزيد حول تهديد واجهة برمجة تطبيقات OWASP لمصادقة المستخدم المعطلة هنا: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists، معطل | 1.0.1 |
| يجب تعطيل نقاط نهاية واجهة برمجة التطبيقات غير المستخدمة وإزالتها من خدمة Azure API Management | كأفضل ممارسة أمان، تعتبر نقاط نهاية واجهة برمجة التطبيقات التي لم تتلق نسبة استخدام الشبكة لمدة 30 يوما غير مستخدمة ويجب إزالتها من خدمة إدارة واجهة برمجة تطبيقات Azure. قد يشكل الاحتفاظ بنقاط نهاية واجهة برمجة التطبيقات غير المستخدمة خطرا أمنيا على مؤسستك. قد تكون هذه واجهات برمجة التطبيقات التي كان يجب إهمالها من خدمة Azure API Management ولكن قد تكون تركت نشطة عن طريق الخطأ. لا تتلقى واجهات برمجة التطبيقات هذه عادة أحدث تغطية أمنية. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes | قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة. | المراجعة، معطلة | 2.0.1 |
| يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك | لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين Azure DDoS Protection | يجب تمكين حماية DDoS لجميع الشبكات الظاهرية مع شبكة فرعية تعد جزءا من بوابة تطبيق مع IP عام. | AuditIfNotExists، معطل | 3.0.1 |
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر | يكتشف Azure Defender لقواعد البيانات العلائقية مفتوحة المصدر الأنشطة الشاذة التي تشير إلى محاولات غير عادية، وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. تعرف على المزيد حول قدرات Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر في https://aka.ms/AzDforOpenSourceDBsDocu. مهم: سيؤدي تمكين هذه الخطة إلى فرض رسوم على حماية قواعد البيانات العلائقية مفتوحة المصدر. تعرف على الأسعار في صفحة التسعير الخاصة بمركز الأمان: https://aka.ms/pricing-security-center | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for SQL للخوادم المرنة MySQL غير المحمية | تدقيق خوادم MySQL المرنة دون أمان البيانات المتقدم | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender for SQL لخوادم PostgreSQL المرنة غير المحمية | تدقيق خوادم PostgreSQL المرنة دون أمان البيانات المتقدم | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تحتوي صور حاوية سجل Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender) | يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. يمكن أن يؤدي حل الثغرات الأمنية إلى تحسين وضع الأمان بشكل كبير، مما يضمن أن الصور آمنة للاستخدام قبل النشر. | AuditIfNotExists، معطل | 1.0.1 |
| يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender) | يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. توفر هذه التوصية رؤية للصور الضعيفة التي تعمل حاليا في مجموعات Kubernetes الخاصة بك. معالجة الثغرات الأمنية في صور الحاوية التي يتم تشغيلها حاليا هو المفتاح لتحسين وضع الأمان الخاص بك، ما يقلل بشكل كبير من سطح الهجوم لأحمال العمل المعبأة في حاويات. | AuditIfNotExists، معطل | 1.0.1 |
| يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure | يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تكوين مثيلات دور الخدمات السحابية (الدعم الموسع) بشكل آمن | قم بحماية مثيلات دور الخدمة السحابية (الدعم الممتد) من الهجمات من خلال ضمان عدم تعرضها لأي ثغرات أمنية في نظام التشغيل. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تحتوي مثيلات دور الخدمات السحابية (الدعم الموسع) على حل حماية نقطة نهاية مثبت | قم بحماية مثيلات دور الخدمات السحابية (الدعم الممتد) من التهديدات، ونقاط الضعف من خلال ضمان تثبيت حل حماية نقطة النهاية عليها. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تحتوي مثيلات دور الخدمات السحابية (الدعم الموسع) على تحديثات النظام مثبتة | قم بتأمين مثيلات دور الخدمات السحابية (الدعم الممتد) من خلال ضمان تثبيت أحدث تحديثات الأمان والتحديثات الهامة عليها. | AuditIfNotExists، معطل | 1.0.0 |
| تكوين الحماية المتقدمة من التهديدات ليتم تمكينها على قاعدة بيانات Azure لخوادم MySQL المرنة | تمكين الحماية المتقدمة من التهديدات على قاعدة بيانات Azure لخوادم MySQL المرنة للكشف عن الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين الحماية المتقدمة من التهديدات ليتم تمكينها على قاعدة بيانات Azure لخوادم PostgreSQL المرنة | تمكين الحماية المتقدمة من التهديدات على قاعدة بيانات Azure لخوادم PostgreSQL المرنة للكشف عن الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين خوادم SQL الممكنة بواسطة Arc لتثبيت عامل Azure Monitor تلقائيا | أتمتة نشر ملحق Azure Monitor Agent على خوادم SQL التي تدعم Windows Arc. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 1.3.0 |
| تكوين خوادم SQL الممكنة بواسطة Arc لتثبيت Microsoft Defender ل SQL تلقائيا | تكوين خوادم SQL التي تدعم Windows Arc لتثبيت Microsoft Defender لعامل SQL تلقائيا. يجمع Microsoft Defender for SQL الأحداث من العامل ويستخدمها لتوفير تنبيهات الأمان ومهام التصلب المخصصة (التوصيات). | DeployIfNotExists، معطل | 1.2.0 |
| تكوين خوادم SQL الممكنة بواسطة Arc لتثبيت Microsoft Defender ل SQL وDCR تلقائيا باستخدام مساحة عمل Log Analytics | يجمع Microsoft Defender for SQL الأحداث من العامل ويستخدمها لتوفير تنبيهات الأمان ومهام التصلب المخصصة (التوصيات). إنشاء مجموعة موارد وقاعدة تجميع بيانات ومساحة عمل Log Analytics في نفس المنطقة مثل الجهاز. | DeployIfNotExists، معطل | 1.5.0 |
| تكوين خوادم SQL الممكنة بواسطة Arc لتثبيت Microsoft Defender for SQL وDCR تلقائيا باستخدام مساحة عمل LA المعرفة من قبل المستخدم | يجمع Microsoft Defender for SQL الأحداث من العامل ويستخدمها لتوفير تنبيهات الأمان ومهام التصلب المخصصة (التوصيات). إنشاء مجموعة موارد وقاعدة تجميع بيانات في نفس المنطقة مثل مساحة عمل Log Analytics المعرفة من قبل المستخدم. | DeployIfNotExists، معطل | 1.7.0 |
| تكوين خوادم SQL الممكنة بواسطة Arc مع اقتران قاعدة تجميع البيانات إلى Microsoft Defender ل SQL DCR | تكوين الاقتران بين خوادم SQL الممكنة بواسطة Arc وMicrosoft Defender ل SQL DCR. سيؤدي حذف هذا الاقتران إلى قطع الكشف عن الثغرات الأمنية لخوادم SQL الممكنة بواسطة Arc. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين خوادم SQL الممكنة بواسطة Arc مع اقتران قاعدة تجميع البيانات إلى Microsoft Defender for SQL DCR المعرف من قبل المستخدم | تكوين الاقتران بين خوادم SQL الممكنة بواسطة Arc وMicrosoft Defender for SQL الذي يحدده المستخدم DCR. سيؤدي حذف هذا الاقتران إلى قطع الكشف عن الثغرات الأمنية لخوادم SQL الممكنة بواسطة Arc. | DeployIfNotExists، معطل | 1.3.0 |
| تكوين Azure Defender for App Service ليتم تمكينه | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين Azure Defender لقاعدة بيانات Azure SQL ليتم تمكينها | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | DeployIfNotExists، معطل | 1.0.1 |
| يجب تمكين Azure Defender لقواعد البيانات العلائقية مفتوحة المصدر | يكتشف Azure Defender لقواعد البيانات العلائقية مفتوحة المصدر الأنشطة الشاذة التي تشير إلى محاولات غير عادية، وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. تعرف على المزيد حول قدرات Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر في https://aka.ms/AzDforOpenSourceDBsDocu. مهم: سيؤدي تمكين هذه الخطة إلى فرض رسوم على حماية قواعد البيانات العلائقية مفتوحة المصدر. تعرف على الأسعار في صفحة التسعير الخاصة بمركز الأمان: https://aka.ms/pricing-security-center | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Azure Defender ل Resource Manager ليتم تمكينه | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين Azure Defender للخوادم التي سيتم تمكينها | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين Azure Defender لخوادم SQL على الأجهزة التي سيتم تمكينها | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين Microsoft Defender الأساسي للتخزين ليتم تمكينه (مراقبة النشاط فقط) | Microsoft Defender for Storage هي طبقة Azure أصلية من معلومات الأمان التي تكتشف التهديدات المحتملة لحسابات التخزين الخاصة بك. سيمكن هذا النهج قدرات Defender for Storage الأساسية (مراقبة النشاط). لتمكين الحماية الكاملة، والتي تتضمن أيضا فحص البرامج الضارة عند التحميل والكشف عن تهديدات البيانات الحساسة، استخدم نهج التمكين الكامل: aka.ms/DefenderForStoragePolicy. لمعرفة المزيد حول قدرات ومزايا Defender for Storage، تفضل بزيارة aka.ms/DefenderForStorage. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين الأجهزة لاستلام موفر تقييم الثغرات الأمنية | يتضمن Azure Defender فحص الثغرات الأمنية لأجهزتك دون أي تكلفة إضافية. لا تحتاج إلى ترخيص Qualys أو حتى حساب Qualys - يتم التعامل مع كل شيء بسلاسة داخل Security Center. عند تمكين هذا النهج، يقوم Azure Defender تلقائيًا بتوزيع موفر تقييم الثغرات الأمنية Qualys على جميع الأجهزة المدعومة التي لم يتم تثبيته عليها بالفعل. | DeployIfNotExists، معطل | 4.0.0 |
| تكوين خطة Microsoft إدارة وضع الأمان السحابي في Defender | توفر Defender Cloud Security Posture Management (CSPM) قدرات وضع محسنة ورسما بيانيا ذكيا جديدا للأمان السحابي للمساعدة في تحديد المخاطر وتحديد أولوياتها وتقليلها. يتوفر إدارة وضع الأمان السحابي في Defender بالإضافة إلى قدرات وضع الأمان الأساسية المجانية التي يتم تشغيلها بشكل افتراضي في Defender for Cloud. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Microsoft إدارة وضع الأمان السحابي في Defender ليتم تمكينه | توفر Defender Cloud Security Posture Management (CSPM) قدرات وضع محسنة ورسما بيانيا ذكيا جديدا للأمان السحابي للمساعدة في تحديد المخاطر وتحديد أولوياتها وتقليلها. يتوفر إدارة وضع الأمان السحابي في Defender بالإضافة إلى قدرات وضع الأمان الأساسية المجانية التي يتم تشغيلها بشكل افتراضي في Defender for Cloud. | DeployIfNotExists، معطل | 1.0.2 |
| تكوين Microsoft Defender لـ Azure Cosmos DB ليتم تمكينه | يعد Microsoft Defender لـ Azure Cosmos DB طبقة أمان أصلية من Azure تكتشف محاولات استغلال قواعد البيانات في حسابات Azure Cosmos DB الخاصة بك. يكتشف Defender for Azure Cosmos DB عمليات إدخال SQL المحتملة والعناصر السيئة المعروفة استناداً إلى Microsoft Threat Intelligence وأنماط الوصول المشبوهة والاستغلال المحتمل لقاعدة البيانات الخاصة بك من خلال الهويات المخترقة أو المطلعين الضارين. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين خطة Microsoft Defender for Containers | تتم إضافة قدرات جديدة باستمرار إلى خطة Defender for Containers، والتي قد تتطلب تمكينا صريحا للمستخدم. استخدم هذا النهج للتأكد من تمكين جميع الإمكانات الجديدة. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Microsoft Defender للحاويات ليتم تمكينها | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين إعدادات تكامل Microsoft Defender لنقطة النهاية مع Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | تكوين إعدادات تكامل Microsoft Defender لنقطة النهاية، داخل Microsoft Defender for Cloud (المعروف أيضا باسم WDATP_EXCLUDE_LINUX_...)، لتمكين التوفير التلقائي ل MDE لخوادم Linux. يجب تشغيل إعداد WDATP لتطبيق هذا الإعداد. راجع: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint لمزيد من المعلومات. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين إعدادات تكامل Microsoft Defender لنقطة النهاية مع Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) | تكوين إعدادات تكامل Microsoft Defender لنقطة النهاية، ضمن Microsoft Defender for Cloud (المعروف أيضا باسم WDATP_UNIFIED_SOLUTION)، لتمكين التوفير التلقائي للعامل الموحد MDE ل Windows Server 2012R2 و2016. يجب تشغيل إعداد WDATP لتطبيق هذا الإعداد. راجع: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint لمزيد من المعلومات. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين إعدادات تكامل Microsoft Defender لنقطة النهاية مع Microsoft Defender for Cloud (WDATP) | تكوين إعدادات تكامل Microsoft Defender لنقطة النهاية، ضمن Microsoft Defender for Cloud (المعروف أيضا باسم WDATP)، لأجهزة Windows ذات المستوى الأدنى المدمجة في MDE عبر MMA، والتزويد التلقائي ل MDE على Windows Server 2019 وWindows Virtual Desktop وما فوق. يجب أن تكون قيد التشغيل لكي تعمل الإعدادات الأخرى (WDATP_UNIFIED وما إلى ذلك). راجع: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint لمزيد من المعلومات. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين خطة Microsoft Defender for Key Vault | يوفر Microsoft Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية والتي يحتمل أن تكون ضارة للوصول إلى حسابات key vault أو استغلالها. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين خطة Microsoft Defender for Servers | تتم إضافة قدرات جديدة باستمرار إلى Defender for Servers، مما قد يتطلب تمكينا صريحا للمستخدم. استخدم هذا النهج للتأكد من تمكين جميع الإمكانات الجديدة. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Microsoft Defender for SQL ليتم تمكينه على مساحات عمل Synapse | قم بتمكين Microsoft Defender for SQL على مساحات عمل Azure Synapse الخاصة بك لاكتشاف الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد بيانات SQL أو استغلالها. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Microsoft Defender for Storage (كلاسيكي) ليتم تمكينه | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | DeployIfNotExists، معطل | 1.0.2 |
| تكوين Microsoft Defender for Storage ليتم تمكينه | Microsoft Defender for Storage هي طبقة Azure أصلية من معلومات الأمان التي تكتشف التهديدات المحتملة لحسابات التخزين الخاصة بك. سيمكن هذا النهج جميع قدرات Defender for Storage؛ مراقبة النشاط وفحص البرامج الضارة واكتشاف تهديدات البيانات الحساسة. لمعرفة المزيد حول قدرات ومزايا Defender for Storage، تفضل بزيارة aka.ms/DefenderForStorage. | DeployIfNotExists، معطل | 1.4.0 |
| تكوين الحماية من التهديدات من Microsoft Defender لأحمال العمل الذكاء الاصطناعي | تتم إضافة قدرات جديدة باستمرار إلى الحماية من التهديدات لأحمال العمل الذكاء الاصطناعي، والتي قد تتطلب تمكينا صريحا للمستخدم. استخدم هذا النهج للتأكد من تمكين جميع الإمكانات الجديدة. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين أجهزة SQL الظاهرية لتثبيت عامل Azure Monitor تلقائيا | أتمتة نشر ملحق Azure Monitor Agent على أجهزة Windows SQL الظاهرية. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 1.5.0 |
| تكوين أجهزة SQL الظاهرية لتثبيت Microsoft Defender ل SQL تلقائيا | تكوين أجهزة Windows SQL الظاهرية لتثبيت ملحق Microsoft Defender for SQL تلقائيا. يجمع Microsoft Defender for SQL الأحداث من العامل ويستخدمها لتوفير تنبيهات الأمان ومهام التصلب المخصصة (التوصيات). | DeployIfNotExists، معطل | 1.5.0 |
| تكوين أجهزة SQL الظاهرية لتثبيت Microsoft Defender ل SQL وDCR تلقائيا باستخدام مساحة عمل Log Analytics | يجمع Microsoft Defender for SQL الأحداث من العامل ويستخدمها لتوفير تنبيهات الأمان ومهام التصلب المخصصة (التوصيات). إنشاء مجموعة موارد وقاعدة تجميع بيانات ومساحة عمل Log Analytics في نفس المنطقة مثل الجهاز. | DeployIfNotExists، معطل | 1.7.0 |
| تكوين أجهزة SQL الظاهرية لتثبيت Microsoft Defender ل SQL وDCR تلقائيا باستخدام مساحة عمل LA المعرفة من قبل المستخدم | يجمع Microsoft Defender for SQL الأحداث من العامل ويستخدمها لتوفير تنبيهات الأمان ومهام التصلب المخصصة (التوصيات). إنشاء مجموعة موارد وقاعدة تجميع بيانات في نفس المنطقة مثل مساحة عمل Log Analytics المعرفة من قبل المستخدم. | DeployIfNotExists، معطل | 1.8.0 |
| تكوين مساحة عمل Microsoft Defender for SQL Log Analytics | يجمع Microsoft Defender for SQL الأحداث من العامل ويستخدمها لتوفير تنبيهات الأمان ومهام التصلب المخصصة (التوصيات). إنشاء مجموعة موارد ومساحة عمل Log Analytics في نفس منطقة الجهاز. | DeployIfNotExists، معطل | 1.4.0 |
| إنشاء هوية مدارة معينة من قبل المستخدم وتعيينها | إنشاء وتعيين هوية مدارة مضمنة يعينها المستخدم على نطاق واسع لأجهزة SQL الظاهرية. | AuditIfNotExists، DeployIfNotExists، مُعطل | 1.7.0 |
| النشر - تكوين قواعد المنع لتنبيهات مركز أمان Azure | قم بإيقاف تنبيهات Azure Security Center لتقليل إجهاد التنبيهات عن طريق نشر قواعد المنع على مجموعة الإدارة أو الاشتراك. | deployIfNotExists | 1.0.0 |
| نشر التصدير إلى Event Hub كخدمة موثوق بها لبيانات Microsoft Defender for Cloud | تمكين التصدير إلى Event Hub كخدمة موثوق بها لبيانات Microsoft Defender for Cloud. ينشر هذا النهج تصديرا إلى Event Hub كتكوين خدمة موثوق به مع الشروط الخاصة بك و Event Hub الهدف في النطاق المعين. لنشر هذا النهج على الاشتراكات التي تم إنشاؤها حديثًا، افتح علامة التبويب التوافق، وحدد التعيين غير المتوافق ذي الصلة، وأنشئ مهمة إصلاح. | DeployIfNotExists، معطل | 1.0.0 |
| توزيع التصدير إلى Event Hub لبيانات Microsoft Defender for Cloud | مكن التصدير إلى Event Hub لبيانات Microsoft Defender for Cloud. تنشر هذه السياسة تصديرًا إلى تكوين Event Hub مع شروطك واستهداف Event Hub على النطاق المعين. لنشر هذا النهج على الاشتراكات التي تم إنشاؤها حديثًا، افتح علامة التبويب التوافق، وحدد التعيين غير المتوافق ذي الصلة، وأنشئ مهمة إصلاح. | deployIfNotExists | 4.2.0 |
| توزيع التصدير إلى مساحة عمل Log Analytics لبيانات Microsoft Defender for Cloud | مكن التصدير إلى مساحة عمل Log Analytics لبيانات Microsoft Defender for Cloud. ينشر هذا النهج تصديرًا إلى تكوين مساحة عمل Log Analytics مع شروطك ومساحة العمل المستهدفة في النطاق المعين. لنشر هذا النهج على الاشتراكات التي تم إنشاؤها حديثًا، افتح علامة التبويب التوافق، وحدد التعيين غير المتوافق ذي الصلة، وأنشئ مهمة إصلاح. | deployIfNotExists | 4.1.0 |
| توزيع أتمتة سير العمل لتنبيهات Microsoft Defender for Cloud | مكن خدمة التشغيل التلقائي لتنبيهات Microsoft Defender for Cloud. ينشر هذا النهج أتمتة سير العمل بشروطك والمشغلات في النطاق المعين. لنشر هذا النهج على الاشتراكات التي تم إنشاؤها حديثًا، افتح علامة التبويب التوافق، وحدد التعيين غير المتوافق ذي الصلة، وأنشئ مهمة إصلاح. | deployIfNotExists | 5.0.1 |
| توزيع خدمة أتمتة سير العمل لتنبيهات Microsoft Defender for Cloud | مكّن خدمة التشغيل التلقائي لتوصيات Microsoft Defender for Cloud. ينشر هذا النهج أتمتة سير العمل بشروطك والمشغلات في النطاق المعين. لنشر هذا النهج على الاشتراكات التي تم إنشاؤها حديثًا، افتح علامة التبويب التوافق، وحدد التعيين غير المتوافق ذي الصلة، وأنشئ مهمة إصلاح. | deployIfNotExists | 5.0.1 |
| توزيع التشغيل التلقائي لسير العمل للتوافق التنظيمي لـ Microsoft Defender for Cloud | مكّن التشغيل التلقائي لسير العمل للتوافق التنظيمي لـ Microsoft Defender for Cloud. ينشر هذا النهج أتمتة سير العمل بشروطك والمشغلات في النطاق المعين. لنشر هذا النهج على الاشتراكات التي تم إنشاؤها حديثًا، افتح علامة التبويب التوافق، وحدد التعيين غير المتوافق ذي الصلة، وأنشئ مهمة إصلاح. | deployIfNotExists | 5.0.1 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.2.0 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.1.0 |
| تمكين Microsoft Defender لـ Cloud على اشتراكك | يحدد الاشتراكات الحالية التي لا تتم مراقبتها بواسطة Microsoft Defender لـ Cloud ويحميها باستخدام Defender لميزات Cloud المجانية. ستعتبر الاشتراكات التي تمت مراقبتها بالفعل متوافقة. لتسجيل الاشتراكات التي تم إنشاؤها حديثاً، افتح علامة تبويب التوافق، وحدد المهمة غير المتوافقة ذات الصلة، وأنشئ مهمة إصلاح. | deployIfNotExists | 1.0.1 |
| تمكين التوفير التلقائي لمركز الأمان لعامل Log Analytics على اشتراكاتك باستخدام مساحة عمل مخصصة. | اسمح لمركز الأمان بتوفير وكيل Log Analytics تلقائيًا في اشتراكاتك لمراقبة وجمع بيانات الأمان باستخدام مساحة عمل مخصصة. | DeployIfNotExists، معطل | 1.0.0 |
| تمكين التوفير التلقائي لمركز الأمان لعامل Log Analytics على اشتراكاتك باستخدام مساحة العمل الافتراضية. | اسمح لمركز الأمان بتوفير وكيل Log Analytics تلقائيًا في اشتراكاتك لمراقبة وجمع بيانات الأمان باستخدام مساحة عمل ASC الافتراضية. | DeployIfNotExists، معطل | 1.0.0 |
| تمكين الحماية من التهديدات لأحمال العمل الذكاء الاصطناعي | توفر الحماية من التهديدات من Microsoft لأحمال العمل الذكاء الاصطناعي تنبيهات أمنية سياقية تستند إلى الأدلة تهدف إلى حماية التطبيقات المحلية الذكاء الاصطناعي التي تعمل بالطاقة | DeployIfNotExists، معطل | 1.0.0 |
| يجب حل المشاكل المتعلقة بحماية نقطة النهاية على أجهزتك | حل مشكلات صحة حماية نقطة النهاية على أجهزتك الظاهرية لحمايتها من أحدث التهديدات ونقاط الضعف. يتم توثيق حلول حماية نقطة النهاية المدعومة من Azure Security Center هنا - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. يتم توثيق تقييم حماية نقطة النهاية هنا - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت حماية نقطة النهاية على أجهزتك | لحماية أجهزتك من التهديدات والثغرات، قم بتثبيت حل مدعوم لحماية نقطة النهاية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري | قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية. | AuditIfNotExists، معطل | 3.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure | يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure | يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.3 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية | قم بترقية مجموعة خدمات Kubernetes إلى إصدار أحدث من Kubernetes للحماية من الثغرات الأمنية المعروفة في إصدار Kubernetes الحالي. تم تصحيح الثغرة الأمنية CVE-2019-9946 في إصدارات Kubernetes 1.11.9+ و1.12.7+ و1.13.5+ و1.14.0+ | المراجعة، معطلة | 1.0.2 |
| يجب تثبيت عامل Log Analytics على مثيلات دور الخدمات السحابية (الدعم الموسع) | يجمع مركز الأمان البيانات من مثيلات دور الخدمات السحابية (الدعم الممتد) لمراقبة الثغرات الأمنية والتهديدات. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن يكون لدى الأجهزة نتائج سرية تم حلها | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تحتوي على نتائج سرية من حلول مسح البيانات السرية على أجهزتك الظاهرية. | AuditIfNotExists، معطل | 1.0.2 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين Microsoft إدارة وضع الأمان السحابي في Defender | توفر Defender Cloud Security Posture Management (CSPM) قدرات وضع محسنة ورسما بيانيا ذكيا جديدا للأمان السحابي للمساعدة في تحديد المخاطر وتحديد أولوياتها وتقليلها. يتوفر إدارة وضع الأمان السحابي في Defender بالإضافة إلى قدرات وضع الأمان الأساسية المجانية التي يتم تشغيلها بشكل افتراضي في Defender for Cloud. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لواجهة برمجة التطبيقات | يوفر Microsoft Defender لواجهات برمجة التطبيقات اكتشافا وحماية واكتشافا وتغطية استجابة جديدة لمراقبة الهجمات الشائعة المستندة إلى واجهة برمجة التطبيقات والتكوينات الخاطئة للأمان. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Microsoft Defender لـ Azure Cosmos DB | يعد Microsoft Defender لـ Azure Cosmos DB طبقة أمان أصلية من Azure تكتشف محاولات استغلال قواعد البيانات في حسابات Azure Cosmos DB الخاصة بك. يكتشف Defender for Azure Cosmos DB عمليات إدخال SQL المحتملة والعناصر السيئة المعروفة استناداً إلى Microsoft Threat Intelligence وأنماط الوصول المشبوهة والاستغلال المحتمل لقاعدة البيانات الخاصة بك من خلال الهويات المخترقة أو المطلعين الضارين. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لـ SQL لمساحات عمل Synapse غير المحمية | تمكين Defender for SQL لحماية مساحات عمل Synapse الخاصة بك. يقوم Defender for SQL بمراقبة Synapse SQL لاكتشاف الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. | AuditIfNotExists، معطل | 1.0.0 |
| يجب حماية Microsoft Defender لحالة SQL لخوادم SQL الممكنة بواسطة Arc | يوفر Microsoft Defender for SQL وظائف لعرض الثغرات الأمنية المحتملة في قاعدة البيانات والتخفيف منها، واكتشاف الأنشطة الشاذة التي قد تشير إلى تهديدات لقواعد بيانات SQL، واكتشاف البيانات الحساسة وتصنيفها. بمجرد التمكين، تشير حالة الحماية إلى أنه تتم مراقبة المورد بنشاط. حتى عند تمكين Defender، يجب التحقق من صحة إعدادات التكوين المتعددة على العامل والجهاز ومساحة العمل وخادم SQL لضمان الحماية النشطة. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
| مراقبة حماية نقطة النهاية المفقودة في Azure Security Center | ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب استخدام التحكم في الوصول المستند إلى الدور (RBAC) على Kubernetes Services | لتوفير تصفية تجميعية على الإجراءات التي يمكن للمستخدمين تنفيذها، استخدم التحكم المستند إلى الأدوار (RBAC) في الوصول لإدارة الأذونات في مجموعات خدمة Kubernetes، وتكوين نهج التفويض ذات الصلة. | المراجعة، معطلة | 1.0.4 |
| يجب تحديد مستوى التسعير القياسي لمركز الأمان | يُتيح مستوى التسعير القياسي إمكانية الكشف عن التهديدات للشبكات والأجهزة الظاهرية، وتوفير معلومات استخباراتية عن التهديدات، والكشف عن الحالات الشاذة، وتحليلات السلوك في مركز أمان Azure | المراجعة، معطلة | 1.1.0 |
| إعداد الاشتراكات للانتقال إلى حل بديل لتقييم الثغرات الأمنية | يوفر Microsoft Defender للسحابة فحص الثغرات الأمنية لأجهزتك دون أي تكلفة إضافية. سيؤدي تمكين هذا النهج إلى نشر Defender for Cloud تلقائيا النتائج من حل Microsoft Defender إدارة الثغرات الأمنية المضمن إلى جميع الأجهزة المدعومة. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية | رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات. | AuditIfNotExists، معطل | 4.1.0 |
| يجب تمكين التزويد التلقائي المستهدف من قبل خادم SQL لخوادم SQL على خطة الأجهزة | لضمان حماية أجهزة SQL الظاهرية وخوادم SQL الممكنة بواسطة Arc، تأكد من تكوين عامل مراقبة Azure المستهدف من SQL للتوزيع تلقائيا. هذا ضروري أيضا إذا كنت قد قمت مسبقا بتكوين التزويد التلقائي ل Microsoft Monitoring Agent، حيث يتم إهمال هذا المكون. تعرَّف على المزيد: https://aka.ms/SQLAMAMigration | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يتم حل نتائج الثغرات الأمنية في خوادم SQL على الأجهزة | يقوم تقييم الثغرات الأمنية في SQL بفحص قاعدة البيانات بحثًا عن أي ثغرات أمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات الزائدة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عُثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تثبيت تحديثات النظام على مجموعات مقياس الجهاز الظاهري | مراجعة ما إذا كانت هناك أي تحديثات أمان للنظام مفقودة والتحديثات المهمة التي يجب تثبيتها لضمان أن مجموعات نطاقات الجهاز الظاهري Windows وLinux آمنة. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي تثبيت تحديثات النظام على أجهزتك | سيراقب Azure Security Center تحديثات نظام الأمان المفقودة على خوادمك من قبيل التوصيات | AuditIfNotExists، معطل | 4.0.0 |
| يجب تثبيت تحديثات النظام على الأجهزة الخاصة بك (مدعومة من مركز التحديث) | تفتقد أجهزتك إلى النظام والأمان والتحديثات الهامة. غالبًا ما تتضمن تحديثات البرامج تصحيحات حرجة لثقوب الأمان. يتم استغلال هذه الثقوب في كثير من الأحيان في هجمات البرامج الضارة لذلك من الضروري الحفاظ على تحديث برنامجك. لتثبيت جميع التصحيحات المعلقة وتأمين أجهزتك، اتبع خطوات المعالجة. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تعيين أكثر من مالك واحد لاشتراكك | يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول. | AuditIfNotExists، معطل | 3.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
| يجب معالجة الثغرات في تكوينات أمان الحاوية | تدقيق الثغرات الأمنية في تكوين الأمان على الأجهزة مع تثبيت Docker وعرضها كتوصيات في مركز أمان Azure. | AuditIfNotExists، معطل | 3.0.0 |
| يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
| يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري | قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات. | AuditIfNotExists، معطل | 3.0.0 |
الخطوات التالية
في هذه المقالة، تعرفت على تعريفات نهج أمان Azure Policy في Defender for Cloud. لمعرفة المزيد حول المبادرات والنُهج ومدى ارتباطها بتوصيات Defender for Cloud، راجع ما نُهج ومبادرات وتوصيات الأمان؟.