تعريفات النهج المضمنة لنهج Azure
تُعد هذه الصفحة فهرسًا لتعريفات النهج المضمنة في نهج Azure.
اسم كل ارتباطات مضمنة لتعريف النهج في مدخل Azure. استخدم الارتباط في العمود Source لعرض المصدر على مستودع GitHub لنهج Azure. يتم تجميع العناصر المضمنة حسب خاصية الفئة في بيانات التعريف. للانتقال إلى فئة معينة، استخدم Ctrl-F لميزة البحث في المستعرض.
API لـ FHIR
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم واجهة برمجة تطبيقات Azure لـ FHIR مفتاحًا مدارًا من قبل العميل لتشفير البيانات في وضع الراحة | استخدم مفتاحًا يديره العميل للتحكم في تشفير البيانات الثابتة المخزنة في Azure API for FHIR عندما يكون هذا شرطًا تنظيميًا أو من متطلبات التوافق. توفر المفاتيح المدارة من قبل العميل أيضًا تشفيرا مزدوجا عن طريق إضافة طبقة ثانية من التشفير فوق الطبقة الافتراضية التي تتم باستخدام المفاتيح المدارة بواسطة الخدمة. | تدقيق، تدقيق، معطل، معطل | 1.1.0 |
| يجب أن تستخدم Azure API for FHIR الرابط الخاص | يجب أن يكون لدى Azure API for FHIR اتصال نقطة نهاية خاصة واحدة معتمد على الأقل. يمكن للعملاء في الشبكة الظاهرية الوصول بأمان إلى الموارد التي لها اتصالات نقطة نهاية خاصة من خلال الروابط الخاصة. لمزيد من المعلومات، يرجى زيارة: https://aka.ms/fhir-privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب ألا تسمح CORS لكل مجال بالوصول إلى واجهة برمجة التطبيقات الخاصة بك لـ FHIR | يجب ألا تسمح مشاركة الموارد عبر المصادر (CORS) لجميع المجالات بالوصول إلى واجهة برمجة التطبيقات الخاصة بك لـ FHIR. لحماية واجهة برمجة التطبيقات الخاصة بك لـFHIR، امنع الوصول من جميع المجالات وحدد المجالات المسموح لها بالاتصال بشكل صريح. | تدقيق، تدقيق، معطل، معطل | 1.1.0 |
API Management
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم واجهات برمجة تطبيقات API Management بروتوكولات مشفرة فقط | لضمان أمان البيانات أثناء النقل، يجب أن تكون واجهات برمجة التطبيقات متاحة فقط من خلال بروتوكولات مشفرة، مثل HTTPS أو WSS. تجنب استخدام بروتوكولات غير آمنة، مثل HTTP أو WS. | تدقيق، تعطيل، رفض | 2.0.2 |
| يجب مصادقة استدعاءات APIM إلى خلفيات واجهة برمجة التطبيقات | يتعين أن تستخدم الاستدعاءات الصادرة عن APIM إلى الخلفيات شكلاً من أشكال المصادقة، سواء عبر الشهادات أو بيانات الاعتماد. لا تنطبق على خلفيات Service Fabric. | تدقيق، تعطيل، رفض | 1.0.1 |
| يجب ألا تتجاوز استدعاءات APIM إلى خلفيات واجهة برمجة التطبيقات خطة التحقق من صحة بصمة الإبهام أو الاسم | لتحسين أمان واجهة برمجة التطبيقات، يجب أن تتحقق إدارة واجهة برمجة التطبيقات من صحة شهادة الخادم الخلفي لجميع استدعاءات واجهة برمجة التطبيقات. تمكين بصمة إبهام شهادة SSL والتحقق من صحة الاسم. | تدقيق، تعطيل، رفض | 1.0.2 |
| يجب عدم تمكين نقطة نهاية الإدارة المباشرة لإدارة واجهة برمجة التطبيقات | تتجاوز واجهة برمجة تطبيقات REST للإدارة المباشرة في Azure API Management آليات التحكم في الوصول المستندة إلى دور Azure Resource Manager والتخويل والتقييد، مما يزيد من ثغرة الخدمة. | تدقيق، تعطيل، رفض | 1.0.2 |
| يجب تعيين إصدار واجهة برمجة التطبيقات للحد الأدنى من APIM إلى 2019-12-01 أو أحدث | لمنع مشاركة أسرار الخدمة مع مستخدمي القراءة فقط، يتعين تعيين الحد الأدنى لإصدار واجهة برمجة التطبيقات إلى 2019-12-01 أو أحدث. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب تخزين البيانات السرية لإدارة API المسماة في Azure Key Vault | القيم المسماة هي مجموعة من أزواج الأسماء والقيم في كل خدمة APIM. يمكن تخزين القيم السرية إما كنص مشفر في APIM (أسرار مخصصة) أو عن طريق الرجوع إلى الأسرار في Azure Key Vault. لتحسين أمان إدارة واجهة برمجة التطبيقات والأسرار، راجع البيانات السرية المسماة من Azure Key Vault. يدعم Azure Key Vault إدارة الوصول متعدد المستويات ونهج تدوير البيانات السرية. | تدقيق، تعطيل، رفض | 1.0.2 |
| يجب أن تستخدم خدمة API Management وحدة SKU تدعم الشبكات الظاهرية | مع وحدات SKUs المعتمدة في API Management، يؤدي توزيع الخدمة في شبكة ظاهرية إلى إلغاء تأمين ميزات شبكة API Management وميزات الأمان المتطورة التي تمنحك تحكماً أكبر في تكوين أمان الشبكة. تعرف على المزيد من خلال: https://aka.ms/apimvnet. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خدمات APIM شبكة ظاهرية | يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن تعطل إدارة واجهة برمجة التطبيقات الوصول إلى الشبكة العامة إلى نقاط نهاية تكوين الخدمة | لتحسين أمان خدمات APIM، قم بتقييد الاتصال بنقاط نهاية تكوين الخدمة، مثل واجهة برمجة تطبيقات إدارة الوصول المباشر أو نقطة نهاية إدارة تكوين Git أو نقطة نهاية تكوين البوابات المستضافة ذاتيا. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تعطيل مصادقة اسم المستخدم وكلمة المرور لإدارة واجهة برمجة التطبيقات | لتأمين مدخل المطور بشكل أفضل، يجب تعطيل مصادقة اسم المستخدم وكلمة المرور في APIM. تكوين مصادقة المستخدم من خلال موفري هوية Azure AD أو Azure AD B2C وتعطيل مصادقة اسم المستخدم وكلمة المرور الافتراضية. | المراجعة، معطلة | 1.0.1 |
| يجب عدم تحديد نطاق اشتراكات APIM لجميع واجهات برمجة التطبيقات | يجب تحديد نطاق اشتراكات إدارة واجهة برمجة التطبيقات لمنتج أو واجهة برمجة تطبيقات فردية بدلا من جميع واجهات برمجة التطبيقات، مما قد يؤدي إلى التعرض المفرط للبيانات. | تدقيق، تعطيل، رفض | 1.1.0 |
| يجب أن يكون إصدار النظام الأساسي لإدارة واجهة برمجة تطبيقات Azure stv2 | سيتم إيقاف إصدار النظام الأساسي لحساب Azure API Management stv1 اعتبارا من 31 أغسطس 2024، ويجب ترحيل هذه المثيلات إلى النظام الأساسي لحساب stv2 للحصول على دعم مستمر. تعرف على المزيد في /azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | التدقيق، الرفض، التعطيل | 1.0.0 |
| تكوين خدمات APIM لتعطيل الوصول إلى نقاط نهاية تكوين الخدمة العامة لإدارة واجهة برمجة التطبيقات | لتحسين أمان خدمات APIM، قم بتقييد الاتصال بنقاط نهاية تكوين الخدمة، مثل واجهة برمجة تطبيقات إدارة الوصول المباشر أو نقطة نهاية إدارة تكوين Git أو نقطة نهاية تكوين البوابات المستضافة ذاتيا. | DeployIfNotExists، معطل | 1.1.0 |
| تعديل APIM لتعطيل مصادقة اسم المستخدم وكلمة المرور | لتأمين حسابات مستخدمي مدخل المطور وبيانات الاعتماد الخاصة بهم بشكل أفضل، قم بتكوين مصادقة المستخدم من خلال Azure AD أو موفري هوية Azure AD B2C وتعطيل مصادقة اسم المستخدم وكلمة المرور الافتراضية. | تعديل | 1.1.0 |
تكوين التطبيق
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يعطل تكوين التطبيق الوصول إلى شبكة الاتصال العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض المورد على الإنترنت العام. يمكنك الحد من تعرض مواردك عن طريق إنشاء نقاط نهاية خاصة بدلاً من ذلك. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يستخدم تكوين التطبيق مفتاحاً مداراً من قبل العميل | توفر المفاتيح المدارة من قبل العملاء حماية محسنة للبيانات من خلال السماح لك بإدارة مفاتيح التشفير. وغالباً ما يكون ذلك مطلوباً للوفاء بمتطلبات التوافق. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن يستخدم تكوين التطبيق SKU يدعم الارتباط الخاص | عند استخدام SKU معتمد، يتيح لك Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
| يجب أن يكون لدى مخازن تكوين التطبيقات أساليب مصادقة محلية معطلة | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من أن مخازن App Configuration تتطلب هويات Microsoft Entra حصريا للمصادقة. تعرف على المزيد من خلال: https://go.microsoft.com/fwlink/?linkid=2161954. | التدقيق، الرفض، التعطيل | 1.0.1 |
| تكوين مخازن تكوين التطبيقات لتعطيل أساليب المصادقة المحلية | قم بتعطيل أساليب المصادقة المحلية بحيث تتطلب مخازن App Configuration هويات Microsoft Entra حصريا للمصادقة. تعرف على المزيد من خلال: https://go.microsoft.com/fwlink/?linkid=2161954. | تعديل، تعطيل | 1.0.1 |
| القيام بتكوين تكوين التطبيق لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة لتكوين التطبيقات بحيث لا يمكن الوصول إليها عبر شبكة الإنترنت العامة. يساعد هذا التكوين في حمايتهم من مخاطر تسرب البيانات. يمكنك الحد من تعرض الموارد الخاصة بك عن طريق إنشاء نقاط نهاية خاصة بدلاً من ذلك. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | تعديل، تعطيل | 1.0.0 |
| تكوين مناطق DNS خاصة لنقاط النهاية الخاصة المتصلة بتكوين التطبيق | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. يمكن ربط منطقة DNS الخاصة بشبكتك الظاهرية لحل مثيلات تكوين التطبيق. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين نقاط النهاية الخاصة لتكوين التطبيق | تتيح لك نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق، يتم تقليل مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists، معطل | 1.0.0 |
App Platform
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: تدقيق مثيلات Azure Spring Cloud حيث لم يتم تمكين التتبع الموزع | تسمح أدوات التتبع الموزعة في Azure Spring Cloud بتصحيح ومراقبة الترابطات المعقدة بين الخدمات المصغرة في أحد التطبيقات. يجب تمكين أدوات التتبع الموزعة وفي حالة صحية. | المراجعة، معطلة | 1.0.0-المعاينة |
| يجب أن يستخدم Azure Spring Cloud ميزة إضافة الشبكة | يجب أن تستخدم مثيلات Azure Spring Cloud إدخال الشبكة الظاهرية للأغراض التالية: 1. عزل Azure Spring Cloud من الإنترنت. 2. تمكين Azure Spring Cloud من التفاعل مع الأنظمة في مركز البيانات المحلية أو خدمة Azure في الشبكات الظاهرية الأخرى. 3. تمكين العملاء من التحكم في اتصالات الشبكة الواردة والصادرة لـ Azure Spring Cloud. | تدقيق، تعطيل، رفض | 1.2.0 |
App Service
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب إدخال فتحات تطبيق App Service إلى شبكة ظاهرية | يتيح إدخال تطبيقات App Service في شبكة افتراضية إلغاء تأمين ميزات الشبكة والأمان في App Service ويوفر لك تحكمًا أكبر في تكوين أمان الشبكة. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل فتحات تطبيق App Service الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض App Service على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض App Service. تعرف على المزيد من خلال: https://aka.ms/app-service-private-endpoint. | تدقيق، تعطيل، رفض | 1.0.0 |
| يجب أن تمكن فتحات تطبيق App Service توجيه التكوين إلى شبكة Azure الظاهرية | بشكل افتراضي، لن يتم توجيه تكوين التطبيق مثل سحب صور الحاوية وتخزين المحتوى من خلال تكامل الشبكة الظاهرية الإقليمية. يتيح استخدام واجهة برمجة التطبيقات لتعيين خيارات التوجيه إلى true حركة مرور التكوين من خلال شبكة Azure الظاهرية. تسمح هذه الإعدادات باستخدام ميزات مثل مجموعات أمان الشبكة والمسارات المعرفة من قبل المستخدم، ونقاط نهاية الخدمة لتكون خاصة. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/appservice-vnet-configuration-routing. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تمكن فتحات تطبيق App Service حركة المرور الصادرة غير RFC 1918 إلى شبكة Azure الظاهرية | افتراضيًا، إذا كان هناك أحد يستخدم تكامل Azure Virtual Network (VNET) الإقليمي، فإن التطبيق لا يوجه حركة الشبكة لغير RFC1918 إلى تلك الشبكة الظاهرية المعنية. يعمل استخدام واجهة برمجة التطبيقات لتعيين «vnetRouteAllEnabled» إلى صواب على تمكين جميع حركة الشبكة الصادرة إلى Azure Virtual Network. يسمح هذا الإعداد باستخدام ميزات مثل مجموعات أمان الشبكة والمسارات المعرفة من قبل المستخدم لجميع حركة الشبكة الصادرة من تطبيق App Service. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين شهادات العميل (شهادات العميل الواردة) في فتحات تطبيق App Service | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تحتوي فتحات تطبيق App Service على طرق مصادقة محلية معطلة لعمليات نشر FTP | يؤدي تعطيل أساليب المصادقة المحلية لنشر FTP إلى تحسين الأمان من خلال التأكد من أن فتحات App Service تتطلب حصريا هويات Microsoft Entra للمصادقة. تعرف على المزيد من خلال: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists، معطل | 1.0.3 |
| يجب أن تحتوي فتحات تطبيق App Service على طرق مصادقة محلية معطلة لعمليات نشر موقع SCM | يؤدي تعطيل أساليب المصادقة المحلية لمواقع SCM إلى تحسين الأمان من خلال التأكد من أن فتحات App Service تتطلب حصريا هويات Microsoft Entra للمصادقة. تعرف على المزيد من خلال: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists، معطل | 1.0.4 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد في فتحات تطبيق App Service | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين سجلات الموارد في فتحات تطبيق App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 1.0.0 |
| يجب ألا تحتوي فتحات تطبيق App Service على CORS مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يكون الوصول إلى فتحات تطبيقات App Service عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 2.0.0 |
| فتحات تطبيق App Service يجب أن تتطلب FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم فتحات تطبيق App Service مشاركة ملف Azure لدليل المحتوى الخاص به | يجب وضع دليل محتوى التطبيق على مشاركة ملف Azure. يجب توفير معلومات حساب التخزين لمشاركة الملف قبل أي نشاط نشر. لمعرفة المزيد حول استخدام Azure Files لاستضافة محتوى خدمة التطبيق، يُرجى الرجوع إلى https://go.microsoft.com/fwlink/?linkid=2151594. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم فتحات تطبيق App Service أحدث "إصدار HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم فتحات تطبيق App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم فتحات تطبيق App Service أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم فتحات تطبيق App Service التي تستخدم Java "إصدار Java" محددا | إذ يتم إطلاق إصدارات أحدث لبرنامج Java بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار Java لتطبيقات App Service من أجل الاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Java يلبي متطلباتك. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم فتحات تطبيق App Service التي تستخدم PHP "إصدار PHP" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج PHP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من PHP لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار PHP الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم فتحات تطبيق App Service التي تستخدم Python "إصدار Python" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج Python إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Python لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Python الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إدخال تطبيقات خدمة التطبيقات في شبكة افتراضية | يتيح إدخال تطبيقات App Service في شبكة افتراضية إلغاء تأمين ميزات الشبكة والأمان في App Service ويوفر لك تحكمًا أكبر في تكوين أمان الشبكة. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | التدقيق، الرفض، التعطيل | 3.0.0 |
| يجب أن تعطل تطبيقات App Service الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض App Service على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض App Service. تعرف على المزيد من خلال: https://aka.ms/app-service-private-endpoint. | تدقيق، تعطيل، رفض | 1.1.0 |
| يجب أن تمكن تطبيقات App Service توجيه التكوين إلى شبكة Azure الظاهرية | بشكل افتراضي، لن يتم توجيه تكوين التطبيق مثل سحب صور الحاوية وتخزين المحتوى من خلال تكامل الشبكة الظاهرية الإقليمية. يتيح استخدام واجهة برمجة التطبيقات لتعيين خيارات التوجيه إلى true حركة مرور التكوين من خلال شبكة Azure الظاهرية. تسمح هذه الإعدادات باستخدام ميزات مثل مجموعات أمان الشبكة والمسارات المعرفة من قبل المستخدم، ونقاط نهاية الخدمة لتكون خاصة. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/appservice-vnet-configuration-routing. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تمكن تطبيقات App Service حركة الشبكة لغير RFC 1918 الصادرة إلى Azure Virtual Network | افتراضيًا، إذا كان هناك أحد يستخدم تكامل Azure Virtual Network (VNET) الإقليمي، فإن التطبيق لا يوجه حركة الشبكة لغير RFC1918 إلى تلك الشبكة الظاهرية المعنية. يعمل استخدام واجهة برمجة التطبيقات لتعيين «vnetRouteAllEnabled» إلى صواب على تمكين جميع حركة الشبكة الصادرة إلى Azure Virtual Network. يسمح هذا الإعداد باستخدام ميزات مثل مجموعات أمان الشبكة والمسارات المعرفة من قبل المستخدم لجميع حركة الشبكة الصادرة من تطبيق App Service. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين المصادقة لتطبيقات App Service | تُعد "App Service Authentication" من Azure ميزة يمكنها منع طلبات HTTP المجهولة من الوصول إلى تطبيق واجهة برمجة التطبيقات، أو مصادقة تلك التي تحتوي على رموز مميزة قبل وصولها إلى تطبيق الويب. | AuditIfNotExists، معطل | 2.0.1 |
| يجب تمكين شهادات العميل (شهادات العميل الواردة) لتطبيقات App Service | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تحتوي تطبيقات خدمة التطبيقات على طرق مصادقة محلية معطلة لعمليات نشر FTP | يؤدي تعطيل أساليب المصادقة المحلية لنشر FTP إلى تحسين الأمان من خلال التأكد من أن App Services تتطلب هويات Microsoft Entra حصريا للمصادقة. تعرف على المزيد من خلال: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists، معطل | 1.0.3 |
| يجب أن تحتوي تطبيقات خدمة التطبيقات على طرق مصادقة محلية معطلة لعمليات نشر موقع SCM | يؤدي تعطيل أساليب المصادقة المحلية لمواقع SCM إلى تحسين الأمان من خلال التأكد من أن App Services تتطلب حصريا هويات Microsoft Entra للمصادقة. تعرف على المزيد من خلال: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists، معطل | 1.0.3 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين سجلات الموارد لتطبيقات App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 2.0.1 |
| تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
| يجب أن تتطلب تطبيقات App Service FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات App Service وحدة SKU تدعم الرابط الخاص | من خلال وحدات SKU، يتيح Azure Private Link لك توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى التطبيقات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/private-link. | التدقيق، الرفض، التعطيل | 4.1.0 |
| يجب أن تستخدم تطبيقات خدمة التطبيقات مشاركة ملف Azure لدليل المحتوى الخاص بها | يجب وضع دليل محتوى التطبيق على مشاركة ملف Azure. يجب توفير معلومات حساب التخزين لمشاركة الملف قبل أي نشاط نشر. لمعرفة المزيد حول استخدام Azure Files لاستضافة محتوى خدمة التطبيق، يُرجى الرجوع إلى https://go.microsoft.com/fwlink/?linkid=2151594. | المراجعة، معطلة | 3.0.0 |
| يجب أن تستخدم تطبيقات App Service أحدث "إصدار من HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات خدمة التطبيقات رابطًا خاصًا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى App Service. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/private-link. | AuditIfNotExists، معطل | 1.0.1 |
| إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS" | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. | AuditIfNotExists، معطل | 2.0.1 |
| يجب أن تستخدم تطبيقات App Service التي تستخدم Java "إصدار Java" محددا | إذ يتم إطلاق إصدارات أحدث لبرنامج Java بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار Java لتطبيقات App Service من أجل الاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Java يلبي متطلباتك. | AuditIfNotExists، معطل | 3.1.0 |
| يجب أن تستخدم تطبيقات App Service التي تستخدم PHP "إصدار PHP" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج PHP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من PHP لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار PHP الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 3.2.0 |
| يجب أن تستخدم تطبيقات App Service التي تستخدم Python "إصدار Python" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج Python إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Python لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Python الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 4.1.0 |
| لا ينبغي الوصول إلى تطبيقات App Service Environment عبر الإنترنت العام | لضمان عدم إمكانية الوصول إلى التطبيقات المنشورة في App Service Environment عبر الإنترنت العام، يجب عليك نشر App Service Environment بعنوان IP في الشبكة الافتراضية. لتعيين عنوان IP إلى عنوان IP للشبكة الظاهرية، يجب نشر App Service Environment مع موازن تحميل داخلي. | التدقيق، الرفض، التعطيل | 3.0.0 |
| يجب تكوين App Service Environment بأقوى مجموعات TLS Cipher | اثنان من أكثر مجموعات التشفير المطلوبة من حيث الصغر والقوة من أجل عمل App Service Environment بشكل صحيح هما: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 وTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | المراجعة، معطلة | 1.0.0 |
| يجب توفير App Service Environment بأحدث الإصدارات | لا تسمح بتوفير سوى الإصدار 2 أو الإصدار 3 من App Service Environment. تتطلب الإصدارات الأقدم من App Service Environment إدارة موارد Azure يدويًا، كما أن لها قيودًا أكبر على التوسعة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تمكن App Service Environment التشفير الداخلي | يؤدي تعيين InternalEncryption إلى حقيقي إلى تشفير ملف ترحيل الصفحات وأقراص العاملين وحركة مرور الشبكة الداخلية بين الأطراف الأمامية والعمال في بيئة خدمة التطبيقات. لمعرفة المزيد، انتقل إلى https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | المراجعة، معطلة | 1.0.1 |
| يجب أن يتم تعطيل TLS 1.0 و 1.1 في بيئة خدمة التطبيق | تُعد TLS 1.0 و1.1 بروتوكولات قديمة لا تدعم خوارزميات التشفير الحديثة. يساعد تعطيل حركة الشبكة TLS 1.0 و1.1 الواردة على تأمين التطبيقات في App Service Environment. | التدقيق، الرفض، التعطيل | 2.0.1 |
| قم بتكوين فتحات تطبيق App Service لتعطيل المصادقة المحلية لعمليات نشر FTP | يؤدي تعطيل أساليب المصادقة المحلية لنشر FTP إلى تحسين الأمان من خلال التأكد من أن فتحات App Service تتطلب حصريا هويات Microsoft Entra للمصادقة. تعرف على المزيد من خلال: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists، معطل | 1.0.3 |
| قم بتكوين فتحات تطبيق App Service لتعطيل المصادقة المحلية لمواقع SCM | يؤدي تعطيل أساليب المصادقة المحلية لمواقع SCM إلى تحسين الأمان من خلال التأكد من أن فتحات App Service تتطلب حصريا هويات Microsoft Entra للمصادقة. تعرف على المزيد من خلال: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists، معطل | 1.0.3 |
| تكوين فتحات تطبيق App Service لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة لـ App Services بحيث لا يمكن الوصول إليه عبر الإنترنت العام. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/app-service-private-endpoint. | تعديل، تعطيل | 1.1.0 |
| تكوين الوصول إلى فتحات تطبيقات App Service عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تعديل، تعطيل | 2.0.0 |
| تكوين فتحات تطبيق App Service لإيقاف تشغيل تصحيح الأخطاء عن بعد | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين فتحات تطبيق App Service لاستخدام أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين تطبيقات خدمة التطبيقات لتعطيل المصادقة المحلية لعمليات نشر FTP | يؤدي تعطيل أساليب المصادقة المحلية لنشر FTP إلى تحسين الأمان من خلال التأكد من أن App Services تتطلب هويات Microsoft Entra حصريا للمصادقة. تعرف على المزيد من خلال: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists، معطل | 1.0.3 |
| تكوين تطبيقات خدمة التطبيقات لتعطيل المصادقة المحلية لمواقع SCM | يؤدي تعطيل أساليب المصادقة المحلية لمواقع SCM إلى تحسين الأمان من خلال التأكد من أن App Services تتطلب حصريا هويات Microsoft Entra للمصادقة. تعرف على المزيد من خلال: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists، معطل | 1.0.3 |
| تكوين تطبيقات App Service لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة لـ App Services بحيث لا يمكن الوصول إليه عبر الإنترنت العام. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/app-service-private-endpoint. | تعديل، تعطيل | 1.1.0 |
| تكوين الوصول إلى تطبيقات App Service عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تعديل، تعطيل | 2.0.0 |
| تكوين تطبيقات App Service لإيقاف تشغيل تصحيح الأخطاء عن بعد | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين تطبيقات App Services لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. تربط منطقة DNS خاصة شبكة ظاهرية بـ App Service. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين تطبيقات App Service لتستخدم أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين فتحات تطبيق الوظائف لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة لتطبيقات Function بحيث لا يمكن الوصول إليها عبر الإنترنت العام. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/app-service-private-endpoint. | تعديل، تعطيل | 1.1.0 |
| تكوين فتحات تطبيق الوظائف ليكون الوصول إليها فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تعديل، تعطيل | 2.0.0 |
| تكوين فتحات تطبيق الوظائف لإيقاف تشغيل تصحيح الأخطاء عن بعد | يتطلب تصحيح الأخطاء عن بعد فتح المنافذ الواردة على تطبيق Function. يجب إيقاف تشغيل التصحيح عن بُعد. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين فتحات تطبيق الوظائف لاستخدام أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين تطبيقات الوظائف لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة لتطبيقات Function بحيث لا يمكن الوصول إليها عبر الإنترنت العام. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/app-service-private-endpoint. | تعديل، تعطيل | 1.1.0 |
| تكوين تطبيقات الوظائف ليكون الوصول إليها فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تعديل، تعطيل | 2.0.0 |
| تكوين تطبيقات الوظائف لإيقاف تشغيل تصحيح الأخطاء عن بعد | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين تطبيقات الوظائف لتستخدم أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | DeployIfNotExists، معطل | 1.0.1 |
| يجب أن تعطل فتحات تطبيق الوظائف الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال التأكد من عدم كشف تطبيق الوظائف على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض تطبيق الوظائف. تعرف على المزيد من خلال: https://aka.ms/app-service-private-endpoint. | تدقيق، تعطيل، رفض | 1.0.0 |
| يجب تمكين شهادات العميل (شهادات العميل الواردة) في فتحات تطبيق الوظائف | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يكون تصحيح الأخطاء عن بعد في فتحات تطبيق الوظائف متوقفا عن التشغيل | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب ألا تحتوي فتحات تطبيق الوظائف على CORS مكون للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يكون الوصول إلى فتحات تطبيق الوظائف متوفر فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 2.0.0 |
| فتحات تطبيق الوظائف يجب أن تتطلب FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم فتحات تطبيق الوظائف مشاركة ملف Azure لدليل المحتوى الخاص به | يجب وضع دليل المحتوى لتطبيق الوظيفة على مشاركة ملف Azure. يجب توفير معلومات حساب التخزين لمشاركة الملف قبل أي نشاط نشر. لمعرفة المزيد حول استخدام Azure Files لاستضافة محتوى خدمة التطبيق، يُرجى الرجوع إلى https://go.microsoft.com/fwlink/?linkid=2151594. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم فتحات تطبيق الوظائف أحدث "إصدار HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم فتحات تطبيق الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم فتحات تطبيق الوظائف التي تستخدم Java "إصدار Java" محددا | إذ يتم إطلاق إصدارات أحدث لبرنامج Java بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Java لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Java يلبي متطلباتك. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم فتحات تطبيق الوظائف التي تستخدم Python "إصدار Python" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج Python إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Python لتطبيقات الوظائف من أجل الاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Python الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تقوم تطبيقات الوظائف بتعطيل الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال التأكد من عدم كشف تطبيق الوظائف على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض تطبيق الوظائف. تعرف على المزيد من خلال: https://aka.ms/app-service-private-endpoint. | تدقيق، تعطيل، رفض | 1.0.0 |
| يجب تمكين المصادقة لتطبيقات الوظائف | تُعد Azure App Service Authentication ميزة يمكنها منع طلبات HTTP المجهولة من الوصول إلى Function App أو مصادقة تلك التي تحتوي على رموز مميزة قبل وصولها إلى Function App. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين تطبيقات الوظائف شهادات العميل (شهادات العميل الواردة) | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| تطبيقات الوظائف يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 5.0.0 |
| يجب أن تتطلب تطبيقات الوظائف FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات الدوال مشاركة ملف Azure لدليل المحتوى الخاص بها | يجب وضع دليل المحتوى لتطبيق الوظيفة على مشاركة ملف Azure. يجب توفير معلومات حساب التخزين لمشاركة الملف قبل أي نشاط نشر. لمعرفة المزيد حول استخدام Azure Files لاستضافة محتوى خدمة التطبيق، يُرجى الرجوع إلى https://go.microsoft.com/fwlink/?linkid=2151594. | المراجعة، معطلة | 3.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث "إصدار HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 2.0.1 |
| يجب أن تستخدم تطبيقات الوظائف التي تستخدم Java "إصدار Java" محددا | إذ يتم إطلاق إصدارات أحدث لبرنامج Java بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Java لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Java يلبي متطلباتك. | AuditIfNotExists، معطل | 3.1.0 |
| يجب أن تستخدم تطبيقات الوظائف التي تستخدم Python "إصدار Python" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج Python إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Python لتطبيقات الوظائف من أجل الاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Python الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 4.1.0 |
إثبات
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يتعين أن تعطل مواضيع Azure Event Grid الوصول إلى الشبكة العامة | لتحسين أمان مورد Azure SignalR Service، تأكد من عدم تعرضه للإنترنت العام وأنه لا يمكن الوصول إليه إلا عبر نقطة النهاية الخاصة. قم بتعطيل خاصية الوصول إلى الشبكة العامة كما هو موضح في aka.ms/azureattestation. يعمل هذا الخيار على تعطيل إمكانية الوصول من أي مساحة عنوان عام تقع خارج نطاق IP Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو عنوان IP. وذلك من شأنه أن يقلل من مخاطر تسرب البيانات. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب على موفري شهادة Azure استخدام نقاط النهاية الخاصة | توفر نقاط النهاية الخاصة طريقة لتوصيل موفري شهادة Azure بموارد Azure خاصتك دون إرسال حركة مرور عبر الإنترنت العام. من خلال منع الوصول العام، تساعد نقاط النهاية الخاصة على الحماية من الوصول المجهول غير المرغوب فيه. | AuditIfNotExists، معطل | 1.0.0 |
Automanage
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب تمكين هوية مدارة على أجهزتك | يجب أن يكون للموارد المدارة بواسطة Automanage هوية مدارة. | المراجعة، معطلة | 1.0.0-المعاينة |
| [معاينة]: يجب أن يكون تعيين ملف تعريف تكوين الإدارة التلقائية متوافقا | يجب أن يكون للموارد التي تديرها Automanage حالة مطابقة أو متوافقة مع التصحيح. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تمكين تشخيصات التمهيد على الأجهزة الظاهرية | يجب أن تكون أجهزة Azure الظاهرية ممكنة ل diagniostics التمهيد. | المراجعة، معطلة | 1.0.0-المعاينة |
| تكوين الأجهزة الظاهرية ليتم إلحاقها ب Azure Automanage | يقوم Azure Automanage بتسجيل الأجهزة الظاهرية وتكوينها، ومراقبتها مع أفضل الممارسات كما هو محدد في إطار اعتماد سحابة Microsoft لـ Azure. استخدم هذا النهج لتطبيق Automanage على النطاق المحدد. | AuditIfNotExists، DeployIfNotExists، مُعطل | 2.4.0 |
| تكوين الأجهزة الظاهرية ليتم إعدادها في Azure Automanage باستخدام ملف تعريف التكوين المخصص | يقوم Azure Automanage بتسجيل الأجهزة الظاهرية وتكوينها، ومراقبتها مع أفضل الممارسات كما هو محدد في إطار اعتماد سحابة Microsoft لـ Azure. استخدم هذه النهج لتطبيق Automanage مع ملف تعريف التكوين المخصص الخاص بك على النطاق المحدد. | AuditIfNotExists، DeployIfNotExists، مُعطل | 1.4.0 |
| يجب تمكين التصحيح السريع للأجهزة الظاهرية Windows Server Azure Edition | تقليل عمليات إعادة التشغيل وتثبيت التحديثات بسرعة باستخدام التصحيح السريع. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/automanage/automanage-hotpatch. | التدقيق، الرفض، التعطيل | 1.0.0 |
Automation
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يكون لحساب التنفيذ التلقائي هوية مدارة | استخدم الهويات المدارة كأسلوب موصى به للمصادقة مع موارد Azure من دفاتر التشغيل. الهوية المدارة للمصادقة أكثر أمانا وتزيل الحمل الإداري المقترن باستخدام حساب RunAs في التعليمات البرمجية لدفتر التشغيل الخاص بك. | المراجعة، معطلة | 1.0.0 |
| يجب تشفير متغيرات حساب التنفيذ التلقائي | من المهم تمكين تشفير أصول متغير حساب التنفيذ التلقائي عند تخزين البيانات الحساسة | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تعطل حسابات Automation الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض المورد على الإنترنت العام. وعوضًا عن ذلك، يمكنك الحد من التعرض لموارد حساب Automation الخاص بك عن طريق إنشاء نقاط نهاية خاصة. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تعطيل أسلوب المصادقة المحلية لحساب Azure Automation | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان عن طريق ضمان أن تتطلب حسابات Azure Automation هويات Azure Active Directory حصرياً للمصادقة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم حسابات Azure Automation المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون لحسابات Azure Automation. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/automation-cmk. | التدقيق، الرفض، التعطيل | 1.0.0 |
| تكوين حساب Azure Automation لتعطيل المصادقة المحلية | تعطيل أساليب المصادقة المحلية بحيث تتطلب حسابات Azure Automation هويات Azure Active Directory حصرياً للمصادقة. | تعديل، تعطيل | 1.0.0 |
| تكوين حسابات Azure Automation لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة لحساب Azure Automation بحيث لا يمكن الوصول إليه عبر الإنترنت العام. يساعد هذا التكوين في حمايتهم من مخاطر تسرب البيانات. يمكنك الحد من التعرض لموارد حساب Automation الخاص بك عن طريق إنشاء نقاط نهاية خاصة بدلاً من ذلك. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | تعديل، تعطيل | 1.0.0 |
| تكوين حسابات Azure Automation باستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. تحتاج إلى تكوين منطقة DNS خاصة بشكل صحيح للاتصال بحساب Azure Automation عبر Azure Private Link. تعرف على المزيد من خلال: https://aka.ms/privatednszone. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين اتصالات نقطة النهاية الخاصة في حسابات Azure Automation | تسمح اتصالات نقطة النهاية الخاصة بالاتصال الآمن عن طريق تمكين الاتصال الخاص بحسابات Azure Automation دون الحاجة إلى عناوين IP العامة في المصدر أو الوجهة. تعرف على المزيد حول نقاط النهاية الخاصة في Azure Automation على https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists، معطل | 1.0.0 |
| يجب تمكين اتصالات نقطة النهاية الخاصة في حسابات Automation | تسمح اتصالات نقطة النهاية الخاصة بالاتصال الآمن عن طريق تمكين الاتصال الخاص بحسابات Automation دون حاجة إلى عناوين IP العامة في المصدر أو الوجهة. تعرف على المزيد حول نقاط النهاية الخاصة في Azure Automation على https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists، معطل | 1.0.0 |
Azure Active Directory
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم المجالات المدارة لـ Azure Active Directory Domain Services الوضع TLS 1.2 فقط | لا تستخدم سوى وضع TLS 1.2 فقط لمجالاتك المدارة. بشكل افتراضي، تتيح Azure AD Domain Services استخدام التشفيرات مثل NTLM v1 وTLS v1. وقد تكون هذه الشفرات مطلوبة لبعض التطبيقات القديمة، إلا إنه تعتبر ضعيفة ويمكن تعطيلها إذا لم تكن بحاجة إليها. وعند تمكين وضع TLS 1.2 فقط، فسيفشل أي عميل يُجري طلباً وهو لا يستخدم TLS 1.2. تعرّف على المزيد من خلال https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. | التدقيق، الرفض، التعطيل | 1.1.0 |
خدمات الذكاء الاصطناعي في Azure
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة | من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure. | التدقيق، الرفض، التعطيل | 3.2.0 |
| تكوين موارد Azure الذكاء الاصطناعي Services لتعطيل الوصول إلى المفتاح المحلي (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | DeployIfNotExists، معطل | 1.0.0 |
| تكوين موارد Azure الذكاء الاصطناعي Services لتعطيل الوصول إلى المفتاح المحلي (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | DeployIfNotExists، معطل | 1.0.0 |
| يجب تمكين سجلات التشخيص في موارد خدمات Azure الذكاء الاصطناعي | تمكين السجلات لموارد خدمات Azure الذكاء الاصطناعي. يمكنك هذا من إعادة إنشاء مسارات النشاط لأغراض التحقيق، عند حدوث حادث أمان أو اختراق شبكتك | AuditIfNotExists، معطل | 1.0.0 |
Azure Arc
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: رفض إنشاء ترخيص التحديثات الأمان الموسع (ESUs) أو تعديله. | يمكنك هذا النهج من تقييد إنشاء تراخيص ESU أو تعديلها لأجهزة Arc ل Windows Server 2012. لمزيد من التفاصيل حول التسعير يرجى زيارة https://aka.ms/ArcWS2012ESUPricing | رفض، مُعطل | 1.0.0-المعاينة |
| [معاينة]: تمكين ترخيص التحديثات الأمان الموسع (ESUs) للحفاظ على حماية أجهزة Windows 2012 بعد انتهاء دورة حياة الدعم الخاصة بها. | تمكين ترخيص التحديثات الأمان الموسع (ESUs) للحفاظ على حماية أجهزة Windows 2012 حتى بعد انتهاء دورة حياة الدعم الخاصة بها. تعرف على كيفية التحضير لتقديم التحديثات الأمان الموسع ل Windows Server 2012 من خلال AzureArc يرجى زيارة https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. لمزيد من التفاصيل حول التسعير يرجى زيارة https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| يتعين تكوين Azure Arc Private Link Scopes بنقطة نهاية خاصة | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى Azure Monitor Private Link Scopes، يمكنك الحد من مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/arc/privatelink. | المراجعة، معطلة | 1.0.0 |
| يتعين أن تعطل Azure Arc Private Link Scopes الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال التأكد من عدم إمكانية اتصال موارد Azure Arc من خلال الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من التعرض لموارد Azure Arc. تعرف على المزيد من خلال: https://aka.ms/arc/privatelink. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تكوين مجموعات kubernetes الممكنة في Azure Arc باستخدام نطاق ارتباط Azure Arc الخاص | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين خوادم Azure Arc الممكنة إلى Azure Arc Private Link Scope الذي تم تكوينه باستعمال نقطة نهاية خاصة، يتم تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/arc/privatelink. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يتعين تكوين الخوادم الممكنة بواسطة Azure Arc باستخدام Azure Arc Private Link Scope | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين خوادم Azure Arc الممكنة إلى Azure Arc Private Link Scope الذي تم تكوينه باستعمال نقطة نهاية خاصة، يتم تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/arc/privatelink. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يتعين أن تعطل Azure Arc Private Link Scopes عملية الوصول إلى الشبكة العامة | عطل الوصول إلى الشبكة العامة لـ Azure Arc Private Link Scope حتى لا يمكن لموارد Azure Arc المقترنة الاتصال بخدمات Azure Arc عبر الإنترنت العام. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/arc/privatelink. | تعديل، تعطيل | 1.0.0 |
| تكوين Azure Monitor Private Link Scope لاستخدام المناطق الخاصة لنظام أسماء النطاقات "DNS" | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. إذ ترتبط منطقة نظام أسماء النطاقات الخاصة بالشبكة الظاهرية لديك لحلها بنطاق الرابط الخاص لـ Azure Arc. تعرف على المزيد من خلال: https://aka.ms/arc/privatelink. | DeployIfNotExists، معطل | 1.2.0 |
| تكوين Azure Monitor Private Link Scope باستعمال نقاط نهاية خاصة | تعمل نقاط النهاية الخاصة على توصيل شبكاتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة إلى Azure Monitor Private Link Scopes يمكنك الحد من مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/arc/privatelink. | DeployIfNotExists، معطل | 2.0.0 |
| تكوين مجموعات Kubernetes التي تدعم Azure Arc لاستخدام نطاق ارتباط Azure Arc الخاص | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين خوادم Azure Arc الممكنة إلى Azure Arc Private Link Scope الذي تم تكوينه باستعمال نقطة نهاية خاصة، يتم تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/arc/privatelink. | تعديل، تعطيل | 1.0.0 |
| تكوين خوادم Azure Arc الممكنة لاستعمال Azure Arc Private Link Scope | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين خوادم Azure Arc الممكنة إلى Azure Arc Private Link Scope الذي تم تكوينه باستعمال نقطة نهاية خاصة، يتم تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/arc/privatelink. | تعديل، تعطيل | 1.0.0 |
Azure Data Explorer (Kusto)
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تعطيل جميع مسؤول قاعدة البيانات على Azure Data Explorer | قم بتعطيل جميع دور مسؤول قاعدة البيانات لتقييد منح دور مستخدم متميز/إداري للغاية. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم مجموعة Azure Data Explorer رابطا خاصا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجموعة Azure Data Explorer، يتم تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint. | المراجعة، معطلة | 1.0.0 |
| يجب أن يستخدم تشفير Azure Data Explorer في وضع السكون مفتاحًا مدارًا من قبل العميل | يتيح تمكين التشفير في وضع ثبات البيانات باستخدام مفتاح مدار من قبل العميل على مجموعة نظام مستكشف البيانات Azure التحكم الإضافي على المفتاح المستخدم بواسطة التشفير في وضع البيانات الثابتة. هذه الميزة غالبًا تكون قابلة للتطبيق على العملاء الذين لديهم متطلبات توافق خاصة وتتطلب حالتهم Key Vault لإدارة المفاتيح. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يستخدم Azure Data Explorer SKU يدعم الارتباط الخاص | من خلال وحدات SKU، يتيح Azure Private Link لك توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى التطبيقات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/private-link. | التدقيق، الرفض، التعطيل | 1.0.0 |
| تكوين مجموعات Azure Data Explorer مع نقاط النهاية الخاصة | تعمل نقاط النهاية الخاصة على توصيل شبكاتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة إلى Azure Data Explorer، يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد في: [ServiceSpecificAKA.ms]. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Azure Data Explorer لتعطيل الوصول إلى الشبكة العامة | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى إيقاف الاتصال العام بحيث يمكن الوصول إلى Azure Data Explorer فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول إلى الشبكة العامة لجميع مجموعات Azure Data Explorer . | تعديل، تعطيل | 1.0.0 |
| يجب تمكين تشفير القرص على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تمكين التشفير المزدوج على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وضمان سلامتها بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير المزدوج، يتم تشفير البيانات في حساب التخزين مرتين، مرة على مستوى الخدمة ومرة على مستوى البنية الأساسية، باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تعطيل الوصول إلى الشبكة العامة على Azure Data Explorer | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure Data Explorer فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين حقن الشبكة الظاهرية لمستكشف بيانات Azure | قم بتأمين محيط الشبكة باستخدام حقن الشبكة الظاهرية التي تسمح لك بفرض قواعد مجموعة أمان الشبكة والاتصال الداخلي وتأمين مصادر اتصال البيانات بنقاط نهاية الخدمة. | التدقيق، الرفض، التعطيل | 1.0.0 |
Azure Databricks
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تعطل مجموعات Azure Databricks IP العام | يؤدي تعطيل IP العام للمجموعات في مساحات عمل Azure Databricks إلى تحسين الأمان من خلال ضمان عدم كشف المجموعات على الإنترنت العام. تعرف على المزيد من خلال: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تكون مساحات عمل Azure Databricks في شبكة ظاهرية | توفر شبكات Azure الظاهرية أمانا وعزلا محسنين لمساحات عمل Azure Databricks، بالإضافة إلى الشبكات الفرعية ونهج التحكم في الوصول والميزات الأخرى لتقييد الوصول بشكل أكبر. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن تكون مساحات عمل Azure Databricks Premium SKU التي تدعم ميزات مثل الارتباط الخاص والمفتاح المدار من قبل العميل للتشفير | السماح فقط بمساحة عمل Databricks مع Premium Sku التي يمكن لمؤسستك نشرها لدعم ميزات مثل Private Link، المفتاح المدار من قبل العميل للتشفير. تعرف على المزيد من خلال: https://aka.ms/adbpe. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تعطل مساحات عمل Azure Databricks الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض المورد على الإنترنت العام. يمكنك التحكم في تعرض مواردك عن طريق إنشاء نقاط نهاية خاصة بدلا من ذلك. تعرف على المزيد من خلال: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم مساحات عمل Azure Databricks رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مساحات عمل Azure Databricks، يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/adbpe. | المراجعة، معطلة | 1.0.2 |
| تكوين مساحة عمل Azure Databricks لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة DNS خاصة بشبكتك الظاهرية لحلها بمساحات عمل Azure Databricks. تعرف على المزيد من خلال: https://aka.ms/adbpe. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين مساحات عمل Azure Databricks باستخدام نقاط النهاية الخاصة | تعمل نقاط النهاية الخاصة على توصيل شبكاتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة إلى مساحات عمل Azure Databricks، يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/adbpe. | DeployIfNotExists، معطل | 1.0.2 |
| تكوين إعدادات التشخيص لمساحات عمل Azure Databricks إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لمساحات عمل Azure Databricks لدفق سجلات الموارد إلى مساحة عمل Log Analytics عند إنشاء أو تحديث أي مساحة عمل Azure Databricks مفقودة لإعدادات التشخيص هذه. | DeployIfNotExists، معطل | 1.0.1 |
| يجب تمكين سجلات الموارد في مساحات عمل Azure Databricks | تمكن سجلات الموارد من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحقيق عند حدوث حادث أمان أو عند اختراق الشبكة. | AuditIfNotExists، معطل | 1.0.1 |
Azure Edge Hardware Center
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ينبغي تمكين دعم التشفير المزدوج لأجهزة مركز الأجهزة Azure Edge | تأكد من تمكين دعم التشفير المزدوج للأجهزة المطلوبة من مركز الأجهزة Azure Edge، لتأمين البيانات الموجودة على الجهاز. يضيف هذا الخيار طبقة ثانية من تشفير البيانات. | التدقيق، الرفض، التعطيل | 2.0.0 |
اختبار تحميل Azure
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يستخدم مورد اختبار تحميل Azure المفاتيح التي يديرها العميل لتشفير البيانات الثابتة | استخدم المفاتيح المدارة من قبل العميل (CMK) لإدارة التشفير الثابت لمورد اختبار تحميل Azure. بشكل افتراضي، يتم التشفير باستخدام المفاتيح المدارة بواسطة الخدمة، تمكن المفاتيح المدارة من قبل العميل البيانات من التشفير باستخدام مفتاح Azure Key Vault الذي أنشأته وامتلكته. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. | التدقيق، الرفض، التعطيل | 1.0.0 |
Azure Purview
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يتعين أن تستخدم حسابات Azure Purview الارتباط الخاص | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى حسابات Azure Purview بدلًا من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/purview-private-link. | المراجعة، معطلة | 1.0.0 |
Azure Stack Edge
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب استخدام التشفير المزدوج على أجهزة Azure Stack Edge | لتأمين البيانات الثابتة على الجهاز، وضمان أنها مزدوجة التشفير، يتم التحكم في الوصول إلى البيانات، وبمجرد إلغاء تنشيط الجهاز، يتم مسح البيانات بأمان من أقراص البيانات. التشفير المزدوج هو استخدام طبقتين من التشفير: تشفير BitLocker XTS-AES 256 بت على وحدات تخزين البيانات والتشفير المضمن لمحركات الأقراص الثابتة. تعرف على المزيد في وثائق نظرة عامة على الأمان لجهاز Stack Edge المحدد. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
Azure Update Manager
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين التحقق الدوري من وجود تحديثات نظام مفقودة على الخوادم التي تدعم Azure Arc | قم بتكوين التقييم التلقائي (كل 24 ساعة) لتحديثات نظام التشغيل على الخوادم التي تدعم Azure Arc. يمكنك التحكم في نطاق التعيين وفقاً لاشتراك الجهاز، أو مجموعة الموارد، أو الموقع، أو العلامة. تعرف على المزيد حول هذا لنظام التشغيل Windows: https://aka.ms/computevm-windowspatchassessmentmode، لنظام التشغيل Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | تعديل | 2.2.1 |
| تكوين التحقق الدوري من وجود تحديثات نظام مفقودة على أجهزة Azure الظاهرية | قم بتكوين التقييم التلقائي (كل 24 ساعة) لتحديثات نظام التشغيل على أجهزة Azure الظاهرية الأصلية. يمكنك التحكم في نطاق التعيين وفقاً لاشتراك الجهاز، أو مجموعة الموارد، أو الموقع، أو العلامة. تعرف على المزيد حول هذا لنظام التشغيل Windows: https://aka.ms/computevm-windowspatchassessmentmode، لنظام التشغيل Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | تعديل | 4.8.0 |
| يجب تكوين الأجهزة للتحقق بشكل دوري من وجود تحديثات نظام مفقودة | لضمان تشغيل التقييمات الدورية لتحديثات النظام المفقودة تلقائياً كل 24 ساعة، يجب تعيين خاصية "AssessmentMode" على "AutomaticByPlatform". تعرف على المزيد حول خاصية "AssessmentMode" لنظام التشغيل Windows: https://aka.ms/computevm-windowspatchassessmentmode، لنظام التشغيل Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | التدقيق، الرفض، التعطيل | 3.7.0 |
| جدولة التحديثات المتكررة باستخدام Azure Update Manager | يمكنك استخدام Azure Update Manager في Azure لحفظ جداول التوزيع المتكررة لتثبيت تحديثات نظام التشغيل لأجهزة Windows Server وLinux في Azure وفي البيئات المحلية وفي بيئات السحابة الأخرى المتصلة باستخدام خوادم Azure Arc الممكنة. ستعمل هذه النهج أيضاً على تغيير وضع التصحيح لـ Azure Virtual Machine إلى "AutomaticByPlatform". مشاهدة المزيد: https://aka.ms/umc-scheduled-patching | DeployIfNotExists، معطل | 3.10.0 |
نسخة احتياطية
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب تثبيت Azure Backup Extension في مجموعات AKS | تأكد من تثبيت الحماية لملحق النسخ الاحتياطي في مجموعات AKS للاستفادة من Azure Backup. Azure Backup ل AKS هو حل آمن وسحابة لحماية البيانات الأصلية لمجموعات AKS | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تمكين Azure Backup لمجموعات AKS | تأكد من حماية مجموعات AKS الخاصة بك عن طريق تمكين Azure Backup. Azure Backup ل AKS هو حل آمن وسحابة لحماية البيانات الأصلية لمجموعات AKS. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تمكين Azure Backup للكائنات الثنائية كبيرة الحجم في حسابات التخزين | تأكد من حماية حسابات التخزين الخاصة بك عن طريق تمكين Azure Backup. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تمكين Azure Backup للأقراص المدارة | تأكد من حماية الأقراص المدارة عن طريق تمكين Azure Backup. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تستخدم Azure Backup Vaults المفاتيح التي يديرها العميل لتشفير بيانات النسخ الاحتياطي. أيضا خيار لفرض التشفير بالأشعة تحت الحمراء. | يتبع هذا النهج "التأثير" إذا تم تمكين الإعدادات التشفير لخزائن النسخ الاحتياطي في النطاق. بالإضافة إلى ذلك، خيار للتحقق مما إذا كان مخزن النسخ الاحتياطي قد تم تمكين تشفير البنية التحتية أيضا. تعرّف على المزيد من خلال https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk. يرجى ملاحظة أنه عند استخدام تأثير "الرفض"، ستحتاج إلى تمكين تشفير الإعدادات على خزائن النسخ الاحتياطي الموجودة من أجل السماح بعمليات التحديث الأخرى على المخزن. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تعطل مخازن Azure Recovery Services الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم كشف مخزن خدمات الاسترداد على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض مخزن خدمات الاسترداد. تعرف على المزيد من خلال: https://aka.ms/AB-PublicNetworkAccess-Deny. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تستخدم مخازن خدمات استرداد Azure المفاتيح المُدارة من قبل العملاء لتشفير بيانات النسخ الاحتياطي | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون لبيانات النسخ الاحتياطي. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/AB-CmkEncryption. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تستخدم مخازن خدمات استرداد Azure رابطًا خاصًا للنسخ الاحتياطي | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى Recovery Services Vaults، يتم تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/AB-PrivateEndpoints. | المراجعة، معطلة | 2.0.0-المعاينة |
| [معاينة]: تكوين مخازن Azure Recovery Services لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة لمخزن خدمات الاسترداد بحيث لا يمكن الوصول إليه عبر الإنترنت العام. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/AB-PublicNetworkAccess-Deny. | تعديل، تعطيل | 1.0.0-المعاينة |
| [معاينة]: تكوين النسخ الاحتياطي للكائنات الثنائية كبيرة الحجم على حسابات التخزين بعلامة معينة إلى مخزن نسخ احتياطي موجود في نفس المنطقة | افرض النسخ الاحتياطي للنقاط على جميع حسابات التخزين التي تحتوي على علامة معينة إلى مخزن احتياطي مركزي. قد يساعدك القيام بذلك في إدارة النسخ الاحتياطي للنقاط الموجودة عبر حسابات تخزين متعددة على نطاق واسع. لمزيد من التفاصيل، يرجى الرجوع إلى https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists، AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين النسخ الاحتياطي للكائن الثنائي كبير الحجم لجميع حسابات التخزين التي لا تحتوي على علامة معينة إلى مخزن النسخ الاحتياطي في نفس المنطقة | افرض النسخ الاحتياطي للنقاط على جميع حسابات التخزين التي لا تحتوي على علامة معينة إلى قبو نسخ احتياطي مركزي. قد يساعدك القيام بذلك في إدارة النسخ الاحتياطي للنقاط الموجودة عبر حسابات تخزين متعددة على نطاق واسع. لمزيد من التفاصيل، يرجى الرجوع إلى https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists، AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين مخازن خدمات الاسترداد لاستخدام مناطق DNS الخاصة للنسخ الاحتياطي | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة DNS خاصة بالشبكة الظاهرية لحلها باستخدام Recovery Services Vault. تعرف على المزيد من خلال: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists، معطل | 1.0.1 - المعاينة |
| [معاينة]: تكوين مخازن خدمات الاسترداد لاستخدام نقاط النهاية الخاصة للنسخ الاحتياطي | تعمل نقاط النهاية الخاصة على توصيل شبكاتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة لمخازن Recovery Services، يمكنك تقليل مخاطر تسرب البيانات. لاحظ أن مخازنك تحتاج إلى تلبية بعض المتطلبات المسبقة لتكون مؤهلاً لتكوين نقطة النهاية الخاصة. تعلم المزيد على: https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تعطيل استعادة الاشتراك المتقاطع لمخازن خدمات الاسترداد Azure | قم بتعطيل أو استعادة الاشتراك المتقاطع بشكل دائم لمخزن خدمات الاسترداد بحيث لا يمكن أن تكون أهداف الاستعادة في اشتراك مختلف عن اشتراك المخزن. تعرف على المزيد من خلال: https://aka.ms/csrenhancements. | تعديل، تعطيل | 1.1.0-preview |
| [معاينة]: تعطيل استعادة الاشتراك المتقاطع لخزائن النسخ الاحتياطي | قم بتعطيل أو استعادة الاشتراك المتقاطع بشكل دائم لمخزن النسخ الاحتياطي بحيث لا يمكن أن تكون أهداف الاستعادة في اشتراك مختلف عن اشتراك المخزن. تعرف على المزيد من خلال: https://aka.ms/csrstatechange. | تعديل، تعطيل | 1.1.0-preview |
| [معاينة]: لا تسمح بإنشاء مخازن خدمات الاسترداد لتكرار التخزين المختار. | يمكن إنشاء مخازن خدمات الاسترداد مع أي واحد من ثلاثة خيارات لتكرار التخزين اليوم، وهي التخزين المكرر محليا والتخزين المتكرر في المنطقة والتخزين المتكرر جغرافيا. إذا كانت النهج في مؤسستك تتطلب منك حظر إنشاء خزائن تنتمي إلى نوع تكرار معين، فقد تحقق الشيء نفسه باستخدام نهج Azure هذا. | رفض، مُعطل | 1.0.0-المعاينة |
| [معاينة]: يجب تمكين عدم قابلية التغيير لخزائن النسخ الاحتياطي | يدقق هذا النهج إذا تم تمكين خاصية الخزائن غير القابلة للتغيير لمخازن النسخ الاحتياطي في النطاق. يساعد هذا في حماية بيانات النسخ الاحتياطي من الحذف قبل انتهاء صلاحيتها المقصودة. تعرّف على المزيد من خلال https://aka.ms/AB-ImmutableVaults. | المراجعة، معطلة | 1.0.1 - المعاينة |
| [معاينة]: يجب تمكين عدم قابلية التغيير لخزائن خدمات الاسترداد | يدقق هذا النهج إذا تم تمكين خاصية الخزائن غير القابلة للتغيير لمخازن خدمات الاسترداد في النطاق. يساعد هذا في حماية بيانات النسخ الاحتياطي من الحذف قبل انتهاء صلاحيتها المقصودة. تعرّف على المزيد من خلال https://aka.ms/AB-ImmutableVaults. | المراجعة، معطلة | 1.0.1 - المعاينة |
| [معاينة]: يجب تمكين التخويل متعدد المستخدمين (MUA) لخزائن النسخ الاحتياطي. | يدقق هذا النهج إذا تم تمكين التخويل متعدد المستخدمين (MUA) لمخازن النسخ الاحتياطي. يساعد التخويل متعدد المستخدمين في تأمين خزائن النسخ الاحتياطي الخاصة بك عن طريق إضافة طبقة إضافية من الحماية إلى العمليات الهامة. لمعرفة المزيد، تفضل بزيارة https://aka.ms/mua-for-bv. | المراجعة، معطلة | 1.0.0-المعاينة |
| [معاينة]: يجب تمكين التخويل متعدد المستخدمين (MUA) لخزائن خدمات الاسترداد. | يدقق هذا النهج إذا تم تمكين التخويل متعدد المستخدمين (MUA) لخزائن خدمات الاسترداد. يساعد التخويل متعدد المستخدمين في تأمين خزائن خدمات الاسترداد الخاصة بك عن طريق إضافة طبقة إضافية من الحماية إلى العمليات الهامة. لمعرفة المزيد، تفضل بزيارة https://aka.ms/MUAforRSV. | المراجعة، معطلة | 1.0.0-المعاينة |
| [معاينة]: يجب تمكين الحذف المبدئي لخزائن خدمات الاسترداد. | يقوم هذا النهج بالتدقيق إذا تم تمكين الحذف المبدئي ل Recovery Services Vaults في النطاق. يمكن أن يساعدك الحذف المبدئي على استرداد بياناتك حتى بعد حذفها. تعرّف على المزيد من خلال https://aka.ms/AB-SoftDelete. | المراجعة، معطلة | 1.0.0-المعاينة |
| [معاينة]: يجب تمكين الحذف المبدئي لخزائن النسخ الاحتياطي | يدقق هذا النهج إذا تم تمكين الحذف المبدئي لمخازن النسخ الاحتياطي في النطاق. يمكن أن يساعدك الحذف المبدئي على استرداد بياناتك بعد حذفها. تعرّف على المزيد من خلال: https://aka.ms/AB-SoftDelete. | المراجعة، معطلة | 1.0.0-المعاينة |
| يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية | تأكد من حماية الأجهزة الظاهرية Azure الخاصة بك عن طريق تمكين النسخ الاحتياطي Azure. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure. | AuditIfNotExists، معطل | 3.0.0 |
| تكوين النسخ الاحتياطي على الأجهزة الظاهرية باستخدام علامة معينة إلى حاوية خدمات للنسخ الاحتياطي جديد باستخدام نهج افتراضي | فرض النسخ الاحتياطي لكافة الأجهزة الظاهرية عن طريق نشر حاوية خدمات النسخ الاحتياطي في نفس الموقع ومجموعة الموارد مثل الجهاز الظاهري. يعد القيام بذلك أمرًا مفيدًا عندما يتم تخصيص مجموعات موارد منفصلة لفرق التطبيقات المختلفة في مؤسستك وتحتاج إلى إدارة النسخ الاحتياطية الخاصة بها والاستعادة. يمكنك اختياريًا تضمين الأجهزة الظاهرية المحتوية على علامة محددة للتحكم في نطاق التعيين. راجع https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| تكوين النسخ الاحتياطي على الأجهزة الظاهرية باستخدام علامة معينة إلى حاوية حالية لخدمات للنسخ الاحتياطي في نفس الموقع | فرض النسخ الاحتياطي على جميع الأجهزة الظاهرية عن طريق نسخها احتياطيًا إلى حاوية مركزية حالية لخدمات النسخ الاحتياطي في نفس الموقع والاشتراك مثل الجهاز الظاهري. يعد القيام بذلك أمرًا مفيدًا عندما يكون هناك فريق مركزي في مؤسستك يدير النسخ الاحتياطية لكافة الموارد في الاشتراك. يمكنك اختياريًا تضمين الأجهزة الظاهرية المحتوية على علامة محددة للتحكم في نطاق التعيين. راجع https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| تكوين النسخ الاحتياطي على الأجهزة الظاهرية بدون علامة معينة إلى حاوية جديدة لخدمات النسخ الاحتياطي باستخدام نهج افتراضي | فرض النسخ الاحتياطي لكافة الأجهزة الظاهرية عن طريق نشر حاوية خدمات النسخ الاحتياطي في نفس الموقع ومجموعة الموارد مثل الجهاز الظاهري. يعد القيام بذلك أمرًا مفيدًا عندما يتم تخصيص مجموعات موارد منفصلة لفرق التطبيقات المختلفة في مؤسستك وتحتاج إلى إدارة النسخ الاحتياطية الخاصة بها والاستعادة. يمكنك اختياريًا استبعاد الأجهزة الظاهرية المحتوية على علامة محددة للتحكم في نطاق التعيين. راجع https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| تكوين النسخ الاحتياطي على الأجهزة الظاهرية بدون علامة معينة إلى حاوية حالية لخدمات للنسخ الاحتياطي في نفس الموقع | فرض النسخ الاحتياطي على جميع الأجهزة الظاهرية عن طريق نسخها احتياطيًا إلى حاوية مركزية حالية لخدمات النسخ الاحتياطي في نفس الموقع والاشتراك مثل الجهاز الظاهري. يعد القيام بذلك أمرًا مفيدًا عندما يكون هناك فريق مركزي في مؤسستك يدير النسخ الاحتياطية لكافة الموارد في الاشتراك. يمكنك اختياريًا استبعاد الأجهزة الظاهرية المحتوية على علامة محددة للتحكم في نطاق التعيين. راجع https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| نشر الإعدادات تشخيصية لـRecovery Services Vault إلى مساحة عملLog Analytics لفئات محددة من الموارد. | نشر الإعدادات تشخيصية لـRecovery Services Vault للبث إلى مساحة عملLog Analytics لفئات محددة من الموارد. إذا لم يتم تمكين أي فئة من فئات الموارد المحددة، يتم إنشاء إعداد تشخيصي جديد. | deployIfNotExists | 1.0.2 |
دُفعة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يستخدم حساب Azure Batch المفاتيح المدارة من قبل العميل لتشفير البيانات | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون لحساب Batch. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/Batch-CMK. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب تفعيل تشفير قرص مجموعات Azure Batch | يضمن تفعيل تشفير قرص Azure Batch التشفير الدائم للبيانات في بقية عقدة Azure Batch في الحاسب النواتي. تعرف على المزيد حول تشفير القرص في Batch في https://docs.microsoft.com/azure/batch/disk-encryption . | تدقيق، تعطيل، رفض | 1.0.0 |
| يجب أن تكون أساليب المصادقة المحلية غير مفعلة في حسابات Batch | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان عن طريق التأكد من أن حسابات Batch تتطلب هويات Azure Active Directory بشكل حصري للمصادقة. تعرف على المزيد من خلال: https://aka.ms/batch/auth. | التدقيق، الرفض، التعطيل | 1.0.0 |
| تكوين حسابات Batch لتعطيل المصادقة المحلية | عطِّل أساليب المصادقة المحلية بحيث تتطلب حسابات Batch هويات Azure Active Directory على وجه الحصر للمصادقة. تعرف على المزيد من خلال: https://aka.ms/batch/auth. | تعديل، تعطيل | 1.0.0 |
| تكوين حسابات الدُّفعة لتعطيل الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة على حساب Batch إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى حساب Batch فقط من نقطة نهاية خاصة. تعرف على المزيد حول تعطيل الوصول إلى الشبكة العامة في https://docs.microsoft.com/azure/batch/private-connectivity . | تعديل، تعطيل | 1.0.0 |
| تكوين حسابات Batch بنقاط نهاية خاصة | تقوم نقاط النهاية الخاصة بتوصيل الشبكة الظاهرية بخدمات Azure بدون العنوان العام لـ IP في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة بحسابات Batch، يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists، معطل | 1.0.0 |
| نشر - تكوين مناطق DNS خاصة لنقاط النهاية الخاصة التي تتصل بحسابات Batch | تسمح سجلات DNS الخاصة باتصالات خاصة بنقاط النهاية الخاصة. تسمح اتصالات نقطة النهاية الخاصة بالاتصال الآمن عن طريق تمكين الاتصال الخاص بحسابات Batch دون الحاجة إلى العناوين العامة لـ IP في المصدر أو الوجهة. لمزيد من المعلومات حول نقاط النهاية الخاصة ومناطق DNS في حسابات Batch، راجع https://docs.microsoft.com/azure/batch/private-connectivity . | DeployIfNotExists، معطل | 1.0.0 |
| يجب تكوين قواعد التنبيه المترية على حسابات Batch | دقق تكوين قواعد التنبيه المترية على حساب Batch لتمكين المقياس المطلوب | AuditIfNotExists، معطل | 1.0.0 |
| يجب تفعيل اتصالات نقطة النهاية الخاصة على حسابات Batch | تسمح اتصالات نقطة النهاية الخاصة بالاتصال الآمن عن طريق تمكين الاتصال الخاص بحسابات Batch دون الحاجة إلى العناوين العامة لـ IP في المصدر أو الوجهة. تعرف على المزيد حول نقاط النهاية الخاصة في Batch في https://docs.microsoft.com/azure/batch/private-connectivity. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لحسابات Batch | يؤدي تعطيل الوصول إلى الشبكة العامة على حساب Batch إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى حساب Batch فقط من نقطة نهاية خاصة. تعرف على المزيد حول تعطيل الوصول إلى الشبكة العامة في https://docs.microsoft.com/azure/batch/private-connectivity . | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين سجلات الموارد في حسابات Batch | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
خدمة روبوت
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تكون نقطة نهاية Bot Service من نوع URI HTTPS الصالح | يمكن العبث بالبيانات أثناء الإرسال. توجد بروتوكولات توفر تشفيرا لمعالجة مشكلات سوء الاستخدام والتلاعب. لضمان تواصل برامج البوت عبر القنوات المشفرة فقط، حدد نقطة النهاية إلى HTTPS URI صالح. تضمن هذه الخطوة استخدام بروتوكول HTTPS لتشفير بياناتك أثناء النقل، كما أنه غالبا ما يكون شرطا للامتثال للمعايير التنظيمية أو معايير الصناعة. يرجى زيارة: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines . | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب تشفير Bot Service بمفتاح مُدار من قبل العميل | تقوم خدمة Azure Bot Service تلقائيًا بتشفير المورد لحماية بياناتك والوفاء بالتزامات الأمان والامتثال التنظيمي. افتراضيا، يتم استخدام مفاتيح التشفير المدارة من Microsoft. لمزيد من المرونة في إدارة المفاتيح أو التحكم في الوصول إلى الاشتراك، حدد المفاتيح التي يديرها العميل، والمعروفة أيضًا باسم إحضار المفتاح (BYOK). تعرف على المزيد حول تشفير خدمة Azure Bot: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب تفعيل "وضع العزل" في Bot Service | يجب تعيين Bot Service على وضع "معزول فقط". يُكوِّن هذا الإعداد قنوات Bot Service التي تتطلب تعطيل حركة المرور عبر شبكة الإنترنت العامة. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.0 |
| يجب أن تعطل أساليب المصادقة المحلية في Bot Service | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من أن البوت يستخدم AAD حصريا للمصادقة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يتعين أن يكون الوصول إلى الشبكة العامة معطلا لخدمة الروبوت | يجب تعيين Bot Service على وضع "معزول فقط". يُكوِّن هذا الإعداد قنوات Bot Service التي تتطلب تعطيل حركة المرور عبر شبكة الإنترنت العامة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم موارد الوصول إلى خدمة BotService رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة في مورد BotService، يتم خفض مخاطر تسريب البيانات. | المراجعة، معطلة | 1.0.0 |
| تهيئة موارد الوصول إلى BotService لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة DNS خاصة بشبكة الاتصال الافتراضية لحلها بالموارد المتعلقة بتطبيق BotService. تعرف على المزيد من خلال: https://aka.ms/privatednszone. | DeployIfNotExists، معطل | 1.0.0 |
| تهيئة موارد الوصول إلى BotService باستخدام نقاط النهاية الخاصة | تقوم نقاط النهاية الخاصة بتوصيل الشبكة الظاهرية بخدمات Azure بدون العنوان العام لـ IP في المصدر أو الوجهة. يمكنك تقليل مخاطر تسريب البيانات من خلال تعيين نقاط نهاية خاصة إلى مورد BotService | DeployIfNotExists، معطل | 1.0.0 |
ذاكرة التخزين المؤقت
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يعطل Azure Cosmos DB الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم تعرض ذاكرة التخزين المؤقت لـ Azure for Redis على الإنترنت العام. يمكنك الحد من تعرض ذاكرة التخزين المؤقت لـ Azure for Redis عن طريق إنشاء نقاط نهاية خاصة بدلاً من ذلك. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| تكوين ذاكرة التخزين المؤقت Azure ل Redis لتعطيل المنافذ غير SSL | تمكين اتصالات SSL فقط بذاكرة التخزين المؤقت Azure ل Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة | تعديل، تعطيل | 1.0.0 |
| يجب أن يعطل Azure Cache for Redis الوصول إلى الشبكة العامة | تعطيل الوصول إلى الشبكة العامة لمورد Azure Cache for Redis بحيث لا يمكن الوصول إليه عبر الإنترنت العام. يساعد هذا في حماية ذاكرة التخزين المؤقت ضد مخاطر تسرب البيانات. | تعديل، تعطيل | 1.0.0 |
| تكوين Azure File Sync لاستخدام مناطق نظام أسماء النطاقات الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. يمكن ربط منطقة DNS خاصة بالشبكة الظاهرية لحلها إلى ذاكرة التخزين المؤقت Azure for Redis. تعرف على المزيد من خلال: https://aka.ms/privatednszone. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين ذاكرة التخزين المؤقت Azure for Redis مع نقاط النهاية الخاصة | تتيح لك نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. عن طريق تعيين نقاط النهاية الخاصة إلى ذاكرة التخزين المؤقت لموارد Azure for Redis، يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/redis/privateendpoint. | DeployIfNotExists، معطل | 1.0.0 |
| يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis | تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 1.0.0 |
شبكة تسليم المحتوى
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يتعين أن تستخدم ملفات تعريف Azure Front Door الطبقة المتميزة التي تدعم قواعد WAF المدارة والارتباط الخاص | يدعم Azure Front Door Premium قواعد WAF المدارة من Azure وخدمة الارتباط الخاص بأصول Azure المدعومة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يتعين أن يعمل Azure Front Door Standard وPremium بحد أدنى من إصدار TLS من 1.2 | يؤدي تعيين الحد الأدنى من إصدار TLS إلى 1.2 إلى تحسين الأمان من خلال ضمان الوصول إلى المجالات الخاصة بك المخصصة من العملاء باستخدام TLS 1.2 أو أحدث. لا ينصح باستعمال إصدارات TLS أقل من 1.2 لأنها ضعيفة ولا تدعم خوارزميات التشفير الحديثة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| عملية تأمين الاتصال الخاص بين Azure Front Door Premium وAzure Storage Blob أو Azure App Service | يضمن الارتباط الخاص الاتصال الخاص بين AFD Premium وAzure Storage Blob أو Azure App Service عبر شبكة Azure الأساس، دون تعرض Azure Storage Blob أو Azure App Service بطريقة عامة للإنترنت. | المراجعة، معطلة | 1.0.0 |
ChangeTrackingAndInventory
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: تكوين الأجهزة التي تدعم Linux Arc ليتم ربطها بقاعدة تجميع البيانات ل ChangeTracking and Inventory | انشر Association لربط الأجهزة التي تدعم Linux Arc بقاعدة تجميع البيانات المحددة لتمكين ChangeTracking and Inventory. يتم تحديث القائمة الخاصة بالمواقع بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين الأجهزة التي تدعم Linux Arc لتثبيت AMA ل ChangeTracking and Inventory | أتمتة نشر ملحق Azure Monitor Agent على الأجهزة التي تدعم Linux Arc لتمكين ChangeTracking and Inventory. سيقوم هذا النهج بتثبيت الملحق في حالة كانت المنطقة مدعومة. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | معاينة 1.3.0 |
| [معاينة]: تكوين أجهزة Linux الظاهرية ليتم ربطها بقاعدة تجميع البيانات ل ChangeTracking and Inventory | نشر الاقتران لربط أجهزة Linux الظاهرية بقاعدة تجميع البيانات المحددة لتمكين ChangeTracking and Inventory. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين أجهزة Linux الظاهرية لتثبيت AMA ل ChangeTracking والمخزون باستخدام الهوية المدارة المعينة من قبل المستخدم | أتمتة نشر ملحق Azure Monitor Agent على أجهزة Linux الظاهرية لتمكين ChangeTracking and Inventory. ستعمل هذه النهج على تثبيت الملحق وتكوينه لاستخدام هوية مُدارة محددة يعينها المستخدم إذا كان نظام التشغيل والمنطقة مدعومين، وتخطي التثبيت بخلاف ذلك. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | معاينة 1.4.0 |
| [معاينة]: تكوين Linux VMSS ليتم ربطه بقاعدة تجميع البيانات ل ChangeTracking and Inventory | انشر Association لربط مجموعات مقياس الجهاز الظاهري Linux بقاعدة تجميع البيانات المحددة لتمكين ChangeTracking and Inventory. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين Linux VMSS لتثبيت AMA ل ChangeTracking والمخزون باستخدام الهوية المدارة المعينة من قبل المستخدم | أتمتة نشر ملحق Azure Monitor Agent على مجموعات مقياس الجهاز الظاهري Linux لتمكين ChangeTracking and Inventory. ستعمل هذه النهج على تثبيت الملحق وتكوينه لاستخدام هوية مُدارة محددة يعينها المستخدم إذا كان نظام التشغيل والمنطقة مدعومين، وتخطي التثبيت بخلاف ذلك. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | معاينة 1.3.0 |
| [معاينة]: تكوين الأجهزة التي تدعم Windows Arc ليتم ربطها بقاعدة تجميع البيانات ل ChangeTracking and Inventory | نشر الاقتران لربط الأجهزة التي تدعم Windows Arc بقاعدة تجميع البيانات المحددة لتمكين ChangeTracking and Inventory. يتم تحديث القائمة الخاصة بالمواقع بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين الأجهزة التي تدعم Windows Arc لتثبيت AMA ل ChangeTracking and Inventory | أتمتة نشر ملحق Azure Monitor Agent على الأجهزة التي تدعم Windows Arc لتمكين ChangeTracking and Inventory. سيقوم هذا النهج بتثبيت الملحق في حال توفر دعم لنظام التشغيل والمنطقة وتمكين الهوية المُدارة المعينة من قِبل النظام، وتخطي التثبيت بطريقة أخرى. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين أجهزة Windows الظاهرية ليتم ربطها بقاعدة تجميع البيانات ل ChangeTracking and Inventory | نشر الاقتران لربط أجهزة Windows الظاهرية بقاعدة تجميع البيانات المحددة لتمكين ChangeTracking and Inventory. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين أجهزة Windows الظاهرية لتثبيت AMA ل ChangeTracking والمخزون باستخدام الهوية المدارة المعينة من قبل المستخدم | أتمتة نشر ملحق Azure Monitor Agent على أجهزة Windows الظاهرية لتمكين ChangeTracking and Inventory. ستعمل هذه النهج على تثبيت الملحق وتكوينه لاستخدام هوية مُدارة محددة يعينها المستخدم إذا كان نظام التشغيل والمنطقة مدعومين، وتخطي التثبيت بخلاف ذلك. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين Windows VMSS ليتم ربطه بقاعدة تجميع البيانات ل ChangeTracking and Inventory | نشر الاقتران لربط مجموعات مقياس الجهاز الظاهري ل Windows بقاعدة تجميع البيانات المحددة لتمكين ChangeTracking and Inventory. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين Windows VMSS لتثبيت AMA ل ChangeTracking and Inventory باستخدام الهوية المدارة المعينة من قبل المستخدم | أتمتة نشر ملحق Azure Monitor Agent على مجموعات مقياس الجهاز الظاهري Windows لتمكين ChangeTracking and Inventory. ستعمل هذه النهج على تثبيت الملحق وتكوينه لاستخدام هوية مُدارة محددة يعينها المستخدم إذا كان نظام التشغيل والمنطقة مدعومين، وتخطي التثبيت بخلاف ذلك. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
الخدمات الإدراكية
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تقوم حسابات الخدمات المعرفية بتمكين تشفير البيانات باستخدام مفتاح يديره العميل | عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية معايير الامتثال التنظيمية. تمكن المفاتيح المدارة من العملاء من تشفير البيانات المخزنة في الخدمات المعرفية باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول المفاتيح المُدارة من قِبل العملاء على https://go.microsoft.com/fwlink/?linkid=2121321. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب أن تستخدم حسابات الخدمات المعرفية هوية مدارة | يساهم تعيين هوية مُدارة إلى حساب الخدمة المعرفية في ضمان المصادقة الآمنة. يستخدم حساب الخدمة المعرفية هذا الهوية هذه للتواصل مع خدمات Azure الأخرى، مثل Azure Key Vault، بطريقة آمنة دون الحاجة إلى إدارة أي بيانات اعتماد. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم حسابات الخدمات المعرفية التخزين المملوك للعميل | استعن بوحدة تخزين يملكها عميل للتحكم في البيانات المُخزنة الثابتة في الخدمات المعرفية. لمعرفة المزيد حول التخزين المملوك للعميل، تفضل بزيارة https://aka.ms/cogsvc-cmk. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | المراجعة، معطلة | 3.0.0 |
| تكوين حسابات الخدمات المعرفية لتعطيل أساليب المصادقة المحلية | قم بتعطيل أساليب المصادقة المحلية بحيث تتطلب حسابات الخدمات المعرفية هويات Azure Active Directory على وجه الحصر للمصادقة. تعرف على المزيد من خلال: https://aka.ms/cs/auth. | تعديل، تعطيل | 1.0.0 |
| تكوين حسابات الخدمات المعرفية لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل وصول الشبكة العامة لمورد الخدمات المعرفية بحيث لا يمكن الوصول إليه عبر شبكة الإنترنت العامة. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | تعطيل، تعديل | 3.0.0 |
| تكوين حسابات الخدمات المعرفية لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة نظام أسماء المناطق الخاصة بالشبكة الظاهرية لديك للتصميم على حسابات الخدمات المعرفية. تعرف على المزيد من خلال: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين حسابات الخدمات المعرفية مع نقاط النهاية الخاصة | تعمل نقاط النهاية الخاصة على توصيل شبكاتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists، معطل | 3.0.0 |
Compute
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| وحدات SKU المسموح بها لحجم الجهاز الظاهري | يتيح لك هذا النهج تحديد مجموعة من وحدات SKU بحجم الجهاز الظاهري والتي يمكن لمؤسستك توزيعها. | الرفض | 1.0.1 |
| تدقيق الأجهزة الظاهرية دون تكوين استرداد بعد عطل فادح | مراجعة الأجهزة الظاهرية التي لم يتم تكوين استردادها بعد عطل فادح. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | يعمل هذا النهج على تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | تحقق | 1.0.0 |
| تكوين الإصلاح بعد كارثة على الأجهزة الظاهرية عن طريق استرداد موقع Azure | الأجهزة الظاهرية التي لا تحتوي على تكوينات للاسترداد بعد حدوث الأخطاء الفادحة معرضة للانقطاع والأعطال الأخرى. إذا لم يكن الجهاز الظاهري قد تم تكوينه بالفعل للاسترداد بعد الأخطاء الفادحة، فسيبدأ ذلك من خلال تمكين النسخ المتماثل باستخدام التكوينات المعدة مسبقًا لتسهيل استمرارية الأعمال. يمكنك اختياريًا تضمين/استثناء الأجهزة الظاهرية المحتوية على علامة محددة للتحكم في نطاق التعيين. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc. | DeployIfNotExists، معطل | 2.1.0 |
| تكوين موارد الوصول إلى القرص لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة DNS خاصة بشبكة الاتصال الظاهرية لحلها إلى قرص مدار. تعرف على المزيد من خلال: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين موارد الوصول إلى القرص باستخدام نقاط النهاية الخاصة | تعمل نقاط النهاية الخاصة على توصيل شبكاتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. عن طريق تعيين نقاط النهاية الخاصة إلى موارد الوصول إلى القرص، يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين الأقراص المدارة لتعطيل الوصول إلى الشبكة العامة | عطِّل الوصول إلى الشبكة العامة لمورد القرص المدار بحيث لا يمكن الوصول إليه عبر الإنترنت العام. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/disksprivatelinksdoc. | تعديل، تعطيل | 2.0.0 |
| توزيع ملحق حماية Microsoft IaaSAntimalware الافتراضي على خوادم Windows | يوزع هذا النهج ملحق Microsoft IaaSAntimalware مع تكوين افتراضي عندما لا يتم تكوين VM مع ملحق مكافحة البرامج الضارة. | deployIfNotExists | 1.1.0 |
| يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تشفير الأقراص المدارة مرتين باستخدام كل من المفاتيح المدارة من النظام الأساسي والمفاتيح التي يديرها العملاء | يمكن للعملاء ذوي الحساسية الأمنية العالية الذين يشعرون بالقلق من المخاطر المرتبطة بأي خوارزمية تشفير معينة أو تنفيذ أو مفتاح يتم اختراقه اختيار طبقة إضافية من التشفير باستخدام خوارزمية /وضع تشفير مختلف في طبقة البنية التحتية باستخدام مفاتيح التشفير المدارة من النظام الأساسي. مجموعات تشفير القرص مطلوبة لاستخدام التشفير المزدوج. تعرّف على المزيد من خلال https://aka.ms/disks-doubleEncryption. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب على الأقراص المدارة تعطيل الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم تعرض قرص مدار على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض الأقراص المدارة. تعرف على المزيد من خلال: https://aka.ms/disksprivatelinksdoc. | المراجعة، معطلة | 2.0.0 |
| يجب أن تستخدم الأقراص المدارة مجموعة معينة من مجموعات تشفير القرص لتشفير المفاتيح المدارة من قبل العميل | يمنحك طلب مجموعة محددة من مجموعات تشفير الأقراص لاستخدامها مع الأقراص المُدارة التحكم في المفاتيح المستخدمة للتشفير الثابت. يمكنك تحديد المجموعات المشفرة المسموح بها، ويتم رفض كافة المجموعات الأخرى عند إرفاقها بقرص. تعرّف على المزيد من خلال https://aka.ms/disks-cmk. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تكوين برامج Microsoft Antimalware المضادة للبرمجيات الخبيثة لـ Azure بحيث تُحدّث توقيعات الحماية تلقائيًا | يقوم هذا النهج بمراجعة أي جهاز Windows ظاهري لم يتم تكوينه مع التحديث التلقائي لتوقيعات حماية Microsoft Antimalware. | AuditIfNotExists، معطل | 1.0.0 |
| يجب توزيع ملحق حماية Microsoft IaaSAntimalware على خوادم Windows | يقوم هذا النهج بتدقيق أي جهاز ظاهري لخادم Windows بدون نشر امتداد Microsoft IaaSAntimalware. | AuditIfNotExists، معطل | 1.1.0 |
| يجب تثبيت امتدادات الجهاز الظاهري المعتمدة فقط | يحكم هذا النهج ملحقات الجهاز الظاهري غير المعتمدة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير نظام التشغيل وأقراص البيانات باستخدام مفتاح يُديره العميل | استخدم المفاتيح المدارة من قبل العميل لإدارة تشفير البيانات الثابتة محتويات الأقراص المدارة. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح المدارة من خلال النظام الأساسي، ولكن عادة ما تكون المفاتيح التي يديرها العملاء مطلوبة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/disks-cmk. | التدقيق، الرفض، التعطيل | 3.0.0 |
| حماية بياناتك بمتطلبات المصادقة عند التصدير أو التحميل إلى قرص أو لقطة. | عند استخدام عنوان URL للتصدير/التحميل، يتحقق النظام من أن المستخدم لديه هوية في Azure Active Directory ولديه الأذونات اللازمة لتصدير/تحميل البيانات. يرجى الرجوع إلى aka.ms/DisksAzureADAuth. | تعديل، تعطيل | 1.0.0 |
| تتطلب التصحيح التلقائي لصورة نظام التشغيل على مجموعات مقياس الجهاز الظاهري | يفرض هذا النهج تمكين تصحيح صور نظام التشغيل التلقائي على مجموعات مقياس الجهاز الظاهري للحفاظ على أمان الأجهزة الظاهرية دائمًا من خلال تطبيق أحدث تصحيحات الأمان كل شهر بشكل آمن. | رفض | 1.0.0 |
| يجب تمكين التشفير على المضيف في الأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري | استخدم التشفير في المضيف للحصول على تشفير من طرف إلى طرف لجهازك الظاهري وبيانات مجموعة مقياس الجهاز الظاهري. التشفير في المضيف يتيح تشفير البيانات الثابتة للقرص المؤقت الخاص بك وذاكرة التخزين المؤقت لـ OS/قرص البيانات. يتم تشفير أقراص OS المؤقتة والزائلة باستخدام مفاتيح تتم إدارتها من خلال النظام الأساسي عند تمكين التشفير في المضيف. يتم تشفير ذاكرة التخزين المؤقت لأقراص OS/data في حالة راحة باستخدام مفتاح مدار من قبل العميل أو مفتاح مدار بواسطة النظام الأساسي، وذلك حسب نوع التشفير المحدد على القرص. تعرّف على المزيد من خلال https://aka.ms/vm-hbe. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة | استخدم إدارة موارد Azure الجديدة للأجهزة الظاهرية لتوفير تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، والمراجعة الأفضل، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى خزنة المفاتيح للأسرار، والمصادقة المستندة إلى Azure AD، ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
التطبيقات المتعلقة بالحاوية
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يتعين تمكين المصادقة في تطبيق الويب الخاص بك | تُعد App Service Authentication من Azure ميزة يمكنها منع طلبات HTTP المجهولة من الوصول إلى تطبيق واجهة برمجة التطبيقات، أو مصادقة تلك التي تتضمن رموزًا مميزة قبل وصولها إلى تطبيق الويب | AuditIfNotExists، معطل | 1.0.1 |
| يتعين أن تستخدم بيئات تطبيق الحاوية حقن الشبكة | يتعين أن تستخدم بيئات تطبيقات الحاوية حقن الشبكة الظاهرية إلى: 1.عزل تطبيقات الحاوية من الإنترنت العام 2.تمكين تكامل الشبكة مع الموارد المحلية أو في شبكات Azure الظاهرية الأخرى 3.تحقيق تحكم أكثر دقة في حركة مرور الشبكة المتدفقة من البيئة وإليها. | تدقيق، تعطيل، رفض | 1.0.2 |
| يتعين تكوين تطبيق الحاوية مع تحميل وحدة التخزين | فرض استعمال تركيبات وحدة التخزين لتطبيقات الحاوية لضمان توفر سعة التخزين المستمرة. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يتعين تعطيل بيئة تطبيقات الحاوية الوصول إلى الشبكة العامة | تعطيل الوصول إلى الشبكة العامة لتحسين الأمان عن طريق الكشف عن بيئة Container Apps من خلال موازن التحميل الداخلي. وهذا يزيل الحاجة إلى عنوان IP عام ويمنع الوصول إلى الإنترنت إلى كافة تطبيقات الحاوية داخل البيئة. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يتعين أن تقوم تطبيقات الحاوية بتعطيل الوصول إلى الشبكة الخارجية | قم بتعطيل خدمة الوصول إلى الشبكة الخارجية إلى تطبيقات الحاوية الخاصة بك عن طريق فرض الدخول الداخلي فحسب. سيضمن ذلك أن الاتصال الوارد لتطبيقات الخاصة بالحاوية يقتصر على المتصلين داخل بيئة Container Apps. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يتعين الوصول إلى تطبيقات الوظائف عبر بروتوكول HTTPS فحسب | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. سيؤدي تعطيل ميزة 'allowInsecure' إلى إعادة التوجيه التلقائي للطلبات من اتصالات HTTP إلى HTTPS لتطبيقات الحاوية. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يتعين تمكين الهوية المدارة لتطبيقات الحاوية | يضمن فرض الهوية المدارة أن تطبيقات الحاوية يمكنها المصادقة بأمان على أي مورد يدعم مصادقة Microsoft Azure Active Directory | التدقيق، الرفض، التعطيل | 1.0.1 |
مثيل الحاوية
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب توزيع مجموعة حاويات Azure Container Instance في شبكة ظاهرية | قم بتأمين الاتصال بين الحاويات وAzure Virtual Networks. عند تحديد شبكة ظاهرية، يمكن للموارد الموجودة داخل الشبكة الظاهرية الاتصال مع بعضها البعض بشكل آمن وخاص. | تدقيق، تعطيل، رفض | 2.0.0 |
| يجب أن تستخدم مجموعة حاويات مثيل Azure Container المفتاح المدار من قبل العميل للتشفير | قم بتأمين حاوياتك بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | تدقيق، تعطيل، رفض | 1.0.0 |
| تكوين إعدادات التشخيص لمجموعات الحاويات إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لمثيل الحاوية لدفق سجلات الموارد إلى مساحة عمل Log Analytics عند إنشاء أي مثيل حاوية يفتقد إعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
Container Instances
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين التشخيصات لمجموعة الحاويات لتسجيل مساحة عمل التحليلات | إلحاق workspaceId وتحليلات السجل المحددة و workspaceKey عند إنشاء أو تحديث أي مجموعة حاويات تفتقد هذه الحقول. لا يعدل حقول مجموعات الحاويات التي تم إنشاؤها قبل تطبيق هذا النهج حتى يتم تغيير مجموعات الموارد هذه. | إلحاق، معطل | 1.0.0 |
Container Registry
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين السجلات الخاصة بالحاوية لتعطيل المصادقة المحلية. | تعطيل السحب المجهول للسجل الخاص بك حتى لا يمكن الوصول إلى البيانات من مستخدم غير مصادق عليه. يؤدي تعطيل طرق المصادقة المحلية مثل المستخدم المسؤول والرموز المميزة للوصول في نطاق المستودع والسحب المجهول إلى تحسين الأمان من خلال التأكد من أن سجلات الحاويات تتطلب حصريًا هويات Azure Active Directory للمصادقة. تعرف على المزيد من خلال: https://aka.ms/acr/authentication. | تعديل، تعطيل | 1.0.0 |
| تكوين سجلات الحاوية لتعطيل مصادقة الرمز المميز لجمهور ARM. | تعطيل الرموز المميزة لجمهور Azure Active Directory ARM للمصادقة على السجل الخاص بك. سيتم استخدام الرموز المميزة لجمهور Azure Container Registry (ACR) فقط للمصادقة. سيضمن هذا إمكانية استخدام الرموز المميزة المخصصة للاستخدام على السجل فقط للمصادقة. لا يؤثر تعطيل رموز جمهور ARM المميزة على مصادقة الرموز المميزة للوصول الخاصة بمستخدم المسؤول أو نطاقها. تعرف على المزيد من خلال: https://aka.ms/acr/authentication. | تعديل، تعطيل | 1.0.0 |
| تكوين سجلات الحاوية لتعطيل الحساب الخاص بالمسؤول المحلي. | قم بتعطيل حساب المسؤول للتسجيل الخاص بك حتى لا يمكن الوصول إليه من المسؤول المحلي. يؤدي تعطيل أساليب المصادقة المحلية مثل المستخدم المسؤول، ورموز الوصول إلى نطاق المستودع والسحب المجهول إلى تحسين الأمان من خلال ضمان أن سجلات الحاوية تتطلب حصريًا هويات Microsoft Azure Active Directory للمصادقة. تعرف على المزيد من خلال: https://aka.ms/acr/authentication. | تعديل، تعطيل | 1.0.1 |
| تكوين سجلات حاوية لتعطيل الوصول إلى شبكة الاتصال العامة | تعطيل الوصول إلى الشبكة العامة لمورد تسجيل الحاويات بحيث لا يمكن الوصول إليه عبر شبكة الإنترنت العامة. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد في https://aka.ms/acr/portal/public-network وhttps://aka.ms/acr/private-link. | تعديل، تعطيل | 1.0.0 |
| خدمة تكوين سجلات الحاوية لتعطيل الرمز المميز للوصول إلى نطاق المستودع. | عطل الرموز المميزة للوصول المحددة إلى المستودع للسجل الخاص بك حتى لا يمكن الوصول إلى المستودعات بواسطة الرموز المميزة. يؤدي تعطيل طرق المصادقة المحلية مثل المستخدم المسؤول والرموز المميزة للوصول في نطاق المستودع والسحب المجهول إلى تحسين الأمان من خلال التأكد من أن سجلات الحاويات تتطلب حصريًا هويات Azure Active Directory للمصادقة. تعرف على المزيد من خلال: https://aka.ms/acr/authentication. | تعديل، تعطيل | 1.0.0 |
| تكوين سجلات الحاويات باستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة DNS خاصة بالشبكة الظاهرية لحلها باستخدام تسجيل الحاوية. تعرّف على المزيد من خلال: https://aka.ms/privatednszoneو https://aka.ms/acr/private-link. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين سجلات الحاوية باستخدام نقاط النهاية الخاصة | تقوم نقاط النهاية الخاصة بتوصيل الشبكة الظاهرية بخدمات Azure بدون العنوان العام لـ IP في المصدر أو الوجهة. عن طريق تعيين نقاط النهاية الخاصة لموارد تسجيل الحاويات المميزة، يمكنك تقليل مخاطر تسرب البيانات. تعرّف على المزيد من خلال: https://aka.ms/privateendpointsو https://aka.ms/acr/private-link. | DeployIfNotExists، معطل | 1.0.0 |
| يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون بمحتويات السجلات. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/acr/CMK. | التدقيق، الرفض، التعطيل | 1.1.2 |
| يتعين أن تحتوي سجلات الحاوية على مصادقة مجهولة معطلة. | قم بتعطيل السحب المجهول للسجل الخاص بك حتى لا يمكن الوصول إلى البيانات من مستخدم غير مصادق. يؤدي تعطيل طرق المصادقة المحلية مثل المستخدم المسؤول والرموز المميزة للوصول في نطاق المستودع والسحب المجهول إلى تحسين الأمان من خلال التأكد من أن سجلات الحاويات تتطلب حصريًا هويات Azure Active Directory للمصادقة. تعرف على المزيد من خلال: https://aka.ms/acr/authentication. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يكون لدى سجلات الحاويات مصادقة رمز جمهور ARM معطلة. | تعطيل الرموز المميزة لجمهور Azure Active Directory ARM للمصادقة على السجل الخاص بك. سيتم استخدام الرموز المميزة لجمهور Azure Container Registry (ACR) فقط للمصادقة. سيضمن هذا إمكانية استخدام الرموز المميزة المخصصة للاستخدام على السجل فقط للمصادقة. لا يؤثر تعطيل رموز جمهور ARM المميزة على مصادقة الرموز المميزة للوصول الخاصة بمستخدم المسؤول أو نطاقها. تعرف على المزيد من خلال: https://aka.ms/acr/authentication. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يكون لدى سجلات الحاويات عمليات تصدير معطلة | يؤدي تعطيل الصادرات إلى تحسين الأمان من خلال ضمان الوصول إلى البيانات الموجودة في السجل فقط عبر طائرة البيانات ('docker pull'). لا يمكن نقل البيانات من التسجيل عن طريق 'acr import'، أو عن طريق 'acr transfer'. لتعطيل عمليات التصدير، يجب تعطيل الوصول إلى الشبكة العامة. تعرف على المزيد من خلال: https://aka.ms/acr/export-policy. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يتعين أن يتم تعطيل حساب المسؤول المحلي لسجلات الحاوية. | قم بتعطيل حساب المسؤول للتسجيل الخاص بك حتى لا يمكن الوصول إليه من المسؤول المحلي. يؤدي تعطيل أساليب المصادقة المحلية مثل المستخدم المسؤول، ورموز الوصول إلى نطاق المستودع والسحب المجهول إلى تحسين الأمان من خلال ضمان أن سجلات الحاوية تتطلب حصريًا هويات Microsoft Azure Active Directory للمصادقة. تعرف على المزيد من خلال: https://aka.ms/acr/authentication. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يتعين أن تحتوي سجلات الحاوية على رمز وصول مميز معطل محدد النطاق للمستودع. | عطل الرموز المميزة للوصول المحددة إلى المستودع للسجل الخاص بك حتى لا يمكن الوصول إلى المستودعات بواسطة الرموز المميزة. يؤدي تعطيل طرق المصادقة المحلية مثل المستخدم المسؤول والرموز المميزة للوصول في نطاق المستودع والسحب المجهول إلى تحسين الأمان من خلال التأكد من أن سجلات الحاويات تتطلب حصريًا هويات Azure Active Directory للمصادقة. تعرف على المزيد من خلال: https://aka.ms/acr/authentication. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يكون لدى سجلات الحاوية وحدات SKU تدعم الارتباطات الخاصة | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. يتم تقليل مخاطر تسرب البيانات، عن طريق تعيين نقاط النهاية الخاصة إلى سجلات الحاوية بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة | تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تمنع سجلات الحاويات إنشاء قاعدة ذاكرة التخزين المؤقت | تعطيل إنشاء قاعدة ذاكرة التخزين المؤقت ل Azure Container Registry لمنع السحب من خلال عمليات سحب ذاكرة التخزين المؤقت. تعرف على المزيد من خلال: https://aka.ms/acr/cache. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
| يجب تعطيل وصول شبكة الاتصال العامة لسجلات الحاويات | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم تعرض سجلات الحاويات على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض موارد تسجيل الحاويات. تعرّف على المزيد من خلال: https://aka.ms/acr/portal/public-networkو https://aka.ms/acr/private-link. | التدقيق، الرفض، التعطيل | 1.0.0 |
Cosmos DB
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية | يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب ألا تتجاوز حسابات Azure Cosmos DB الحد الأقصى لعدد الأيام المسموح بها منذ إعادة إنشاء مفتاح الحساب الأخير. | أعد إنشاء المفاتيح في الوقت المحدد للحفاظ على بياناتك أكثر حماية. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم حسابات Azure Cosmos DB المفاتيح التي يديرها العملاء لتشفير البيانات في وضع السكون | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة Azure Cosmos DB. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/cosmosdb-cmk. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| المواقع المسموح بها على Azure Cosmos DB | يمكّنك هذا النهج من تقييد المواقع التي يمكن لمؤسستك تخصيصها عند نشر موارد Azure Cosmos DB. تُستخدم لفرض متطلبات التوافق الجغرافي الخاصة بك. | [المعلمات ('policyEffect')] | 1.1.0 |
| يجب تعطيل الوصول إلى كتابة بيانات التعريف المستندة إلى مفتاح Azure Cosmos DB | يمكّنك هذا النهج من ضمان أن تعطِّل جميع حسابات Azure Cosmos DB الوصول إلى كتابة بيانات التعريف المستندة إلى المفتاح. | إرفاق | 1.0.0 |
| يجب أن يعطل Azure Cosmos DB الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم كشف حساب CosmosDB الخاص بك على شبكة الإنترنت العامة. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من كشف حساب CosmosDB الخاص بك. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يكون معدل نقل Azure Cosmos DB محدوداً | يمكّنك هذا النهج من تقييد الحد الأقصى لمعدل النقل الذي يمكن للمؤسسة تحديده عند إنشاء قواعد بيانات وحاويات Azure Cosmos DB من خلال موفر الموارد. كما تمنع إنشاء موارد مقياس تلقائي. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| تكوين حسابات قاعدة بيانات Cosmos DB لتعطيل المصادقة المحلية | تعطيل أساليب المصادقة المحلية بحيث تتطلب حسابات قاعدة بيانات Cosmos DB هويات Azure Active Directory على وجه الحصر للمصادقة. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | تعديل، تعطيل | 1.1.0 |
| تكوين حسابات CosmosDB لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة لمورد CosmosDB بحيث لا يمكن الوصول إليه عبر شبكة الإنترنت العامة. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | تعديل، تعطيل | 1.0.1 |
| تهيئة حسابات CosmosDB لاستخدام مناطق نظام أسماء النطاقات الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة نظام أسماء النطاقات الخاصة بشبكة الاتصال الظاهرية لحلها بحساب CosmosDB. تعرف على المزيد من خلال: https://aka.ms/privatednszone. | DeployIfNotExists، معطل | 2.0.0 |
| تهيئة حسابات CosmosDB باستخدام نقاط النهاية الخاصة | تقوم نقاط النهاية الخاصة بتوصيل الشبكة الظاهرية بخدمات Azure بدون العنوان العام لـ IP في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يمكنك خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists، معطل | 1.0.0 |
| يجب تعطيل أساليب المصادقة لحسابات قاعدة بيانات Cosmos DB | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان عن طريق ضمان أن تتطلب حسابات قاعدة بيانات Cosmos DB هويات Azure Active Directory على وجه الحصر للمصادقة. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| توزيع حماية متقدمة من التهديدات على حسابات Cosmos DB | يمكّن هذا النهج الحماية المتقدمة من التهديدات عبر حسابات Cosmos DB. | DeployIfNotExists، معطل | 1.0.0 |
موفر مخصص
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توزيع الاقترانات لموفر مخصص | ينشر مورد اقتران يربط أنواع الموارد المحددة بالموفر المخصص المحدد. لا يدعم توزيع النهج أنواع الموارد المتداخلة. | deployIfNotExists | 1.0.0 |
Data Box
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تمكّن مهام Azure Data Box التشفير المزدوج للبيانات الثابتة على الجهاز | تمكين طبقة ثانية من التشفير المستند إلى البرامج للبيانات الثابتة الموجودة على الجهاز. الجهاز محمي بالفعل عبر مقاييس التشفير المتقدمة 256 بت للبيانات الثابتة. يضيف هذا الخيار طبقة ثانية من تشفير البيانات. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم Azure Data Box مفتاحًا مدارًا من قِبل العميل لتشفير كلمة مرور إلغاء قفل الجهاز | استخدم مفتاحا يديره العميل للتحكم في تشفير كلمة مرور إلغاء تأمين الجهاز لـ Azure Data Box. تساعد المفاتيح المدارة من قبل العملاء أيضًا في إدارة الوصول إلى كلمة مرور إلغاء قفل الجهاز بواسطة خدمة Data Box من أجل إعداد الجهاز ونسخ البيانات بطريقة تلقائية. البيانات الموجودة على الجهاز نفسه مشفرة بالفعل في حالة البيانات الثابتة مع مقاييس التشفير المتقدمة 256 بت، ويتم تشفير كلمة مرور إلغاء قفل الجهاز بشكل افتراضي باستخدام مفتاح مدار من Microsoft. | التدقيق، الرفض، التعطيل | 1.0.0 |
Data Factory
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب أن تتواصل مسارات Azure Data Factory مع المجالات المسموح بها فقط | لمنع تسرب البيانات والرمز المميز، قم بتعيين المجالات التي يجب السماح ل Azure Data Factory بالاتصال بها. ملاحظة: أثناء المعاينة العامة، لا يتم الإبلاغ عن التوافق مع هذا النهج، و لتطبيق النهج على Data Factory، يرجى تمكين وظيفة القواعد الصادرة في استوديو ADF. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/data-exfiltration-policy. | رفض، مُعطل | 1.0.0-المعاينة |
| يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون لـ Azure Data Factory. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/adf-cmk. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن يكون لوقت تشغيل تكامل Azure Data Factory حد لعدد الذاكرات الأساسية | لإدارة مواردك وتكاليفك، حدد عدد النوى لوقت تشغيل التكامل. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يكون نوع مورد الخدمة المرتبطة ب Azure Data Factory في قائمة السماح | حدد قائمة السماح بأنواع الخدمات المرتبطة بـ Azure Data Factory. يتيح تقييد أنواع الموارد المسموح بها التحكم في حدود حركة البيانات. على سبيل المثال، قم بتقييد النطاق للسماح فقط بتخزين البيانات الثنائية الكبيرة باستخدام Data Lake Storage Gen1 وGen2 للتحليلات، أو نطاق للسماح فقط بالوصول إلى SQL وKusto للاستعلامات في الوقت الفعلي. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تستخدم الخدمات المرتبطة ب Azure Data Factory Key Vault لتخزين الأسرار | لضمان إدارة البيانات السرية (مثل سلاسل الاتصال) بشكل آمن، اطلب من المستخدمين تقديم أسرار باستخدام Azure Key Vault بدلاً من تحديدها بشكل مضمّن في الخدمات المرتبطة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم الخدمات المرتبطة ب Azure Data Factory مصادقة الهوية المدارة المعينة من قبل النظام عند دعمها | يؤدي استخدام الهوية المُدارة المخصصة من قبل النظام عند الاتصال بمخازن البيانات عبر الخدمات المرتبطة إلى تجنب استخدام بيانات الاعتماد الأقل أمانًا؛ مثل: كلمات المرور، أو سلاسل الاتصال. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب أن يستخدم Azure Data Factory مستودع Git للتحكم بالمصادر | قم بتكوين Development Data Factory الخاص بك فقط باستخدام تكامل Git. يجب نشر التغييرات على الاختبار والإنتاج عبر CI/CD ويجب ألا يكون لها تكامل Git. لا تطبق هذه السياسة على مصانع بيانات QA / Test / Production. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم Azure Data Factory رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| تكوين مصانع البيانات لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة لمصنع البيانات الخاص بك بحيث لا يمكن الوصول إليه عبر الإنترنت العام. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | تعديل، تعطيل | 1.0.0 |
| تكوين مناطق DNS الخاصة لنقاط النهاية الخاصة التي تتصل ب Azure Data Factory | تسمح سجلات DNS الخاصة باتصالات خاصة بنقاط النهاية الخاصة. تسمح اتصالات نقطة النهاية الخاصة بالاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Data Factory دون الحاجة إلى عناوين IP عامة في المصدر أو الوجهة. لمزيد من المعلومات حول نقاط النهاية الخاصة ومناطق DNS في Azure Data Factory، راجع https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين نقاط النهاية الخاصة لمصانع البيانات | تقوم نقاط النهاية الخاصة بتوصيل الشبكة الظاهرية بخدمات Azure بدون العنوان العام لـ IP في المصدر أو الوجهة. يمكنك الحد من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة لـ Azure Data Factory. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists، معطل | 1.1.0 |
| يجب تعطيل الوصول إلى الشبكة العامة على Azure Data Factory | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure Data Factory فقط من نقطة نهاية خاصة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب ربط أوقات تشغيل تكامل SQL Server Integration Services على Azure Data Factory بشبكة ظاهرية | يوفر نشر شبكة Azure الظاهرية أمانًا وعزلاً محسنين لأوقات تشغيل تكامل SQL Server Integration Services في Azure Data Factory، بالإضافة إلى الشبكات الفرعية، وسياسات التحكم في الوصول والميزات الأخرى لتقييد الوصول بشكل أكبر. | التدقيق، الرفض، التعطيل | 2.3.0 |
Data Lake
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| طلب التشفير على حسابات Data Lake Store | يضمن هذا النهج تمكين التشفير على جميع حسابات Data Lake Store | رفض | 1.0.0 |
| يجب تمكين سجلات الموارد في Azure Data Lake Store | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Data Lake Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
محاكاة سطح المكتب
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تعطل مجمعات مضيف Azure Virtual Desktop الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان ويحافظ على أمان بياناتك من خلال ضمان عدم تعرض الوصول إلى خدمة Azure Virtual Desktop للإنترنت العام. تعرف على المزيد من خلال: https://aka.ms/avdprivatelink. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تقوم مجمعات مضيفي Azure Virtual Desktop بتعطيل الوصول إلى الشبكة العامة فقط على مضيفي الجلسة | يؤدي تعطيل الوصول إلى الشبكة العامة لمضيفي جلسة مضيف Azure Virtual Desktop، ولكن السماح بالوصول العام للمستخدمين النهائيين إلى تحسين الأمان عن طريق الحد من التعرض للإنترنت العام. تعرف على المزيد من خلال: https://aka.ms/avdprivatelink. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Virtual Desktop رابطا خاصا | يمكن أن يؤدي استخدام Azure Private Link مع موارد Azure Virtual Desktop إلى تحسين الأمان والحفاظ على أمان بياناتك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/avdprivatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تعطل مساحات عمل Azure Virtual Desktop الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة لمورد مساحة عمل Azure Virtual Desktop إلى منع الوصول إلى الموجز عبر الإنترنت العام. يؤدي السماح بالوصول إلى الشبكة الخاصة فقط إلى تحسين الأمان ويحافظ على أمان بياناتك. تعرف على المزيد من خلال: https://aka.ms/avdprivatelink. | التدقيق، الرفض، التعطيل | 1.0.0 |
| تكوين موارد مضيف Azure Virtual Desktop لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة DNS خاصة بشبكتك الظاهرية لحلها بموارد Azure Virtual Desktop. تعرف على المزيد من خلال: https://aka.ms/privatednszone. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجمعات مضيف Azure Virtual Desktop لتعطيل الوصول إلى الشبكة العامة | تعطيل الوصول إلى الشبكة العامة لمضيفي الجلسة والمستخدمين النهائيين على مورد مضيف Azure Virtual Desktop بحيث لا يمكن الوصول إليه عبر الإنترنت العام. وهذا يحسن الأمان ويحافظ على أمان بياناتك. تعرف على المزيد من خلال: https://aka.ms/avdprivatelink. | تعديل، تعطيل | 1.0.0 |
| تكوين مجمعات مضيفي Azure Virtual Desktop لتعطيل الوصول إلى الشبكة العامة فقط لمضيفي الجلسة | قم بتعطيل الوصول إلى الشبكة العامة لمضيفي جلسة مضيف Azure Virtual Desktop، ولكن اسمح بالوصول العام للمستخدمين النهائيين. يسمح هذا للمستخدمين بالوصول إلى خدمة AVD مع ضمان إمكانية الوصول إلى مضيف الجلسة فقط من خلال المسارات الخاصة. تعرف على المزيد من خلال: https://aka.ms/avdprivatelink. | تعديل، تعطيل | 1.0.0 |
| تكوين مجمعات مضيف Azure Virtual Desktop مع نقاط النهاية الخاصة | تقوم نقاط النهاية الخاصة بتوصيل الشبكة الظاهرية بخدمات Azure بدون العنوان العام لـ IP في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة إلى موارد Azure Virtual Desktop، يمكنك تحسين الأمان والحفاظ على أمان بياناتك. تعرف على المزيد من خلال: https://aka.ms/avdprivatelink. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين موارد مساحة عمل Azure Virtual Desktop لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة DNS خاصة بشبكتك الظاهرية لحلها بموارد Azure Virtual Desktop. تعرف على المزيد من خلال: https://aka.ms/privatednszone. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مساحات عمل Azure Virtual Desktop لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة لمورد مساحة عمل Azure Virtual Desktop بحيث لا يمكن الوصول إلى الموجز عبر الإنترنت العام. وهذا يحسن الأمان ويحافظ على أمان بياناتك. تعرف على المزيد من خلال: https://aka.ms/avdprivatelink. | تعديل، تعطيل | 1.0.0 |
| تكوين مساحات عمل Azure Virtual Desktop باستخدام نقاط النهاية الخاصة | تقوم نقاط النهاية الخاصة بتوصيل الشبكة الظاهرية بخدمات Azure بدون العنوان العام لـ IP في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة إلى موارد Azure Virtual Desktop، يمكنك تحسين الأمان والحفاظ على أمان بياناتك. تعرف على المزيد من خلال: https://aka.ms/avdprivatelink. | DeployIfNotExists، معطل | 1.0.0 |
DevCenter
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب ألا تستخدم تجمعات Microsoft Dev Box شبكات Microsoft المستضافة. | لا تسمح باستخدام شبكات Microsoft المستضافة عند إنشاء موارد التجمع. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
ElasticSan
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يعطل ElasticSan الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة ل ElasticSan بحيث لا يمكن الوصول إليه عبر الإنترنت العام. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم ElasticSan Volume Group المفاتيح التي يديرها العميل لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العميل لإدارة التشفير في بقية مجموعة وحدات التخزين الخاصة بك. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة النظام الأساسي، ولكن أوامر CMK مطلوبة عادة لتلبية معايير التوافق التنظيمي. تمكن المفاتيح التي يديرها العميل من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتمتلكه، مع التحكم الكامل والمسؤولية، بما في ذلك التدوير والإدارة. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم ElasticSan Volume Group نقاط النهاية الخاصة | تتيح نقاط النهاية الخاصة للمسؤول توصيل الشبكات الظاهرية بخدمات Azure دون عنوان IP عام في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة إلى مجموعة وحدة التخزين، يمكن للمسؤول تقليل مخاطر تسرب البيانات | المراجعة، معطلة | 1.0.0 |
Event Grid
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تقوم مجالات Azure Event Grid بتعطيل الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض المورد على الإنترنت العام. يمكنك الحد من تعرض مواردك عن طريق إنشاء نقاط نهاية خاصة بدلاً من ذلك. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يتم تعطيل أساليب المصادقة المحلية لمجالات Azure Event Grid | إذ يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان عن طريق ضمان أن تتطلب Azure Event Grid هويات Azure Active Directory على وجه الحصر للمصادقة. تعرف على المزيد من خلال: https://aka.ms/aeg-disablelocalauth. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن يستخدم وسيط MQTT لمساحة اسم Azure Event Grid رابطا خاصا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مساحة اسم Event Grid بدلا من الخدمة بأكملها، ستتم حمايتك أيضا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/aeg-ns-privateendpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن يستخدم وسيط موضوع مساحة اسم Azure Event Grid رابطا خاصا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مساحة اسم Event Grid بدلا من الخدمة بأكملها، ستتم حمايتك أيضا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/aeg-ns-privateendpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تعطل مساحات أسماء Azure Event Grid الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض المورد على الإنترنت العام. يمكنك الحد من تعرض مواردك عن طريق إنشاء نقاط نهاية خاصة بدلاً من ذلك. تعرف على المزيد من خلال: https://aka.ms/aeg-ns-privateendpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يكون لمساحات أسماء شركاء Azure Event Grid أساليب مصادقة محلية معطلة | يؤدي تعطيل طرق المصادقة المحلية إلى تحسين الأمان من خلال التأكد من أن مساحات أسماء شركاء Azure Event Grid تتطلب حصريًا هويات Azure Active Directory للمصادقة. تعرف على المزيد من خلال: https://aka.ms/aeg-disablelocalauth. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل مواضيع Azure Event Grid الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض المورد على الإنترنت العام. يمكنك الحد من تعرض مواردك عن طريق إنشاء نقاط نهاية خاصة بدلاً من ذلك. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يتم تعطيل أساليب المصادقة المحلية لموضوعات Azure Event Grid | يؤدي تعطيل طرق المصادقة المحلية إلى تحسين الأمان من خلال التأكد من أن موضوعات Azure Event Grid تتطلب حصريًا هويات Azure Active Directory للمصادقة. تعرف على المزيد من خلال: https://aka.ms/aeg-disablelocalauth. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| تكوين مجالات Azure Event Grid لتعطيل المصادقة المحلية | تعطيل أساليب المصادقة المحلية بحيث تتطلب مجالات Azure Event Grid حصريًا هويات Azure Active Directory للمصادقة. تعرف على المزيد من خلال: https://aka.ms/aeg-disablelocalauth. | تعديل، تعطيل | 1.0.0 |
| تكوين وسيط MQTT لمساحة اسم Azure Event Grid مع نقاط النهاية الخاصة | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة لمواردك، ستتم حمايتها من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مساحات أسماء Azure Event Grid بنقاط نهاية خاصة | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة لمواردك، ستتم حمايتها من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مساحات أسماء شركاء Azure Event Grid لتعطيل المصادقة المحلية | تعطيل أساليب المصادقة المحلية بحيث تتطلب مساحات أسماء شركاء Azure Event Grid بشكل حصري هويات Azure Active Directory للمصادقة. تعرف على المزيد من خلال: https://aka.ms/aeg-disablelocalauth. | تعديل، تعطيل | 1.0.0 |
| تكوين موضوعات Azure Event Grid لتعطيل المصادقة المحلية | قم بتعطيل أساليب المصادقة المحلية بحيث تتطلب موضوعات Azure Event Grid حصريًا هويات Azure Active Directory للمصادقة. تعرف على المزيد من خلال: https://aka.ms/aeg-disablelocalauth. | تعديل، تعطيل | 1.0.0 |
| النشر - تكوين مجالات شبكة أحداث Azure لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. تعرف على المزيد من خلال: https://aka.ms/privatednszone. | deployIfNotExists، DeployIfNotExists مُعطل | 1.1.0 |
| النشر - تكوين مجالات شبكة أحداث Azure بنقاط نهاية خاصة | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة لمواردك، ستتم حمايتها من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | DeployIfNotExists، معطل | 1.0.0 |
| النشر - تكوين موضوعات شبكة أحداث Azure لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. تعرف على المزيد من خلال: https://aka.ms/privatednszone. | deployIfNotExists، DeployIfNotExists مُعطل | 1.1.0 |
| النشر - تكوين موضوعات شبكة أحداث Azure بنقاط نهاية خاصة | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة لمواردك، ستتم حمايتها من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | DeployIfNotExists، معطل | 1.0.0 |
| تعديل - تكوين مجالات Azure Event Grid لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة لمورد Azure Event Grid بحيث لا يمكن الوصول إليه عبر الإنترنت العام. سيساعد ذلك على حمايتهم من مخاطر تسرب البيانات. يمكنك الحد من تعرض الموارد الخاصة بك عن طريق إنشاء نقاط نهاية خاصة بدلاً من ذلك. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | تعديل، تعطيل | 1.0.0 |
| تعديل - تكوين موضوعات شبكة أحداث Azure لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة لمورد Azure Event Grid بحيث لا يمكن الوصول إليه عبر الإنترنت العام. سيساعد ذلك على حمايتهم من مخاطر تسرب البيانات. يمكنك الحد من تعرض الموارد الخاصة بك عن طريق إنشاء نقاط نهاية خاصة بدلاً من ذلك. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | تعديل، تعطيل | 1.0.0 |
مركز الأحداث
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب إزالة جميع قواعد التخويل باستثناء RootManageSharedAccessKey من مساحة اسم Event Hub | يجب ألا يستخدم عملاء Event Hub نهج الوصول إلى مستوى مساحة الاسم الذي يوفر الوصول إلى كافة قوائم الانتظار والمواضيع في مساحة الاسم. يجب إنشاء نهج وصول على مستوى الكيان لقوائم الانتظار والمواضيع؛ لتوفير الوصول إلى الكيان المحدد فقط لتحقيق المحاذاة مع نموذج أمان الامتياز الأقل | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب تعريف قواعد التخويل على مثيل Event Hub | تدقيق وجود قواعد التخويل على كيانات Event Hub لمنح الوصول الأقل امتيازًا | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يكون لمساحات أسماء مركز أحداث Azure أساليب مصادقة محلية معطلة | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من أن مساحات أسماء Azure Event Hub تتطلب حصريا هويات معرف Microsoft Entra للمصادقة. تعرف على المزيد من خلال: https://aka.ms/disablelocalauth-eh. | التدقيق، الرفض، التعطيل | 1.0.1 |
| تكوين مساحات أسماء مركز أحداث Azure لتعطيل المصادقة المحلية | قم بتعطيل أساليب المصادقة المحلية بحيث تتطلب مساحات أسماء Azure Event Hub حصريا هويات معرف Microsoft Entra للمصادقة. تعرف على المزيد من خلال: https://aka.ms/disablelocalauth-eh. | تعديل، تعطيل | 1.0.1 |
| تكوين مساحات أسماء Event Hub لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة DNS خاصة بشبكة الاتصال الظاهرية لحلها بمساحات أسماء لوحة الوصل الأحداث. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مساحات أسماء Event Hub مع نقاط النهاية الخاصة | تقوم نقاط النهاية الخاصة بتوصيل الشبكة الظاهرية بخدمات Azure بدون العنوان العام لـ IP في المصدر أو الوجهة. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists، معطل | 1.0.0 |
| يجب أن تعطل مساحات أسماء Event Hub الوصول إلى الشبكة العامة | يجب تعطيل الوصول إلى الشبكة العامة في Azure Event Hub. يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض المورد على الإنترنت العام. يمكنك الحد من تعرض مواردك عن طريق إنشاء نقاط نهاية خاصة بدلاً من ذلك. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين تشفير مزدوج لمساحات أسماء Event Hub | يساعد تمكين التشفير المزدوج على حماية بياناتك وضمان سلامتها بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير المزدوج، يتم تشفير البيانات في حساب التخزين مرتين، مرة على مستوى الخدمة ومرة على مستوى البنية الأساسية، باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Event Hub مفتاحًا مدارًا من قِبل العميل للتشفير | تدعم مراكز الأحداث خيار تشفير البيانات في وضع البيانات الثابتة إما باستخدام مفاتيح مدارة من Microsoft (افتراضية) أو مفاتيح يديرها العملاء. يتيح لك اختيار تشفير البيانات باستخدام المفاتيح المدارة من قبل العميل تعيين المفاتيح التي سيستخدمها Event Hub لتشفير البيانات في مساحة الاسم وتدويرها وتعطيلها وإبطالها. لاحظ أن مركز الأحداث يعتمد التشفير فقط مع مفاتيح مدارة من قبل العملاء لمساحات الأسماء في مجموعات مخصصة. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين سجلات الموارد في Event Hub | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
ترحيل Fluid
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يستخدم ترحيل Fluid مفاتيح يديرها العميل لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة تشفير البيانات الثابتة لخوادم ترحيل Fluid لديك. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن عادة ما تكون CMKs مطلوبة للوفاء بمعايير التوافق التنظيمي. تمكن المفاتيح التي يديرها العميل من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتمتلكه، مع التحكم الكامل والمسؤولية، بما في ذلك التدوير والإدارة. تعرّف على المزيد من خلال https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. | المراجعة، معطلة | 1.0.0 |
عام
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| المواقع المسموح بها | يمكّنك هذا النهج من تقييد المواقع التي يمكن لمؤسستك تحديدها عند توزيع الموارد. تُستخدم لفرض متطلبات التوافق الجغرافي الخاصة بك. باستثناء مجموعات الموارد وMicrosoft.AzureActiveDirectory/b2cDirectory والموارد التي تستخدم المنطقة "العمومية". | رفض | 1.0.0 |
| المواقع المسموح بها لمجموعات الموارد | تمكّنك هذه السياسة من تقييد المواقع التي يمكن لمؤسستك إنشاء مجموعات موارد فيها. تُستخدم لفرض متطلبات التوافق الجغرافي الخاصة بك. | رفض | 1.0.0 |
| أنواع الموارد المسموح بها | يمكّنك هذا النهج من تحديد أنواع الموارد التي يمكن لمؤسستك نشرها. لن تتأثر سوى أنواع الموارد التي تدعم "العلامات" و"الموقع" بهذه السياسة. لتقييد جميع الموارد، يرجى تكرار هذه السياسة وتغيير الوضع إلى "All". | رفض | 1.0.0 |
| يطابق موقع مورد التدقيق موقع مجموعة الموارد | تحقق من مطابقة موقع المورد لموقع مجموعة الموارد الخاصة به | تحقق | 2.0.0 |
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| تكوين الاشتراكات لإعداد ميزات المعاينة | يقيم هذا النهج ميزات معاينة الاشتراك الموجودة. يمكن معالجة الاشتراكات للتسجيل في ميزة معاينة جديدة. لن يتم تسجيل الاشتراكات الجديدة تلقائيا. | AuditIfNotExists، DeployIfNotExists، مُعطل | 1.0.1 |
| عدم السماح بحذف أنواع الموارد | يمكنك هذا النهج من تحديد أنواع الموارد التي يمكن لمؤسستك حمايتها من الحذف العرضي عن طريق حظر استدعاءات الحذف باستخدام تأثير إجراء الرفض. | DenyAction, Disabled | 1.0.1 |
| عدم السماح بموارد M365 | حظر إنشاء موارد M365. | التدقيق، الرفض، التعطيل | 1.0.0 |
| عدم السماح بموارد MCPP | حظر إنشاء موارد MCPP. | التدقيق، الرفض، التعطيل | 1.0.0 |
| استبعاد موارد تكاليف الاستخدام | يمكنك هذا النهج من exlcude Usage Costs Resources. تتضمن تكاليف الاستخدام أشياء مثل التخزين المحدود وموارد Azure التي تتم فوترتها بناء على الاستخدام. | التدقيق، الرفض، التعطيل | 1.0.0 |
| أنواع الموارد غير المسموح بها | تقييد أنواع الموارد التي يمكن نشرها في بيئتك. يمكن أن يؤدي الحد من أنواع الموارد إلى تقليل التعقيد والهجوم على سطح بيئتك بينما يساعد أيضًا في إدارة التكاليف. لا يتم عرض سوى نتائج الامتثال الخاصة بالموارد غير المتوافقة. | التدقيق، الرفض، التعطيل | 2.0.0 |
تكوين الضيف
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: إضافة هوية مدارة يعينها المستخدم لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية | يضيف هذا النهج هوية مُدارة يعينها المستخدم إلى الأجهزة الظاهرية المستضافة في Azure والمدعومة من قبل تكوين الضيف. يعد الهوية المُدارة التي يعيّنها المستخدم شرطًا أساسيًا لجميع تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أي تعريفات لسياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | AuditIfNotExists، DeployIfNotExists، مُعطل | -preview 2.1.0 |
| [معاينة]: تكوين Windows Server لتعطيل المستخدمين المحليين. | إنشاء تعيين تكوين الضيف لتكوين تعطيل المستخدمين المحليين على Windows Server. وهذا يضمن أنه لا يمكن الوصول إلى خوادم Windows إلا بواسطة حساب AAD (دليل Azure النشط) (Azure Active Directory) أو قائمة المستخدمين المسموح بهم صراحة بواسطة هذا النهج، ما يحسن وضع الأمان العام. | DeployIfNotExists، معطل | 1.2.0-preview |
| [معاينة]: يجب تثبيت التحديثات الأمان الموسع على أجهزة Arc ل Windows Server 2012. | يجب أن تكون أجهزة Arc ل Windows Server 2012 قد قامت بتثبيت جميع التحديثات الأمان الموسعة التي أصدرتها Microsoft. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. للحصول على التفاصيل، تفضل بزيارة https://aka.ms/gcpol | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [إصدار أولي]: يجب أن تفي أجهزة Linux بمتطلبات خط أساس أمان Azure لمضيفي Docker | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات في أساس أمان Azure لمضيفي Docker. | AuditIfNotExists، معطل | 1.2.0-preview |
| [معاينة]: يجب أن تفي أجهزة Linux بمتطلبات امتثال STIG لحساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا لم يتم تكوين الجهاز بشكل صحيح لأحد التوصيات في متطلبات التوافق STIG لحساب Azure. توفر DISA (وكالة نظم المعلومات الدفاعية) أدلة فنية STIG (دليل التنفيذ الفني للأمان) لتأمين نظام تشغيل الحساب كما هو مطلوب من قبل وزارة الدفاع (DoD). لمزيد من التفاصيل، https://public.cyber.mil/stigs/. | AuditIfNotExists، معطل | 1.2.0-preview |
| [معاينة]: يجب أن تحتوي أجهزة Linux المثبت عليها OMI على الإصدار 1.6.8-1 أو أحدث | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. نظرًا إلى إصلاح الأمان المضمن في الإصدار 1.6.8-1 من حزمة OMI لنظام التشغيل Linux، يجب تحديث جميع الأجهزة إلى أحدث إصدار. قم بترقية التطبيقات/الحزم التي تستخدم OMI لحل المشكلة. لمزيد من المعلومات، انظر https://aka.ms/omiguidance. | AuditIfNotExists، معطل | 1.2.0-preview |
| [معاينة]: يجب أن تفي أجهزة الحوسبة في Nexus بخط أساس الأمان | يستخدم عامل Azure Policy Guest Configuration للتدقيق. تضمن هذه السياسة التزام الأجهزة بخط أساس أمان حساب Nexus، بما في ذلك توصيات مختلفة مصممة لتحصين الأجهزة ضد مجموعة من الثغرات الأمنية والتكوينات غير الآمنة (Linux فقط). | AuditIfNotExists، معطل | 1.1.0-preview |
| [معاينة]: يجب أن تفي أجهزة Windows بمتطلبات التوافق STIG لحساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات الواردة في متطلبات توافق STIG لحساب Azure. توفر DISA (وكالة نظم المعلومات الدفاعية) أدلة فنية STIG (دليل التنفيذ الفني للأمان) لتأمين نظام تشغيل الحساب كما هو مطلوب من قبل وزارة الدفاع (DoD). لمزيد من التفاصيل، https://public.cyber.mil/stigs/. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 4.1.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 4.1.0 |
| مراجعة أجهزة Linux التي تسمح بالاتصالات عن بُعد من الحسابات من دون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux تسمح بالاتصال عن بعد من الحسابات بدون كلمات مرور | AuditIfNotExists، معطل | 3.1.0 |
| تدقيق أجهزة Linux التي ليس لديها أذونات ملف passwd المعينة على 0644 | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين أجهزة Linux التي لا تحتوي على أذونات ملف passwd على 0644 | AuditIfNotExists، معطل | 3.1.0 |
| تدقيق أجهزة Linux التي لم يتم تثبيت التطبيقات المحددة عليها | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا أشار مورد Chef InSpec إلى أن واحدة أو أكثر من الحزم التي توفرها المحددة لم يتم تثبيتها. | AuditIfNotExists، معطل | 4.2.0 |
| تدقيق أجهزة Linux التي لديها حسابات بدون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux التي لها حسابات بدون كلمات مرور | AuditIfNotExists، معطل | 3.1.0 |
| تدقيق أجهزة Linux التي تم تثبيت التطبيقات المحددة عليها | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا أشار مورد Chef InSpec إلى وجود تثبيت حزمة واحدة أو أكثر من الحزم التي توفرها المحددة. | AuditIfNotExists، معطل | 4.2.0 |
| تفقد أجهزة Windows التي تعمل بنظام التشغيل أيّ أعضاء محددين في مجموعة المسؤولين | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت مجموعة Administrators المحلية لا تحتوي على عضو واحد أو أكثر مدرجين في معلمة النهج. | auditIfNotExists | 2.0.0 |
| تدقيق اتصال شبكة أجهزة Windows | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كانت حالة اتصال الشبكة بمنفذ IP وTCP لا تتطابق مع محددة السياسة. | auditIfNotExists | 2.0.0 |
| تدقيق Windows الأجهزة التي التكوين DSC غير متوافقة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كان الأمر Get-DSCConfigurationStatus في Windows PowerShell يعرض أن تكوين DSC للجهاز غير متوافق. | auditIfNotExists | 3.0.0 |
| تدقيق Windows الأجهزة التي لا يتصل بها عامل Log Analytics كما هو متوقع | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا لم يتم تثبيت العامل، أو إذا تم تثبيته ولكن كائن COM AgentConfigManager.MgmtSvcCfg يعيد أنه تم تسجيله في مساحة عمل غير المعرف المحدد في محددة السياسة. | auditIfNotExists | 2.0.0 |
| تدقيق Windows الأجهزة التي لم يتم تثبيت الخدمات المحددة عليها و"قيد التشغيل" | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت نتيجة أمر الحصول على خدمة Windows PowerShell لا تتضمن اسم الخدمة مع حالة المطابقة كما هو محدد بواسطة محددة السياسة. | auditIfNotExists | 3.0.0 |
| تدقيق Windows الأجهزة التي لم يتم تمكين وحدة التحكم التسلسلية Windows | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا لم يتم تثبيت برنامج Serial Console على الجهاز أو إذا لم يتم تكوين رقم منفذ EMS أو معدل سرعة المودم بنفس قيم محددة السياسة. | auditIfNotExists | 3.0.0 |
| تدقيق أجهزة Windows التي تسمح بإعادة استخدام كلمات المرور بعد العدد المحدد من كلمات المرور الفريدة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت أجهزة Windows تسمح بإعادة استخدام كلمات المرور بعد العدد المحدد من كلمات المرور الفريدة. القيمة الافتراضية لكلمات المرور الفريدة هي 24 | AuditIfNotExists، معطل | 2.1.0 |
| تدقيق أجهزة Windows غير المنضمة إلى المجال المحدد | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت قيمة خاصية المجال في فئةWMI win32_computersystem لا تتطابق مع القيمة الموجودة في محددة السياسة. | auditIfNotExists | 2.0.0 |
| تدوين Windows الأجهزة التي لم يتم تعيينها إلى المنطقة الزمنية المحددة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت قيمة الخاصية StandardName في فئة WMI Win32_TimeZone لا تتطابق مع المنطقة الزمنية المحددة لمحددة السياسة. | auditIfNotExists | 3.0.0 |
| تدقيق أجهزة Windows التي تحتوي على شهادات تنتهي صلاحيتها خلال مدة الأيام المحددة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت الشهادات في المخزن المحدد لها تاريخ انتهاء صلاحية خارج النطاق لمدة الأيام المحددة كمحددة. توفر السياسة أيضًا خيار التحقق من وجود شهادات معينة فقط أو استبعاد شهادات معينة، وما إذا كنت تريد الإبلاغ عن الشهادات منتهية الصلاحية. | auditIfNotExists | 2.0.0 |
| تدقيق أجهزة Windows التي لا تحتوي على الشهادات المحددة في جذر موثوق | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كان مخزن شهادات الجذر الموثوق به للجهاز (Cert: \ LocalMachine \ Root) لا يحتوي على شهادة واحدة أو أكثر من الشهادات المدرجة بواسطة محددة السياسة. | auditIfNotExists | 3.0.0 |
| تدقيق أجهزة Windows التي لم يتم تعيين الحد الأقصى لعمر كلمة المرور على عدد محدد من الأيام | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كانت أجهزة Windows التي لا تحتوي على الحد الأقصى لعمر كلمة المرور معينة على عدد محدد من الأيام. القيمة الافتراضية للحد الأقصى لعمر كلمة المرور هي 70 يوما | AuditIfNotExists، معطل | 2.1.0 |
| تدقيق أجهزة Windows التي لا تحتوي على الحد الأدنى لعمر كلمة المرور المعين لعدد محدد من الأيام | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين الحد الأدنى لعمر كلمة المرور على عدد محدد من الأيام في أجهزة Windows التي لا تحتوي على الحد الأدنى لعمر كلمة المرور. القيمة الافتراضية للحد الأدنى لعمر كلمة المرور هي يوم واحد | AuditIfNotExists، معطل | 2.1.0 |
| تدقيق Windows الأجهزة التي ليس لديها إعداد تعقيد كلمة المرور ممكن | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة في حالة تمكين الأجهزة التي تعمل بنظام التشغيل Windows التي لا تحتوي على إعداد تعقيد كلمة المرور | AuditIfNotExists، معطل | 2.0.0 |
| تدقيق أجهزة Windows التي لا تتضمن سياسة تنفيذ Windows PowerShell المحددة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كان الأمر Get-ExecutionPolicy في Windows PowerShell يُرجع قيمة غير ما تم تحديده في معلمة النهج. | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق Windows الأجهزة التي لم يتم تثبيت الوحدات النمطية Windows PowerShell المحددة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا لم تكن الوحدة النمطية متوفرة في موقع محدد بواسطة متغير البيئة PSModulePath. | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق أجهزة Windows التي لا تقيد الحد الأدنى لطول كلمة المرور بعدد محدد من الأحرف | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كانت أجهزة Windows التي لا تقيد الحد الأدنى لطول كلمة المرور لعدد محدد من الأحرف. القيمة الافتراضية للحد الأدنى لطول كلمة المرور هي 14 حرفا | AuditIfNotExists، معطل | 2.1.0 |
| تدقيق أجهزة Windows التي لا تخزن كلمات المرور باستخدام تشفير عكسي | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت الأجهزة التي تعمل بنظام Windows لا تخزن كلمات المرور باستخدام تشفير قابل للعكس | AuditIfNotExists، معطل | 2.0.0 |
| تدقيق Windows الأجهزة التي لا تحتوي على التطبيقات المحددة مثبتة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا لم يتم العثور على اسم التطبيق في أي من مسارات التسجيل التالية: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| تدقيق Windows الأجهزة التي لها حسابات إضافية في مجموعة المسؤولين | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت مجموعة المسؤولين المحليين تحتوي على أعضاء غير مدرجين في معلمة النهج. | auditIfNotExists | 2.0.0 |
| تدقيق أجهزة Windows التي لم يتم إعادة تشغيلها خلال عدد الأيام المحددة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت خاصية WMI LastBootUpTime في فئة Win32_Operatingsystem خارج نطاق الأيام التي توفرها محددة السياسة. | auditIfNotExists | 2.0.0 |
| تدقيق أجهزة Windows المثبت عليها التطبيقات المحددة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا لم يتم العثور على اسم التطبيق في أي من مسارات التسجيل التالية: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| تدوين Windows الأجهزة التي تحتوي على الأعضاء المحددين في مجموعة المسؤولين | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت مجموعة المسؤولين المحليين تحتوي على واحد أو أكثر من الأعضاء المدرجين في معلمة النهج. | auditIfNotExists | 2.0.0 |
| تدقيق أجهزة Windows الظاهرية مع إعادة تشغيل معلقة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كان الجهاز في انتظار إعادة التشغيل لأي من الأسباب التالية: الخدمة المستندة إلى المكونات، Windows Update، إعادة تسمية الملف المعلقة، إعادة تسمية الكمبيوتر المعلقة، مدير التكوين في انتظار إعادة التشغيل. كل اكتشاف له مسار تسجيل فريد. | auditIfNotExists | 2.0.0 |
| يجب أن تتطلب المصادقة على أجهزة Linux مفاتيح SSH | على الرغم من أن SSH نفسه يوفر اتصالاً مشفراً، فإن استخدام كلمات المرور مع SSH لا يزال يترك الجهاز الظاهري عرضة لهجمات القوة الغاشمة. الخيار الأكثر أماناً للمصادقة إلى جهاز ظاهري Azure Linux عبر SSH يكون باستخدام زوج مفاتيح public-private والذي يُعرف أيضًا باسم مفاتيح SSH. اعرف المزيد:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists، معطل | 3.2.0 |
| تكوين خادم Linux لتعطيل المستخدمين المحليين. | إنشاء تعيين تكوين الضيف لتكوين تعطيل المستخدمين المحليين على Linux Server. وهذا يضمن أنه لا يمكن الوصول إلى خوادم Linux إلا من خلال حساب AAD (دليل Azure النشط) (Azure Active Directory) أو قائمة المستخدمين المسموح بهم صراحة بواسطة هذا النهج، ما يحسن وضع الأمان العام. | DeployIfNotExists، معطل | معاينة 1.3.0 |
| تكوين بروتوكولات الاتصال الآمنة (TLS 1.1 أو TLS 1.2) على أجهزة Windows | إنشاء تعيين تكوين الضيف لتكوين إصدار بروتوكول آمن محدد (TLS 1.1 أو TLS 1.2) على جهاز Windows. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين المنطقة الزمنية على Windows الأجهزة. | تقوم هذه السياسة بإنشاء مهمة "تكوين الضيف" لتعيين منطقة زمنية محددة على أجهزة Windows الظاهرية. | deployIfNotExists | 2.1.0 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows | تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| يجب أن يكون لدى أجهزة Linux عامل Log Analytics مثبت على Azure Arc | الأجهزة غير متوافقة إذا لم يتم تثبيت عامل Log Analytics على خادم Linux الذي تم تمكين Azure Arc. | AuditIfNotExists، معطل | 1.1.0 |
| يجب أن تلبي أجهزة Linux المتطلبات الأساسية لأمان حساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure. | AuditIfNotExists، معطل | 2.2.0 |
| يجب أن تحتوي أجهزة Linux على حسابات محلية مسموح بها فقط | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تعد إدارة حسابات المستخدمين باستخدام Azure Active Directory أفضل ممارسة لإدارة الهويات. يساعد تقليل حسابات الأجهزة المحلية على منع انتشار الهويات المدارة خارج نظام مركزي. الأجهزة غير متوافقة في حالة وجود حسابات مستخدمين محليين تم تمكينها وغير مدرجة في محددة السياسة. | AuditIfNotExists، معطل | 2.2.0 |
| يجب أن تمكن أجهزة Linux الظاهرية تشفير قرص Azure أو EncryptionAtHost. | على الرغم من أن نظام تشغيل الجهاز الظاهري وأقراص البيانات مشفرة في حالة عدم التشغيل بشكل افتراضي باستخدام مفاتيح مدارة بواسطة النظام الأساسي؛ لا يتم تشفير أقراص الموارد (الأقراص المؤقتة) وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين موارد الحوسبة والتخزين. استخدم تشفير قرص Azure أو EncryptionAtHost للمعالجة. تفضل بزيارة https://aka.ms/diskencryptioncomparison لمقارنة عروض التشفير. يتطلب هذا النهج شرطين أساسيين لنشرهما في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.2.1 |
| يجب تعطيل أساليب المصادقة المحلية على أجهزة Linux | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا لم يتم تعطيل أساليب المصادقة المحلية لخوادم Linux. هذا للتحقق من أنه لا يمكن الوصول إلى خوادم Linux إلا من خلال حساب AAD (دليل Azure النشط) (Azure Active Directory) أو قائمة المستخدمين المسموح بهم صراحة بواسطة هذه السياسة، ما يحسن وضع الأمان العام. | AuditIfNotExists، معطل | 1.2.0-preview |
| يجب تعطيل أساليب المصادقة المحلية على خوادم Windows | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا لم يتم تعطيل أساليب المصادقة المحلية لخوادم Windows. هذا للتحقق من أنه لا يمكن الوصول إلى خوادم Windows إلا بواسطة حساب AAD (دليل Azure النشط) (Azure Active Directory) أو قائمة المستخدمين المسموح بهم صراحة بواسطة هذا النهج، ما يحسن وضع الأمان العام. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| يجب تمكين نقاط النهاية الخاصة لتعيينات تكوين الضيف | تفرض اتصالات نقطة النهاية الخاصة اتصالاً آمنًا من خلال تمكين الاتصال الخاص بتكوين الضيف للأجهزة الظاهرية. لن تكون الأجهزة الظاهرية متوافقة إلا إذا كانت تحمل العلامة "EnablePrivateNetworkGC". تفرض هذه العلامة اتصالاً آمنًا من خلال اتصال خاص بتكوين الضيف للأجهزة الظاهرية. يحد الاتصال الخاص من الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ويمنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 2.0.0 |
| يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة | لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة. | AuditIfNotExists، معطل | 4.1.1 |
| يجب أن تقوم أجهزة Windows بتكوين Windows Defender لتحديث تواقيع الحماية في غضون يوم واحد | لتوفير حماية كافية ضد البرامج الضارة التي تم إصدارها حديثًا، يجب تحديث تواقيع حماية Windows Defender بانتظام لحساب البرامج الضارة التي تم إصدارها حديثًا. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تمكن أجهزة Windows الحماية في الوقت الحقيقي لـ Windows Defender | يجب أن تمكن أجهزة Windows الحماية في الوقت الحقيقي في Windows Defender لتوفير حماية كافية ضد البرامج الضارة التي تم إصدارها حديثًا. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.0 |
| أجهزة Windows ينبغي أن تحتوي على عميل Log Analytics مثبت على Azure Arc | الأجهزة غير متوافقة إذا لم يتم تثبيت عامل Log Analytics على خادم windows ممكّن لـ Azure Arc. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "القوالب الإدارية - لوحة التحكم" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "القوالب الإدارية - لوحة التحكم" لتخصيص الإدخال ومنع تمكين شاشات القفل. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "القوالب الإدارية - MSS (Legacy)" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "القوالب الإدارية - MSS (Legacy)" لتسجيل الدخول التلقائي وشاشة التوقف وسلوك الشبكة وDLL الآمن وسجل الأحداث. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "Administrative Templates - Network" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "Administrative Templates - Network" لتسجيلات دخول الضيوف، والاتصالات المتزامنة، وجسر الشبكة، وICS، وتحليل اسم الإرسال المتعدد. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "القوالب الإدارية - النظام" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "القوالب الإدارية - النظام" للإعدادات التي تتحكم في الخبرة الإدارية والمساعدة عن بُعد. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "خيارات الأمان -الحسابات" | يجب أن يكون لدى أجهزة Windows إعدادات "نهج المجموعة" المحددة في فئة "خيارات الأمان - الحسابات" للحد من استخدام الحساب المحلي لكلمات المرور الفارغة وحالة حساب الضيف. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "خيارات الأمان - التدقيق" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - التدقيق" لفرض فئة فرعية لسياسة التدقيق وإيقاف التشغيل إذا تعذر تسجيل عمليات تدقيق الأمان. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "خيارات الأمان - الأجهزة" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة"خيارات الأمان - الأجهزة"لإلغاء الإرساء دون تسجيل الدخول، وتثبيت برامج تشغيل الطباعة، وتنسيق / إخراج الوسائط. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "خيارات الأمان - تسجيل الدخول المحلى" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - تسجيل الدخول المحلى" لعرض اسم المستخدم الأخير والمطالبة بـ ctrl-alt-del. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "خيارات الأمان - عميل شبكة Microsoft" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في الفئة "خيارات الأمان - عميل شبكة Microsoft" لعميل / خادم شبكة Microsoft وSMB v1. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Microsoft Network Server" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "Security Options - Microsoft Network Server" لتعطيل خادم SMB v1. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Microsoft Network Server" | يجب أن يكون لدى أجهزة Windows إعدادات «نهج المجموعة» المحددة في الفئة "Security Options - Network Access" بما في ذلك الوصول للمستخدمين المجهولين، والحسابات المحلية، والوصول عن بُعد إلى السجل. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Network Security" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - أمان الشبكة" لتضمين سلوك النظام المحلي وPKU2U وLAN Manager وعميل LDAP وNTLM SSP. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Recovery console" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - وحدة التحكم بالاسترداد" للسماح بالنسخ المرن والوصول إلى جميع محركات الأقراص والمجلدات. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "خيارات الأمان - إيقاف التشغيل" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - إيقاف التشغيل" للسماح بإيقاف التشغيل بدون تسجيل الدخول ومسح ملف ترحيل الصفحات الخاص بالذاكرة الظاهرية. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "خيارات الأمان - كائنات النظام" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في الفئة "خيارات الأمان - كائنات النظام" لعدم حساسية الحالة للأنظمة الفرعية غير التابعة لـ Windows وأذونات كائنات النظام الداخلية. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "خيارات الأمان - إعدادات النظام" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في الفئة "خيارات الأمان - إعدادات النظام" لقواعد الشهادات على الملفات التنفيذية لـ SRP والأنظمة الفرعية الاختيارية. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات 'Security Options - User Account Control' | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - التحكم في حساب المستخدم" للوضع الخاص بالمسؤولين، وسلوك طلب تأكيد، والمحاكاة الافتراضية لإخفاقات كتابة الملف والسجل. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "إعدادات الأمان - نُهج الحساب" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "إعدادات الأمان - سياسات الحساب" لمحفوظات كلمات المرور والعمر والطول والتعقيد وتخزين كلمات المرور باستخدام التشفير القابل للعكس. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "سياسة تدقيق النظام - تسجيل الدخول إلى الحساب" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في الفئة "سياسات تدقيق النظام - تسجيل الدخول إلى الحساب" لتدقيق التحقق من صحة بيانات الاعتماد وأحداث تسجيل الدخول إلى الحسابات الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "System Audit Policies - Account Management" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "سياسات تدقيق النظام - إدارة الحساب" لتدقيق التطبيقات والأمان وإدارة مجموعة المستخدمين وأحداث الإدارة الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات"System Audit Policies - Detailed Tracking" | يجب أن يكون لدى أجهزة Windows إعدادات "نهج المجموعة" المحددة في الفئة "نهج تدقيق النظام - تعقب مفصل" لتدقيق DPAPI وإنشاء العملية/ إنهائها وأحداث RPC ونشاط PNP. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "سياسات تدقيق النظام - تسجيل الدخول - تسجيل الخروج" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "سياسات تدقيق النظام - تسجيل الدخول - تسجيل الخروج" لتدقيق IPSec، وسياسة الشبكة، والمطالبات، وإغلاق الحساب، وعضوية المجموعة، وأحداث تسجيل الدخول/ تسجيل الخروج. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "سياسات تدقيق النظام - الوصول إلى الكائنات" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "سياسات تدقيق النظام - الوصول إلى الكائنات" لملف التدقيق، والتسجيل، وSAM، والتخزين، والتصفية، وkernel، وأنواع الأنظمة الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات"System Audit Policies - Policy Change" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "سياسة تدقيق النظام - تغيير السياسة" لتدقيق التغييرات في سياسات تدقيق النظام. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "سياسة تدقيق النظام - استخدام الامتياز" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في الفئة «نُهج تدقيق النظام - استخدام الامتياز» لتدقيق الاستخدام غير الحساس واستخدام الامتيازات الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "سياسات تدقيق النظام - النظام" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "سياسات تدقيق النظام - النظام" لتدقيق برنامج تشغيل IPsec وتكامل النظام وامتداد النظام وتغيير الحالة وأحداث النظام الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات Use" "Rights Assignment | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في الفئة 'تعيين حقوق المستخدم' للسماح بتسجيل الدخول محليًا، RDP، الوصول من الشبكة، والعديد من أنشطة المستخدم الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "مكونات Windows" | يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "مكونات Windows" للمصادقة الأساسية وحركة المرور غير المشفرة وحسابات Microsoft والقياس عن بُعد وسلوكيات Cortana وسلوكيات Windows الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي أجهزة Windows بمتطلبات "تعيين حقوق المستخدم" | يجب أن يكون لدى أجهزة Windows إعدادات "نهج المجموعة" المحددة في الفئة "خصائص جدار الحماية Windows" لحالة جدار الحماية والاتصالات وإدارة القواعد والإشعارات. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تفي الأجهزة التي تعمل بنظام التشغيل Windows بمتطلبات أساس أمان حساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن يكون لأجهزة Windows حسابات محلية مسموح بها فقط | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. هذا التعريف غير مدعوم في Windows Server 2012 أو 2012 R2. تعد إدارة حسابات المستخدمين باستخدام Azure Active Directory أفضل ممارسة لإدارة الهويات. يساعد تقليل حسابات الأجهزة المحلية على منع انتشار الهويات المدارة خارج نظام مركزي. الأجهزة غير متوافقة في حالة وجود حسابات مستخدمين محليين تم تمكينها وغير مدرجة في محددة السياسة. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تقوم أجهزة Windows بجدولة Windows Defender لإجراء فحص مجدول كل يوم | لضمان الكشف الفوري عن البرامج الضارة وتقليل تأثيرها على النظام، يوصى بأن تقوم أجهزة Windows التي تعمل بنظام Windows Defender بجدولة فحص يومي. يرجى التأكد من دعم Windows Defender وتثبيته مسبقا على الجهاز ونشر المتطلبات الأساسية لتكوين الضيف. وقد يؤدي الفشل في تلبية هذه المتطلبات إلى نتائج تقييم غير دقيقة. تعرف على المزيد حول تكوين الضيف في https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.2.0 |
| يجب أن تستخدم أجهزة Windows خادم NTP الافتراضي | قم بإعداد "time.windows.com" كخادم NTP الافتراضي لجميع أجهزة Windows لضمان أن السجلات عبر جميع الأنظمة تحتوي على ساعات النظام التي تتم مزامنتها كلها. يتطلب هذا النهج نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين النهج. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تمكن أجهزة Windows الظاهرية تشفير قرص Azure أو EncryptionAtHost. | على الرغم من أن نظام تشغيل الجهاز الظاهري وأقراص البيانات مشفرة في حالة عدم التشغيل بشكل افتراضي باستخدام مفاتيح مدارة بواسطة النظام الأساسي؛ لا يتم تشفير أقراص الموارد (الأقراص المؤقتة) وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين موارد الحوسبة والتخزين. استخدم تشفير قرص Azure أو EncryptionAtHost للمعالجة. تفضل بزيارة https://aka.ms/diskencryptioncomparison لمقارنة عروض التشفير. يتطلب هذا النهج شرطين أساسيين لنشرهما في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.1.1 |
HDInsight
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب حقن مجموعات Azure HDInsight في شبكة ظاهرية | حيث يؤدي حقن مجموعات Azure HDInsight في شبكة ظاهرية إلى فتح ميزات أمان وشبكات HDInsight المتقدمة ويوفر لك التحكم في تكوين أمان الشبكة. | تدقيق، تعطيل، رفض | 1.0.0 |
| يجب أن تستخدم مجموعات Azure HDInsight المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون بمجموعات Azure HDInsight. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/hdi.cmk. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم مجموعات Azure HDInsight التشفير عند المضيف لتشفير البيانات الثابتة | يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير في المضيف، يتم تشفير البيانات المخزنة على مضيف VM عند لثبات البيانات ويتم تدفقها مشفرة إلى خدمة التخزين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم مجموعات Azure HDInsight التشفير أثناء النقل لتشفير الاتصال بين عقد نظام المجموعة Azure HDInsight | يمكن العبث بالبيانات أثناء الإرسال بين عقد نظام المجموعة Azure HDInsight. يؤدي تمكين التشفير أثناء النقل إلى معالجة مشكلات إساءة الاستخدام والعبث أثناء عملية الإرسال هذه. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يتعين لـ Azure HDInsight أن تستخدم ارتباطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجموعات Azure HDInsight، يمكنك الحد من مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/hdi.pl. | AuditIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات Azure HDInsight لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة DNS الخاصة بشبكتك الظاهرية لحل أنظمة مجموعات Azure HDInsight. تعرف على المزيد من خلال: https://aka.ms/hdi.pl. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات Azure HDInsight بنقاط النهاية الخاصة | تعمل نقاط النهاية الخاصة على توصيل شبكاتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة إلى مجموعات Azure HDInsight، يمكنك الحد من مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/hdi.pl. | DeployIfNotExists، معطل | 1.0.0 |
روبوت السلامة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم روبوتات الحماية من Azure المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح المُدارة بواسطة العميل (CMK) لإدارة التشفير في باقي بيانات healthbots الخاصة بك. بشكل افتراضي، يتم تشفير البيانات في وضع غير نشط باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن عادةً ما يكون CMK مطلوبًا لتلبية معايير الامتثال التنظيمي. تمكن CMK من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/health-bot/cmk. | المراجعة، معطلة | 1.0.0 |
مساحة عمل Health Data Services
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم مساحة عمل Azure Health Data Services رابطا خاصا | يجب أن تحتوي مساحة عمل Health Data Services على اتصال نقطة نهاية خاصة معتمدة واحدة على الأقل. يمكن للعملاء في الشبكة الظاهرية الوصول بأمان إلى الموارد التي لها اتصالات نقطة نهاية خاصة من خلال الروابط الخاصة. لمزيد من المعلومات، يرجى زيارة: https://aka.ms/healthcareapisprivatelink. | المراجعة، معطلة | 1.0.0 |
واجهات برمجة التطبيقات Healthcare
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| لا يسمح اشتراك المصادر في الموارد لأي نطاق بالوصول إلى واجهة برمجة التطبيقات لخدمات FHIR | لا يسمح اشتراك المصادر في الموارد لجميع النطاقات بالوصول إلى واجهة برمجة التطبيقات لخدمة FHIR. لحماية واجهة برمجة التطبيقات لخدمة FHIR، امنع الوصول من جميع النطاقات وحدد النطاقات المسموح لها بالاتصال بشكل صريح. | تدقيق، تدقيق، معطل، معطل | 1.1.0 |
| يجب أن تستخدم خدمة DICOM مفتاحا يديره العميل لتشفير البيانات الثابتة | استخدم مفتاحا يديره العميل للتحكم في التشفير في بقية البيانات المخزنة في Azure Health Data Services DICOM Service عندما يكون هذا مطلبا تنظيميا أو متطلبا للتوافق. توفر المفاتيح المدارة من قبل العميل أيضًا تشفيرا مزدوجا عن طريق إضافة طبقة ثانية من التشفير فوق الطبقة الافتراضية التي تتم باستخدام المفاتيح المدارة بواسطة الخدمة. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم خدمة FHIR مفتاحا يديره العميل لتشفير البيانات الثابتة | استخدم مفتاحا يديره العميل للتحكم في التشفير في بقية البيانات المخزنة في Azure Health Data Services FHIR Service عندما يكون هذا مطلبا تنظيميا أو متطلبا للتوافق. توفر المفاتيح المدارة من قبل العميل أيضًا تشفيرا مزدوجا عن طريق إضافة طبقة ثانية من التشفير فوق الطبقة الافتراضية التي تتم باستخدام المفاتيح المدارة بواسطة الخدمة. | المراجعة، معطلة | 1.0.0 |
إنترنت الأشياء
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب أن يستخدم Azure IoT Hub المفتاح المدار من قبل العميل لتشفير البيانات الثابتة | يضيف تشفير البيانات الثابتة في IoT Hub باستخدام المفتاح المُدار بواسطة العميل طبقة ثانية من التشفير أعلى المفاتيح الافتراضية المُدارة بواسطة الخدمة، ويُمكِّن العميل من التحكم في المفاتيح، وسياسات التناوب المخصصة، والقدرة على إدارة الوصول إلى البيانات من خلال التحكم في الوصول إلى المفتاح. يجب تكوين المفاتيح المدارة من قبل العميل أثناء إنشاء مركز IoT. لمزيد من المعلومات حول كيفية تكوين المفاتيح التي يديرها العملاء، راجع https://aka.ms/iotcmk. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب تشفير بيانات خدمة توفير جهاز IoT Hub باستخدام مفاتيح يديرها العميل (CMK) | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خدمة تزويد جهاز IoT Hub. يتم تشفير البيانات تلقائيًا في حالة ثبات البيانات مع مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء (CMK) مطلوبة عادة لتلبية معايير التوافق التنظيمية. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. تعرف على المزيد حول تشفير CMK على https://aka.ms/dps/CMK. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| يجب أن تستخدم حسابات Azure Device Update مفتاحا يديره العميل لتشفير البيانات الثابتة | يضيف تشفير البيانات الثابتة في Azure Device Update باستخدام مفتاح مدار من قبل العميل طبقة ثانية من التشفير أعلى المفاتيح الافتراضية المدارة بواسطة الخدمة، ويمكن التحكم في المفاتيح، ونهج التدوير المخصصة، والقدرة على إدارة الوصول إلى البيانات من خلال التحكم في الوصول إلى المفاتيح. تعرف على المزيد في:https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يتعين أن يستخدم تحديث جهاز Azure لحسابات IoT Hub رابطا خاصا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى Azure Device Update لحسابات IoT Hub، يتم الحد من مخاطر تسرب البيانات. | AuditIfNotExists، معطل | 1.0.0 |
| تُعطل طرق المصادقة المحلية مركز إنترنت أشياء Azure في خدمة التطبيقات | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان عن طريق التأكد من أن Azure IoT Hub يتطلب بشكل حصري هويات Azure Active Directory لمصادقة Api الخدمة. تعرف على المزيد من خلال: https://aka.ms/iothubdisablelocalauth. | التدقيق، الرفض، التعطيل | 1.0.0 |
| تكوين Azure Device Update لحسابات IoT Hub لتعطيل خدمة الوصول إلى الشبكة العامة | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان عن طريق ضمان إمكانية الوصول إلى Azure IoT Hub فحسب من نقطة نهاية خاصة. يعطل هذا النهج الوصول إلى شبكة الاتصال العامة على موارد IoT Hub. | تعديل، تعطيل | 1.0.0 |
| تكوين Azure Device Update لحسابات IoT Hub لاستخدام مناطق DNS الخاصة | يوفر Azure Private DNS خدمة DNS موثوق فيها وآمنة؛ لإدارة أسماء المجالات وحلها في شبكة ظاهرية دون الحاجة إلى إضافة حل DNS مخصص. يمكنك استخدام مناطق DNS الخاصة لتجاوز دقة DNS باستخدام أسماء المجال المخصصة الخاصة بك لنقطة نهاية خاصة. يوزع هذا النهج منطقة DNS خاصة لتحديث الجهاز لنقاط النهاية الخاصة بمركز IoT. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين تحديث Azure Device لحسابات IoT Hub لاستخدام مناطق DNS الخاصة | نقطة النهاية الخاصة هي عنوان IP خاص مخصص داخل شبكة ظاهرية مملوكة للعميل يمكن من خلالها الوصول إلى مورد Azure. يقوم هذا النهج بتوزيع نقطة نهاية خاصة لمركز IoT للسماح للخدمات داخل الشبكة الظاهرية بالوصول إلى مركز IoT دون الحاجة إلى إرسال نسبة استخدام الشبكة إلى نقطة النهاية العامة لـ IoT Hub. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين مركز إنترنت أشياء Azure لتعطيل المصادقة المحلية | تعطيل أساليب المصادقة المحلية بغرض تكوين مركز إنترنت أشياء Azure حصراً يتطلب هويات Azure Active Directory للمصادقة. تعرف على المزيد من خلال: https://aka.ms/iothubdisablelocalauth. | تعديل، تعطيل | 1.0.0 |
| تكوين مثيلات توفير جهاز IoT Hub لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة DNS خاصة بشبكة الاتصال الظاهرية لحلها بمثيل خدمة توفير جهاز IoT Hub. تعرف على المزيد من خلال: https://aka.ms/iotdpsvnet. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مثيلات خدمة توفير جهاز IoT Hub لتعطيل الوصول إلى الشبكة العامة | تعطيل الوصول إلى الشبكة العامة لمثيل توفير جهاز IoT Hub بحيث لا يمكن الوصول إليه عبر الإنترنت العام. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/iotdpsvnet. | تعديل، تعطيل | 1.0.0 |
| تكوين مثيلات خدمة توفير جهاز IoT Hub باستخدام نقاط نهاية خاصة | تقوم نقاط النهاية الخاصة بتوصيل الشبكة الظاهرية بخدمات Azure بدون العنوان العام لـ IP في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة إلى خدمة توفير جهاز IoT Hub، يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | DeployIfNotExists، معطل | 1.0.0 |
| توزيع - تكوين Azure IoT Hubs لاستخدام مناطق DNS الخاصة | يوفر Azure Private DNS خدمة DNS موثوق فيها وآمنة؛ لإدارة أسماء المجالات وحلها في شبكة ظاهرية دون الحاجة إلى إضافة حل DNS مخصص. يمكنك استخدام مناطق DNS الخاصة لتجاوز دقة DNS باستخدام أسماء المجال المخصصة الخاصة بك لنقطة نهاية خاصة. يقوم هذا النهج بتوزيع منطقة DNS خاصة لنقاط النهاية الخاصة بـ IoT Hub. | deployIfNotExists، DeployIfNotExists مُعطل | 1.1.0 |
| توزيع - تكوين Azure IoT Hubs مع نقاط النهاية الخاصة | نقطة النهاية الخاصة هي عنوان IP خاص مخصص داخل شبكة ظاهرية مملوكة للعميل يمكن من خلالها الوصول إلى مورد Azure. يقوم هذا النهج بتوزيع نقطة نهاية خاصة لمركز IoT للسماح للخدمات داخل الشبكة الظاهرية بالوصول إلى مركز IoT دون الحاجة إلى إرسال حركة المرور إلى نقطة النهاية العامة لـ IoT Hub. | DeployIfNotExists، معطل | 1.0.0 |
| توزيع - تكوين IoT Central لاستخدام مناطق DNS الخاصة | يوفر Azure Private DNS خدمة DNS موثوق فيها وآمنة؛ لإدارة أسماء المجالات وحلها في شبكة ظاهرية دون الحاجة إلى إضافة حل DNS مخصص. يمكنك استخدام مناطق DNS الخاصة لتجاوز دقة DNS باستخدام أسماء المجال المخصصة الخاصة بك لنقطة نهاية خاصة. يقوم هذا النهج بتوزيع منطقة DNS خاصة لنقاط النهاية الخاصة بـ IoT Central. | DeployIfNotExists، معطل | 1.0.0 |
| توزيع- تكوين وسط IoT بنقاط نهاية خاصة | نقطة النهاية الخاصة هي عنوان IP خاص مخصص داخل شبكة ظاهرية مملوكة للعميل يمكن من خلالها الوصول إلى مورد Azure. يقوم هذا النهج بتوزيع نقطة نهاية خاصة لوسط IoT للسماح للخدمات داخل الشبكة الظاهرية بالوصول إلى وسط IoT دون الحاجة إلى إرسال حركة المرور إلى نقطة النهاية العامة لوسط IoT. | DeployIfNotExists، معطل | 1.0.0 |
| يجب أن يستخدم وسط IoT رابطا خاصا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لتطبيق وسط IoT الخاص بك بدلاً من الخدمة بأكملها، ستقلل من مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotcentral-network-security-using-pe. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل مثيلات خدمة توفير جهاز IoT Hub الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم تعرض مثيل خدمة توفير أجهزة IoT Hub على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض مثيلات توفير أجهزة IoT Hub. تعرف على المزيد من خلال: https://aka.ms/iotdpsvnet. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | المراجعة، معطلة | 1.0.0 |
| تعديل - تكوين Azure IoT Hubs لتعطيل الوصول إلى الشبكة العامة | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure IoT Hub فقط من نقطة نهاية خاصة. يعطل هذا النهج الوصول إلى شبكة الاتصال العامة على موارد مركز IoT. | تعديل، تعطيل | 1.0.0 |
| تعديل - تكوين وسط IoT لتعطيل الوصول إلى الشبكة العامة | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى وسط IoT فقط من نقطة نهاية خاصة. يعطل هذا النهج الوصول إلى شبكة الاتصال العامة على موارد مركز IoT. | تعديل، تعطيل | 1.0.0 |
| يجب تمكين نقطة النهاية الخاصة لمركز IoT | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بمركز IoT. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | المراجعة، معطلة | 1.0.0 |
| يتعين تعطيل الوصول إلى الشبكة العامة لتحديث جهاز Azure لحسابات IoT Hub | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان عن طريق ضمان إمكانية الوصول إلى Azure IoT Hub فحسب من نقطة النهاية الخاصة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تعطيل الوصول إلى الشبكة العامة على Azure IoT Hub | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure IoT Hub فقط من نقطة نهاية خاصة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لوسط IoT | لتحسين أمان مورد وسط IoT، تأكد من عدم تعرضه للإنترنت العام وأنه لا يمكن الوصول إليه إلا عبر نقطة النهاية الخاصة. عطّل خاصية الوصول إلى الشبكة العامة كما هو موضح في https://aka.ms/iotcentral-restrict-public-access. يعمل هذا الخيار على تعطيل إمكانية الوصول من أي مساحة عنوان عام تقع خارج نطاق IP Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو عنوان IP. وذلك من شأنه أن يقلل من مخاطر تسرب البيانات. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين سجلات الموارد في مركز IoT | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 3.1.0 |
Key Vault
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب أن يكون لمفاتيح HSM المدارة في Azure Key Vault تاريخ انتهاء صلاحية | لاستخدام هذا النهج في المعاينة، يجب أولا اتباع هذه الإرشادات في https://aka.ms/mhsmgovernance. يجب أن يكون لمفاتيح التشفير تاريخ انتهاء صلاحية محدد وألا تكون دائمة. توفر المفاتيح الصالحة إلى الأبد للمهاجم المحتمل المزيد من الوقت لاختراق المفتاح. من المستحسن أن يتم تعيين تواريخ انتهاء الصلاحية على مفاتيح التشفير. | التدقيق، الرفض، التعطيل | 1.0.1 - المعاينة |
| [معاينة]: يجب أن يكون لمفاتيح HSM المدارة في Azure Key Vault أكثر من عدد الأيام المحدد قبل انتهاء الصلاحية | لاستخدام هذا النهج في المعاينة، يجب أولا اتباع هذه الإرشادات في https://aka.ms/mhsmgovernance. إذا كان ثمة مفتاح قريب جداً من انتهاء الصلاحية، فقد يؤدي التأخير التنظيمي لتدوير المفتاح إلى انقطاع. يجب تدوير المفاتيح في عدد محدد من الأيام قبل انتهاء الصلاحية لتوفير الوقت الكافي للاستجابة بشأن الفشل. | التدقيق، الرفض، التعطيل | 1.0.1 - المعاينة |
| [معاينة]: يجب أن تحتوي مفاتيح HSM المدارة في Azure Key Vault باستخدام تشفير المنحنى الناقص على أسماء المنحنى المحددة | لاستخدام هذا النهج في المعاينة، يجب أولا اتباع هذه الإرشادات في https://aka.ms/mhsmgovernance. يمكن أن يكون للمفاتيح المدعومة بتشفير منحنى على شكل قطع ناقص أسماء منحنى مختلفة. بعض التطبيقات متوافقة فقط مع مفاتيح المنحنى على شكل قطع ناقص المحددة. افرض أنواع مفاتيح المنحنى على شكل قطع ناقص المسموح بإنشائها في بيئتك. | التدقيق، الرفض، التعطيل | 1.0.1 - المعاينة |
| [معاينة]: يجب أن يكون لمفاتيح HSM المدارة في Azure Key Vault باستخدام تشفير RSA الحد الأدنى المحدد لحجم المفتاح | لاستخدام هذا النهج في المعاينة، يجب أولا اتباع هذه الإرشادات في https://aka.ms/mhsmgovernance. قم بتعيين الحد الأدنى المسموح به لحجم المفتاح للاستخدام مع المخازن الرئيسية. استخدام مفاتيح RSA مع أحجام المفاتيح الصغيرة لا يُعد ممارسة آمنة ولا يفي بالعديد من متطلبات شهادة الصناعة. | التدقيق، الرفض، التعطيل | 1.0.1 - المعاينة |
| [معاينة]: يجب أن يقوم HSM المُدار من Azure Key Vault بتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى HSM المدارة في Azure Key Vault بحيث لا يمكن الوصول إليها عبر شبكة الإنترنت العامة. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن يستخدم Azure Key Vault Managed HSM ارتباط خاص | يوفر الارتباط الخاص طريقة لتوصيل HSM المدارة في Azure Key Vault بمواردك في Azure دون إرسال حركة المرور عبر الإنترنت العام. يوفر الارتباط الخاص حماية دفاعية في العمق ضد تسرب البيانات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | المراجعة، معطلة | 1.0.0-المعاينة |
| [معاينة]: يجب إصدار الشهادات من قبل إحدى المراجع المصدقة غير المتكاملة المحددة | قم بإدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد المراجع المصدقة المخصصة أو الداخلية التي يمكنها إصدار شهادات في مخزن المفاتيح الخاص بك. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: تكوين Azure Key Vault Managed HSM لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى HSM المدارة في Azure Key Vault بحيث لا يمكن الوصول إليها عبر شبكة الإنترنت العامة. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | تعديل، تعطيل | 2.0.0-المعاينة |
| [معاينة]: تكوين Azure Key Vault Managed HSM بنقاط نهاية خاصة | تعمل نقاط النهاية الخاصة على توصيل شبكاتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى HSM المُدار في Azure Key Vault. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| يجب تمكين الحماية من الحذف النهائي في Azure Key Vault Managed HSM | يمكن أن يؤدي الحذف الضار لـ HSM المدارة في Azure Key Vault إلى فقدان البيانات بشكل دائم. يمكن لأي برنامج ضار داخلي داخل مؤسستك حذف ومسح HSM المدار في Azure Key Vault. تعمل الحماية من المسح على حمايتك من الهجمات الداخلية من خلال فرض فترة الاحتفاظ الإلزامية على HSM المدارة في Azure Key Vault المحذوف مبدئيًا. لن يتمكن أحد داخل مؤسستك أو Microsoft من مسح HSM المدارة في Azure Key Vault خلال فترة الاحتفاظ بالحذف المبدئي. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يعطل Azure Key Vault الوصول إلى الشبكة العامة | قم بتعطيل وصول الشبكة العامة الخاصة بـ Key Vault بحيث لا يمكن الوصول إليها عبر شبكة الإنترنت العامة. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/akvprivatelink. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب تمكين جدار حماية Azure Key Vault | قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security | التدقيق، الرفض، التعطيل | 3.2.1 |
| يجب أن يستخدم Azure Key Vault نموذج إذن التحكم في الوصول استنادا إلى الدور | تمكين نموذج إذن التحكم في الوصول استنادا إلى الدور عبر Key Vaults. تعرّف على المزيد من خلال: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم Azure Key Vaults رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| يجب إصدار الشهادات من قبل مرجع مصدق متكامل ومحدد | إدارة متطلباتك التوافقية التنظيمية عن طريق تحديد المراجع المصدقة المتكاملة في Azure التي يمكنها إصدار شهادات في key vault مثل Digicert أو GlobalSign. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.0 |
| يجب إصدار الشهادات من قبل مرجع مصدق محدد وغير متكامل | قم بإدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد مراجع شهادات مخصصة أو داخلية واحدة يمكنها إصدار شهادات في مخزن المفاتيح الخاص بك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.1 |
| يجب أن تحتوي الشهادات على مشغلات الإجراء للفترة الزمنية المحددة | إدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد ما إذا كان يتم تشغيل إجراء على مدار مدة الشهادة بنسبة مئوية معينة من مدتها أو في عدد معين من الأيام قبل انتهاء صلاحيتها. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.0 |
| يجب أن يكون للشهادات أقصى فترة صلاحية محددة | إدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد الحد الأقصى من الوقت الذي يمكن أن تكون الشهادة صالحة داخل مخزن المفتاح الخاص بك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.2.1 |
| يجب ألا تنتهي صلاحية الشهادات خلال عدد الأيام المحدد | إدارة الشهادات التي ستنتهي صلاحيتها خلال عدد محدد من الأيام لضمان حصول مؤسستك على الوقت الكافي لتدوير الشهادة قبل انتهاء صلاحيتها. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.1 |
| يجب أن تستخدم الشهادات أنواع المفاتيح المسموح بها | إدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تقييد أنواع المفاتيح المسموح بها للشهادات. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.0 |
| كان من الواجب أن تسمح الشهادات التي تستخدم تشفير منحنى على شكل قطع ناقص بأسماء المنحنى | إدارة أسماء المنحنى على شكل قطع ناقص المسموح بها لشهادات ECC المخزنة في key vault. يمكن العثور على مزيد من المعلومات في https://aka.ms/akvpolicy. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.0 |
| يجب أن يكون للشهادات التي تستخدم تشفير RSA الحد الأدنى المحدد لحجم المفتاح | قم بإدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد الحد الأدنى لحجم المفتاح فيما يخص شهادات RSA المخزنة في المخزن الرئيسي. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.1.0 |
| تكوين Azure Key Vaults لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة DNS خاصة بشبكة الاتصال الظاهرية لحلها بـ key vault. تعرف على المزيد من خلال: https://aka.ms/akvprivatelink. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين Azure Key Vaults مع نقاط النهاية الخاصة | تعمل نقاط النهاية الخاصة على توصيل شبكاتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين خزائن المفاتيح لتمكين الجدار الخاص بالحماية | قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. يمكنك بعد ذلك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security | تعديل، تعطيل | 1.1.1 |
| نشر - تكوين إعدادات التشخيص لـ Azure Key Vault إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لـ Azure Key Vault لبث سجلات الموارد إلى مساحة عمل Log Analytics عند إنشاء أو تحديث أي Key Vault يفتقد إعدادات التشخيص هذه. | DeployIfNotExists، معطل | 2.0.1 |
| نشر - تكوين إعدادات التشخيص إلى مركز الحدث ليتم تمكينها على HSM المُدار في Azure Key Vault | نشر إعدادات التشخيص لـ HSM المُدار في Azure Key Vault للبث إلى مركز حدث إقليمي عند إنشاء أو تحديث أي HSM مُدار في Azure Key Vault الذي يفتقد إعدادات التشخيص هذه. | DeployIfNotExists، معطل | 1.0.0 |
| نشر الإعدادات التشخيصية لـ Key Vault إلى مركز الحدث | نشر إعدادات التشخيص لـ Key Vault للبث إلى سجل حدث إقليمي عند إنشاء أو تحديث أي Key Vault يفتقد إعدادات التشخيص هذه. | DeployIfNotExists، معطل | 3.0.1 |
| يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية | يجب أن يكون لمفاتيح التشفير تاريخ انتهاء صلاحية محدد وألا تكون دائمة. توفر المفاتيح الصالحة إلى الأبد للمهاجم المحتمل المزيد من الوقت لاختراق المفتاح. من المستحسن أن يتم تعيين تواريخ انتهاء الصلاحية على مفاتيح التشفير. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن يكون لأسرار Key Vault تاريخ انتهاء صلاحية | يجب أن يكون للأسرار تاريخ انتهاء صلاحية محدد وألا تكون دائمة. الأسرار التي هي صالحة إلى الأبد توفر للمهاجم المحتمل مع المزيد من الوقت للتنازل عنها. من الممارسات الأمنية الموصى بها تعيين تواريخ انتهاء الصلاحية على الأسرار. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب تمكين حماية الحذف في خزائن المفاتيح | يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب تمكين الحذف المبدئي في Key vaults | يؤدي حذف key vault من دون حذف مبدئي ممكن إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في key vault نهائيًا. يمكن أن يؤدي الحذف العرضي لمخزن البيانات السرية إلى فقدان دائم للبيانات. يتيح لك الحذف الناعم استرداد مخزن مفاتيح تم حذفها عن طريق الخطأ لفترة استبقاء قابلة للتكوين. | التدقيق، الرفض، التعطيل | 3.0.0 |
| يجب أن تكون المفاتيح مدعومة بوحدة أمان الأجهزة (HSM) | HSM هي وحدة أمان الأجهزة التي تخزن المفاتيح. توفر HSM طبقة فعلية من الحماية لمفاتيح التشفير. لا يمكن أن يترك مفتاح التشفير HSM فعلية توفر مستوى أمان أكبر من مفتاح البرنامج. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تكون المفاتيح من النوع المحدد للتشفير RSA أو EC | تتطلب بعض التطبيقات استخدام مفاتيح مدعومة بنوع تشفير محدد. افرض نوع مفتاح تشفير معينًا، RSA أو EC، في بيئتك. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن يكون للمفاتيح نهج تدوير يضمن جدولة دورانها خلال عدد الأيام المحدد بعد الإنشاء. | قم بإدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد الحد الأقصى لعدد الأيام بعد إنشاء المفتاح حتى يجب تدويره. | المراجعة، معطلة | 1.0.0 |
| يجب أن يكون للمفاتيح عدد من الأيام أكثر من العدد المحدد قبل انتهاء الصلاحية | إذا كان ثمة مفتاح قريب جداً من انتهاء الصلاحية، فقد يؤدي التأخير التنظيمي لتدوير المفتاح إلى انقطاع. يجب تدوير المفاتيح في عدد محدد من الأيام قبل انتهاء الصلاحية لتوفير الوقت الكافي للاستجابة بشأن الفشل. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن يكون للمفاتيح فترة صلاحية قصوى محددة | إدارة متطلبات التوافق التنظيمية عن طريق تحديد الحد الأقصى من الوقت في الأيام التي يمكن أن يكون المفتاح فيها صالحًا داخل key vault. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب ألا تكون المفاتيح نشطة لفترة أطول من عدد الأيام المحدد | حدد عدد الأيام التي يجب أن يكون المفتاح نشطًا فيها. المفاتيح المستخدمة لفترة طويلة من الوقت تزيد من احتمالية أن يعرض المهاجم المفتاح للخطر. كممارسة أمان جيدة، تأكد من أن المفاتيح لديك لم تكن نشطة لأكثر من عامين. | التدقيق، الرفض، التعطيل | 1.0.1 |
| المفاتيح التي تستخدم تشفير المنحنى البيضاوي يجب أن تحمل أسماء المنحنيات المحددة | يمكن أن يكون للمفاتيح المدعومة بتشفير منحنى على شكل قطع ناقص أسماء منحنى مختلفة. بعض التطبيقات متوافقة فقط مع مفاتيح المنحنى على شكل قطع ناقص المحددة. افرض أنواع مفاتيح المنحنى على شكل قطع ناقص المسموح بإنشائها في بيئتك. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن يكون للمفاتيح التي تستخدم تشفير RSA حد أدنى محدد لحجم المفتاح | قم بتعيين الحد الأدنى المسموح به لحجم المفتاح للاستخدام مع المخازن الرئيسية. استخدام مفاتيح RSA مع أحجام المفاتيح الصغيرة لا يُعد ممارسة آمنة ولا يفي بالعديد من متطلبات شهادة الصناعة. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب تمكين سجلات الموارد في HSM المدارة في Azure Key Vault | لإعادة إنشاء مسارات النشاط لأغراض التحري؛ عند حدوث حادث أمني أو عند اختراق الشبكة، قد ترغب في التدقيق من خلال تمكين سجلات المورد على وحدات HSM. يرجى اتباع التعليمات هنا: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists، معطل | 1.1.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| يجب أن يتم تعيين نوع المحتوى للأسرار | تساعد علامة نوع المحتوى على تحديد ما إذا كان السر هو كلمة مرور أو سلسلة اتصال أو ما إلى ذلك. حيث إن الأسرار المختلفة لها متطلبات تدوير مختلفة. يجب تعيين علامة نوع المحتوى على الأسرار. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن يكون للأسرار عدد من الأيام أكثر من العدد المحدد قبل انتهاء الصلاحية | إذا كان هناك سر قريب جداً من انتهاء الصلاحية، فقد يؤدي التأخير التنظيمي لتدوير السر إلى انقطاع. يجب تدوير الأسرار في عدد محدد من الأيام قبل انتهاء الصلاحية لتوفير الوقت الكافي للاستجابة بشأن الفشل. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تكون للأسرار فترة صلاحية قصوى محددة | إدارة متطلبات التوافق التنظيمية عن طريق تحديد الحد الأقصى من الوقت في الأيام التي يمكن أن يكون السر فيها صالحًا داخل key vault. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب ألا تكون الأسرار نشطة لفترة أطول من عدد الأيام المحدد | إذا تم إنشاء الأسرار لديك بتاريخ تنشيط محدد في المستقبل، فيجب عليك التأكد من أن الأسرار لديك لم تكن نشطة لفترة أطول من المدة المحددة. | التدقيق، الرفض، التعطيل | 1.0.1 |
Kubernetes
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: [Image Integrity] يجب أن تستخدم مجموعات Kubernetes الصور الموقعة بواسطة العلامات فقط | استخدم الصور الموقعة بواسطة تدوين للتأكد من أن الصور تأتي من مصادر موثوق بها ولن يتم تعديلها بشكل ضار. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/aks/image-integrity | المراجعة، معطلة | 1.0.0-المعاينة |
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
| [معاينة]: لا يمكن تحرير العقد الفردية | يتعذر تحرير العقد الفردية. يجب ألا يقوم المستخدمون بتحرير العقد الفردية. الرجاء تحرير تجمعات العقدة. يمكن أن يؤدي تعديل العقد الفردية إلى إعدادات غير متناسقة وتحديات تشغيلية ومخاطر أمنية محتملة. | التدقيق، الرفض، التعطيل | 1.1.1 معاينة |
| [معاينة]: تكوين مجموعات Kubernetes الممكنة في Azure Arc لتثبيت ملحق Microsoft Defender for Cloud | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists، معطل | 7.1.0-معاينة |
| [معاينة]: نشر تكامل الصور على خدمة Azure Kubernetes | توزيع كل من تكامل الصورة والوظائف الإضافية للنهج في مجموعات Azure Kubernetes. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/aks/image-integrity | DeployIfNotExists، معطل | 1.0.5-استعراض |
| [معاينة]: يجب أن تتضمن صور حاوية مجموعة Kubernetes خطاف preStop | يتطلب أن تتضمن صور الحاوية خطاف preStop لإنهاء العمليات بأمان أثناء إيقاف تشغيل الجراب. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب ألا تتضمن صور حاوية نظام مجموعة Kubernetes أحدث علامة صورة | يتطلب عدم استخدام صور الحاوية لأحدث علامة في Kubernetes، فمن أفضل الممارسات ضمان إمكانية إعادة الإنتاج، ومنع التحديثات غير المقصودة، وتسهيل تصحيح الأخطاء والتراجع بسهولة باستخدام صور حاوية صريحة وإصدارية. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تسحب حاويات نظام مجموعة Kubernetes الصور فقط عند وجود أسرار سحب الصور | تقييد سحب صور الحاويات لفرض وجود ImagePullSecrets، ما يضمن الوصول الآمن والمخول إلى الصور داخل مجموعة Kubernetes | التدقيق، الرفض، التعطيل | 1.1.0-preview |
| [معاينة]: يجب أن تستخدم خدمات نظام مجموعة Kubernetes محددات فريدة | تأكد من أن الخدمات في مساحة الاسم لها محددات فريدة. يضمن محدد الخدمة الفريد أن كل خدمة داخل مساحة الاسم قابلة للتحديد بشكل فريد استنادا إلى معايير محددة. يقوم هذا النهج بمزامنة موارد الدخول إلى OPA عبر Gatekeeper. قبل التطبيق، تحقق من عدم تجاوز سعة ذاكرة Gatekeeper pods. تنطبق المعلمات على مساحات أسماء معينة، ولكنها تقوم بمزامنة جميع الموارد من هذا النوع عبر جميع مساحات الأسماء. حاليا في المعاينة لخدمة Kubernetes (AKS). | التدقيق، الرفض، التعطيل | 1.1.1 معاينة |
| [معاينة]: يجب أن تنفذ مجموعة Kubernetes ميزانيات دقيقة لتعطل الجراب | يمنع ميزانيات تعطيل Pod الخاطئة، ما يضمن الحد الأدنى لعدد الجرابات التشغيلية. راجع وثائق Kubernetes الرسمية للحصول على التفاصيل. يعتمد على النسخ المتماثل لبيانات Gatekeeper ويتزامن مع جميع موارد الدخول التي تم تحديد نطاقها إليه في OPA. قبل تطبيق هذا النهج، تأكد من أن موارد الدخول المتزامنة لن تجهد سعة الذاكرة. على الرغم من أن المعلمات تقيم مساحات أسماء معينة، فإن جميع الموارد من هذا النوع عبر مساحات الأسماء ستتم مزامنتها. ملاحظة: قيد المعاينة حاليا لخدمة Kubernetes (AKS). | التدقيق، الرفض، التعطيل | 1.1.1 معاينة |
| [معاينة]: يجب أن تقيد مجموعات Kubernetes إنشاء نوع مورد معين | يتعين عدم توزيع نوع مورد Kubernetes المحدد في مساحة اسم معينة. | التدقيق، الرفض، التعطيل | 2.2.0-معاينة |
| [معاينة]: يجب أن يكون لديك مجموعة قواعد عدم الترابط | يضمن هذا النهج جدولة الحجيرات على عقد مختلفة داخل نظام المجموعة. من خلال فرض قواعد عدم الترابط، يتم الحفاظ على التوفر حتى إذا أصبحت إحدى العقد غير متوفرة. ستستمر Pods في العمل على العقد الأخرى، ما يعزز المرونة. | التدقيق، الرفض، التعطيل | 1.1.1 معاينة |
| [معاينة]: لا توجد تسميات محددة ل AKS | يمنع العملاء من تطبيق تسميات محددة ل AKS. تستخدم AKS تسميات مسبوقة kubernetes.azure.com بالإشارة إلى المكونات المملوكة ل AKS. يجب ألا يستخدم العميل هذه التسميات. |
التدقيق، الرفض، التعطيل | 1.1.1 معاينة |
| [معاينة]: تصبغات تجمع النظام المحجوزة | يقيد صبغة CriticalAddonsOnly إلى تجمع النظام فقط. تستخدم AKS تلوث CriticalAddonsOnly للحفاظ على جرابات العملاء بعيدا عن تجمع النظام. يضمن فصلا واضحا بين مكونات AKS وقرون العملاء، بالإضافة إلى منع إخلاء جرابات العملاء إذا لم تتسامح مع تلوث CriticalAddonsOnly. | التدقيق، الرفض، التعطيل | 1.1.1 معاينة |
| [معاينة]: يقيد صبغة CriticalAddonsOnly إلى تجمع النظام فقط. | لتجنب إخلاء تطبيقات المستخدم من تجمعات المستخدمين والحفاظ على فصل المخاوف بين تجمعات المستخدم والنظام، يجب عدم تطبيق تلوث "CriticalAddonsOnly" على تجمعات المستخدمين. | متغير، معطل | 1.1.0-preview |
| [معاينة]: تعيين حدود وحدة المعالجة المركزية لحاويات نظام مجموعة Kubernetes على القيم الافتراضية في حالة عدم وجود حدود أو تجاوزها. | تعيين حدود وحدة المعالجة المركزية للحاوية لمنع هجمات استنفاد الموارد في مجموعة Kubernetes. | متغير، معطل | 1.1.0-preview |
| [معاينة]: تعيين حدود ذاكرة حاويات نظام مجموعة Kubernetes على القيم الافتراضية في حالة عدم وجود حدود أو تجاوزها. | تعيين حدود ذاكرة الحاوية لمنع هجمات استنفاد الموارد في مجموعة Kubernetes. | متغير، معطل | 1.1.0-preview |
| [معاينة]: تعيين maxUnavailable pods إلى 1 لموارد PodDisruptionBudget | يضمن تعيين الحد الأقصى لقيمة الجراب غير المتوفرة إلى 1 توفر التطبيق أو الخدمة أثناء حدوث انقطاع | متغير، معطل | 1.1.0-preview |
| [معاينة]: تعيين readOnlyRootFileSystem في مواصفات Pod في حاويات init إلى true إذا لم يتم تعيينه. | يؤدي تعيين readOnlyRootFileSystem إلى true إلى زيادة الأمان عن طريق منع الحاويات من الكتابة في نظام ملفات الجذر. يعمل هذا فقط لحاويات Linux. | متغير، معطل | 1.1.0-preview |
| [معاينة]: تعيين readOnlyRootFileSystem في مواصفات Pod إلى true إذا لم يتم تعيينه. | يؤدي تعيين readOnlyRootFileSystem إلى true إلى زيادة الأمان عن طريق منع الحاويات من الكتابة في نظام ملفات الجذر | متغير، معطل | 1.1.0-preview |
| يجب أن يكون لدى مجموعات Kubernetes الممكنة في Azure Arc ملحق نهج Azure مثبت | يوفر ملحق Azure Policy لـAzure Arc عمليات إنفاذ وضمانات على نطاق واسع على نظام مجموعات Kubernetes الممكنة في Arc بطريقة مركزية ومتسقة. تعرّف على المزيد من خلال https://aka.ms/akspolicydoc. | AuditIfNotExists، معطل | 1.1.0 |
| نظام مجموعات Kubernetes المُمكَّنة من قبل Azure Arc يتعين أن يكون مُثبَّت بها ملحق Azure Defender | يوفر ملحق شبكة الخدمة المفتوح كافة إمكانات شبكة الخدمة القياسية للأمان وإدارة نسبة استخدام الشبكة وإمكانية مراقبة خدمات التطبيق. تعرَّف على المزيد من هناhttps://aka.ms/arc-osm-doc: | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يكون لدى مجموعات Kubernetes التي تدعم Azure Arc ملحق Strimzi Kafka مثبتا | يوفر ملحق Strimzi Kafka المشغلين لتثبيت Kafka لبناء مسارات البيانات في الوقت الحقيقي وتطبيقات الدفق مع قدرات الأمان والمراقبة. تعرف على المزيد هنا: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تمكن مجموعات Azure Kubernetes واجهة تخزين الحاويات (CSI) | واجهة تخزين الحاويات (CSI) هي معيار لكشف أنظمة تخزين الملفات والكتلة العشوائية لأحمال العمل الحاوية على خدمة Azure Kubernetes. لمعرفة المزيد، https://aka.ms/aks-csi-driver | المراجعة، معطلة | 1.0.0 |
| يجب أن تمكن مجموعات Azure Kubernetes خدمة إدارة المفاتيح (KMS) | استخدم خدمة إدارة المفاتيح (KMS) لتشفير البيانات السرية الثابتة في etcd لأمان مجموعة Kubernetes. تعرف على المزيد من خلال: https://aka.ms/aks/kmsetcdencryption. | المراجعة، معطلة | 1.0.0 |
| يتعين أن تستخدم نظام مجموعات Azure Kubernetes Azure CNI | Azure CNI هو شرط أساس لبعض ميزات خدمة Azure Kubernetes، بما في ذلك النهج الخاص بشبكة Azure وتجمعات عقد Windows والعقد الظاهرية الإضافية. تعرّف على المزيد من خلال: https://aka.ms/aks-azure-cni | المراجعة، معطلة | 1.0.1 |
| يتعين أن تقوم نظام مجموعات خدمة Azure Kubernetes بتعطيل أمر الاستدعاء | يمكن أن يؤدي تعطيل ميزة استدعاء الأمر إلى تحسين الأمان عن طريق تجنب تجاوز الوصول المقيد إلى الشبكة أو التحكم في الوصول المستند إلى الدور في Kubernetes | المراجعة، معطلة | 1.0.1 |
| يجب أن تمكن مجموعات خدمة Azure Kubernetes الترقية التلقائية لنظام المجموعة | يمكن أن تضمن الترقية التلقائية لنظام مجموعة AKS تحديث مجموعاتك ولا تفوت أحدث الميزات أو التصحيحات من AKS وKubernetes المصدر. تعرف على المزيد من خلال: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | المراجعة، معطلة | 1.0.0 |
| يجب أن تمكن مجموعات خدمة Azure Kubernetes من منظف الصور | يقوم "منظف الصور" بتعريف الصور وإزالتها بشكل تلقائي ضعيف وغير مستخدم، مما يخفف من مخاطر الصور القديمة ويقلل من الوقت اللازم لتنظيفها. تعرف على المزيد من خلال: https://aka.ms/aks/image-cleaner. | المراجعة، معطلة | 1.0.0 |
| يجب أن تمكن مجموعات خدمة Azure Kubernetes تكامل معرف Microsoft Entra | يمكن لتكامل معرف Microsoft Entra المدار بواسطة AKS إدارة الوصول إلى المجموعات عن طريق تكوين التحكم في الوصول المستند إلى دور Kubernetes (Kubernetes RBAC) استنادا إلى هوية المستخدم أو عضوية مجموعة الدليل. تعرف على المزيد من خلال: https://aka.ms/aks-managed-aad. | المراجعة، معطلة | 1.0.2 |
| يجب أن تمكن مجموعات خدمة Azure Kubernetes الترقية التلقائية لنظام تشغيل العقدة | تتحكم الترقية التلقائية لنظام التشغيل لعقدة AKS في تحديثات أمان نظام التشغيل على مستوى العقدة. تعرف على المزيد من خلال: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | المراجعة، معطلة | 1.0.0 |
| يجب أن تمكن مجموعات خدمة Azure Kubernetes هوية حمل العمل | تسمح هوية حمل العمل بتعيين هوية فريدة لكل جراب Kubernetes وربطها بالموارد المحمية في Azure AD مثل Azure Key Vault، ما يتيح الوصول الآمن إلى هذه الموارد من داخل Pod. تعرف على المزيد من خلال: https://aka.ms/aks/wi. | المراجعة، معطلة | 1.0.0 |
| يجب أن يتم تمكين ملف تعريف Azure Defender لمجموعات خدمة Azure Kubernetes | يوفر Microsoft Defender for Containers إمكانات أمان Kubernetes الأصلية في السحابة بما في ذلك تعزيز البيئة وحماية أحمال العمل وحماية وقت التشغيل. عند تمكين SecurityProfile.AzureDefender على مجموعة خدمة Azure Kubernetes، يتم نشر وكيل في المجموعة الخاصة بك لجمع بيانات أحداث الأمان. تعرف على المزيد حول Microsoft Defender for Containers في https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | المراجعة، معطلة | 2.0.1 |
| يجب أن يتم تعطيل طرق المصادقة المحلية في مجموعات خدمة Azure Kubernetes | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان عن طريق ضمان أن تتطلب مجموعات خدمة Azure Kubernetes الحصرية هويات Azure Active Directory للمصادقة. تعرف على المزيد من خلال: https://aka.ms/aks-disable-local-accounts. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يتعين أن تستخدم نظام مجموعات خدمة Azure Kubernetes الهويات المدارة | استخدم الهويات المدارة للالتفاف حول الكيانات الخاصة بالخدمة، وتبسيط إدارة نظام المجموعة وتجنب التعقيد المطلوب لكيانات الخدمة المدارة. تعرّف على المزيد من خلال: https://aka.ms/aks-update-managed-identities | المراجعة، معطلة | 1.0.1 |
| يجب تمكين المجموعات الخاصة لخدمة Azure Kubernetes | قم بتمكين ميزة المجموعة الخاصة لمجموعة خدمة Azure Kubernetes لضمان بقاء حركة مرور الشبكة بين خادم واجهة برمجة التطبيقات وتجمعات العقد الخاصة بك على الشبكة الخاصة فقط. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات | تمتد الوظيفة الإضافية لسياسة Azure Policy لخدمة Kubernetes (AKS) إلى Gatekeeper v3، webhook وحدة تحكم القبول لعامل Open Policy Agent(OPA)، لتطبيق إنفاذ على نطاق واسع وضمانات على المجموعات بطريقة مركزية ومتسقة. | المراجعة، معطلة | 1.0.2 |
| يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل | تشفير نظام التشغيل وأقراص البيانات باستخدام مفاتيح يديرها العملاء يوفر المزيد من التحكم والمرونة في إدارة المفاتيح. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
| تكوين مجموعات Kubernetes الممكنة في Azure Arc لتثبيت ملحق نهج Azure | يوفر ملحق Azure Policy لـAzure Arc عمليات إنفاذ وضمانات على نطاق كبير على نظام مجموعات Kubernetes الممكنة في Arc بطريقة مركزية ومتسقة. تعرّف على المزيد من خلال https://aka.ms/akspolicydoc. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين نظام مجموعات خدمة Azure Kubernetes لتمكين ملف تعريف Defender | يوفر Microsoft Defender for Containers إمكانات أمان Kubernetes الأصلية في السحابة بما في ذلك تعزيز البيئة وحماية أحمال العمل وحماية وقت التشغيل. عند تمكين SecurityProfile.Defender على نظام مجموعة خدمة Azure Kubernetes، يتم نشر عامل إلى نظام المجموعة الخاص بك لجمع بيانات حدث الأمان. تعرّف على المزيد عن Microsoft Defender لـ Cosmos DB: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists، معطل | 4.1.0 |
| تكوين تثبيت ملحق Flux على مجموعة Kubernetes | تثبيت ملحق Flux على مجموعة Kubernetes لتمكين نشر "fluxconfigurations" في نظام المجموعة | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات Kubernetes مع تكوين Flux v2 باستخدام مصدر المستودع والبيانات السرية في KeyVault | انشر "fluxConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من المستودع المحدد. يتطلب هذا التعريف مستودع SecretKey مخزنًا في Key Vault. للحصول على إرشادات، قم بزيارة https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات Kubernetes مع تكوين Flux v2 باستخدام مستودع Git وشهادة HTTPS CA | انشر "fluxConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من مستودع Git المحدد. يتطلب هذا التعريف شهادة HTTPS CA. للحصول على إرشادات، قم بزيارة https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين مجموعات Kubernetes مع تكوين Flux v2 باستخدام مستودع Git والبيانات السرية لـ HTTPS | انشر "fluxConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من مستودع Git المحدد. يتطلب هذا التعريف بيانات سرية مفتاح HTTPS مخزنًا في Key Vault. للحصول على إرشادات، قم بزيارة https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات Kubernetes مع تكوين Flux v2 باستخدام مستودع Git وبيانات سرية محلية | انشر "fluxConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من مستودع Git المحدد. يتطلب هذا التعريف بيانات سرية المصادقة المحلية المخزنة في مجموعة Kubernetes. للحصول على إرشادات، قم بزيارة https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات Kubernetes مع تكوين Flux v2 باستخدام مستودع Git وبيانات سرية SSH | انشر "fluxConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من مستودع Git المحدد. يتطلب هذا التعريف البيانات السرية لمفتاح خاص لـ SSH في Key Vault. للحصول على إرشادات، قم بزيارة https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات Kubernetes مع تكوين Flux v2 باستخدام مستودع Git العام | انشر "fluxConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من مستودع Git المحدد. هذا التعريف لا يتطلب معلومات سرية. للحصول على إرشادات، قم بزيارة https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات Kubernetes مع مصدر مستودع Flux v2 محدد باستخدام البيانات السرية المحلية | انشر "fluxConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من المستودع المحدد. يتطلب هذا التعريف بيانات سرية المصادقة المحلية المخزنة في مجموعة Kubernetes. للحصول على إرشادات، قم بزيارة https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات Kubernetes مع تهيئة GitOps المحددة باستخدام المعلومات السرية لـ HTTPS | انشر "sourceControlConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من git repo المحدد. يتطلب هذا التعريف مستخدم HTTPS والمعلومات السرية للمفتاح المخزنة في Key Vault. للحصول على إرشادات، قم بزيارة https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| تكوين مجموعات Kubernetes مع تهيئة GitOps المحددة بدون استخدام معلومات سرية | انشر "sourceControlConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من git repo المحدد. هذا التعريف لا يتطلب معلومات سرية. للحصول على إرشادات، قم بزيارة https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| تكوين مجموعات Kubernetes مع تهيئة GitOps المحددة باستخدام معلومات سرية لـ SSH | انشر "sourceControlConfiguration" إلى مجموعات Kubernetes للتأكد من أن المجموعات تحصل على مصدر تقصي الحقائق الخاص بها لأحمال العمل والتكوينات من git repo المحدد. يتطلب هذا التعريف المعلومات السرية لمفتاح خاص لـ SSH في Key Vault. للحصول على إرشادات، قم بزيارة https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| تكوين Microsoft Entra ID المتكامل Azure Kubernetes Service Clusters مع الوصول إلى مجموعة مسؤول المطلوبة | تأكد من تحسين أمان نظام المجموعة من خلال التحكم مركزيا في وصول مسؤول istrator إلى مجموعات AKS المتكاملة لمعرف Microsoft Entra. | DeployIfNotExists، معطل | 2.1.0 |
| تكوين الترقية التلقائية لنظام تشغيل العقدة على نظام مجموعة Azure Kubernetes | استخدم الترقية التلقائية لنظام التشغيل Node للتحكم في تحديثات أمان نظام التشغيل على مستوى العقدة لمجموعات Azure Kubernetes Service (AKS). لمزيد من المعلومات، تفضل بزيارة https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists، معطل | 1.0.1 |
| النشر - تكوين إعدادات التشخيص لخدمة Azure Kubernetes لتسجيل مساحة عمل Analytics | ينشر إعدادات التشخيص لخدمة Azure Kubernetes لدفق سجلات الموارد إلى مساحة عمل Log Analytics. | DeployIfNotExists، معطل | 3.0.0 |
| نشر الوظيفة الإضافية لنهج Azure في مجموعات خدمة Azure Kubernetes | استخدم وظيفة Azure Policy الإضافية لإدارة حالة الامتثال لمجموعات Azure Kubernetes Service (AKS) وإعداد التقارير عنها. لمزيد من المعلومات، انظر https://aka.ms/akspolicydoc. | DeployIfNotExists، معطل | 4.1.0 |
| نشر منظف الصور على خدمة Azure Kubernetes | نشر Image Cleaner على مجموعات Azure Kubernetes. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/aks/image-cleaner | DeployIfNotExists، معطل | 1.0.4 |
| نشر الصيانة المخطط لها لجدولة الترقيات والتحكم فيها لنظام مجموعة Azure Kubernetes Service (AKS) | تسمح لك الصيانة المخطط لها بجدولة نوافذ الصيانة الأسبوعية لإجراء التحديثات وتقليل تأثير حمل العمل. بمجرد جدولتها، تحدث الترقيات فقط أثناء النافذة التي حددتها. تعرّف على المزيد من خلال: https://aka.ms/aks/planned-maintenance | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تعطيل استدعاء الأمر على نظام مجموعات خدمة Azure Kubernetes | يمكن أن يؤدي تعطيل استدعاء الأمر إلى تحسين الأمان بواسطة رفض استدعاء الوصول إلى الأمر إلى نظام المجموعة | DeployIfNotExists، معطل | 1.2.0 |
| تأكد من أن حاويات نظام مجموعة بها مجسات استعداد أو حيوية تم تكوينها | تفرض هذه السياسة أن جميع البودات بها تحقيقات جاهزية و/ أو حيوية تم تكوينها. يمكن أن تكون الأنواع الخاصة بالفحص أي من tcpSocket وhttpGet وexec. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. للحصول على إرشادات حول استخدام هذا النهج، تفضل بزيارة https://aka.ms/kubepolicydoc. | التدقيق، الرفض، التعطيل | 3.2.0 |
| يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة | فرض حاوية CPU وحدود موارد الذاكرة لمنع هجمات استنفاد الموارد في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.2.0 |
| يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة | قم بحظر حاويات الجراب من مشاركة مساحة اسم معرف عملية المضيف ومساحة اسم IPC المضيف في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.2 وCIS 5.2.3 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.0 |
| يجب ألا تستخدم حاويات مجموعة Kubernetes واجهات sysctl محظورة | يجب ألا تستخدم الحاويات واجهات sysctl محظورة في مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.1 |
| يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب أن تستخدم الحاويات ملفات تعريف AppArmor المسموح بها فقط في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.1 |
| يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها | يجب تقييد القدرات لخفض سطح الهجوم من الحاويات في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.8 وCIS 5.2.9 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.0 |
| يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط | استخدم الصور من السجلات الموثوق بها لتقليل خطر تعرض مجموعة Kubernetes للثغرات الأمنية غير المعروفة ومشكلات الأمان والصور الضارة. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.2.0 |
| يجب أن تستخدم حاويات مجموعة Kubernetes فقط ProcMountType المسموح بها | يمكن للحاويات الجرابية فقط استخدام ProcMountTypes المسموح بها في مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.1.1 |
| يتعين أن تستخدم حاويات نظام المجموعة Kubernetes نهج السحب المسموح به فحسب | تقييد النهج الخاص بسحب الحاويات لفرض الحاويات لاستخدام الصور المسموح بها في عمليات التوزيع فحسب | التدقيق، الرفض، التعطيل | 3.1.0 |
| يجب أن تستخدم حاويات مجموعة Kubernetes ملفات تعريف seccomp المسموح بها فقط | يمكن للحاويات الجرابية فقط استخدام ملفات تعريف seccomp المسموح بها في مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.1 |
| يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط | تشغيل حاويات مع نظام ملفات جذر للقراءة فقط للحماية من التغييرات في وقت التشغيل مع الثنائيات الضارة التي يتم إضافتها إلى PATH في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب أن تستخدم وحدات التخزين FlexVolume الجرابية الخاصة بمجموعة Kubernetes برامج التشغيل المسموح بها فقط | يجب أن تستخدم وحدات تخزين FlexVolumeالجرابية برامج التشغيل المسموح بها فقط في مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.1 |
| يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط | تحميل حجم جراب HostPath الحد إلى مسارات المضيف المسموح به في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS) وKubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.1 |
| يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة | التحكم في المستخدم، المجموعة الأساسية، المجموعة التكميلية ومعرفات مجموعة نظام الملفات التي يمكن استخدامها pods وحاويات لتشغيل في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.1 |
| يجب أن تستخدم جرابات وحاويات مجموعات Kubernetes خيارات SELinux المسموح بها فقط | يجب أن تستخدم الجرابات والحاويات خيارات SELinux المسموح بها فقط في مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.1 |
| يجب أن تستخدم جرابات مجموعات Kubernetes أنواع وحدات التخزين المسموح بها فقط | لا يمكن للجرابات سوى استخدام أنواع وحدات التخزين المسموح بها في مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.1 |
| يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط | تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.4 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.0 |
| يجب أن تستخدم جرابات مجموعات Kubernetes تسميات محددة | استخدم التسميات المحددة لتحديد الجرابات في مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.0 |
| يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب تقييد الخدمات للاستماع فقط على المنافذ المسموح بها لتأمين الوصول إلى مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.1.0 |
| يجب أن تستخدم خدمات مجموعة Kubernetes عناوين IP الخارجية المسموح بها فقط | استخدم عناوين IP الخارجية المسموح بها لتجنب الهجوم المحتمل (CVE-2020-8554) في مجموعة Kubernetes. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.0 |
| يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة | لا تسمح بإنشاء حاويات مميزة في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.1 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.1.0 |
| يتعين ألا تستخدم نظام مجموعة Kubernetes البودات المجردة | حظر استخدام البودات المجردة. لن تتم إعادة جدولة البودات المجردة في حالة تعطل العقدة. يتعين إدارة البودات بواسطة التوزيع أو Replicset أو Daemonset أو المهام | التدقيق، الرفض، التعطيل | 2.1.0 |
| يتعين ألا تتجاوز حاويات Windows لنظام مجموعة Kubernetes الالتزام الزائد لوحدة المعالجة المركزية والذاكرة | يتعين أن تكون طلبات موارد حاوية Windows أقل أو مساوية لحد الموارد أو غير محددة لتجنب الإفراط في الالتزام. في حالة كانت ذاكرة Windows مزودة بطريقة زائدة، فستعالج الصفحات في القرص - والتي يمكن أن تؤدي إلى إبطاء الأداء - بدلا من إنهاء الحاوية مع نفاد الذاكرة | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب ألا تعمل حاويات Windows لنظام مجموعة Kubernetes كحاوية مسؤول istrator | منع استخدام Container مسؤول istrator كمستخدم لتنفيذ عمليات الحاوية لحاويات أو حاويات Windows. تهدف هذه التوصية إلى تحسين أمان عقد Windows. لمزيد من المعلومات، راجع https://kubernetes.io/docs/concepts/windows/intro/ . | التدقيق، الرفض، التعطيل | 1.1.0 |
| يتعين تشغيل حاويات Windows لنظام مجموعة Kubernetes فحسب مع مستخدم معتمد ومجموعة مستخدم المجال | تحكم في المستخدم الذي يمكن أن تستخدمه بودات التخزين والحاويات التي تعمل بنظام التشغيل Windows للتشغيل في نظام مجموعة Kubernetes. هذه التوصية جزء من سياسات أمان Pod على عقد Windows والتي تعمل على تحسين أمان بيئات Kubernetes الخاصة بك. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS | يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. هذه الإمكانية متاحة حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة ل Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.1.0 |
| يجب أن تقوم مجموعات Kubernetes بتعطيل بيانات اعتماد API للتحميل التلقائي | يجب تعطيل تحميل بيانات اعتماد واجهة برمجة التطبيقات تلقائياً لمنع مورد Pod الذي يُحتمل تعرضه للخطر لتشغيل أوامر واجهة برمجة التطبيقات ضد مجموعات Kubernetes. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 4.1.0 |
| يجب أن تضمن مجموعات Kubernetes استخدام دور مسؤول نظام المجموعة فقط عند الحاجة | يوفر الدور 'cluster-admin' صلاحيات واسعة النطاق على البيئة ويجب استخدامه فقط حيث ومتى لزم الأمر. | المراجعة، معطلة | 1.0.0 |
| يجب أن تقلل مجموعات Kubernetes من استخدام حرف البدل في دور الدور والكتلة | يمكن أن يكون استخدام أحرف البدل '*' خطرا أمنيا لأنه يمنح أذونات واسعة قد لا تكون ضرورية لدور معين. إذا كان الدور يحتوي على أذونات كثيرة جدا، فمن المحتمل أن يتم إساءة استخدامه من قبل مهاجم أو مستخدم مخترق للحصول على وصول غير مصرح به إلى الموارد في نظام المجموعة. | المراجعة، معطلة | 1.0.0 |
| يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية | لا تسمح بتشغيل الحاويات مع التصعيد امتياز الجذر في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.5 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاص بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.0 |
| يجب أن لا تسمح مجموعات Kubernetes بأذونات تحرير نقطة النهاية لـ ClusterRole/system:التجميع إلى التحرير | ClusterRole/system: التجميع إلى التحرير ينبغي أن لا تسمح أذونات تحرير نقطة النهاية بسببCVE-2021-25740، Endpoint & EndpointSlice أذونات تسمح إعادة توجيه عبر مساحة الاسم، https://github.com/kubernetes/kubernetes/issues/103675. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | المراجعة، معطلة | 3.1.0 |
| المعاينة: يجب ألا تمنح مجموعات Kubernetes إمكانيات أمان CAP_SYS_ADMIN | لتقليل السطح المعرض للهجوم في الحاويات الخاصة بك، قم بتقييد قدرات CAP_SYS_ADMIN Linux. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.0 |
| يتعين ألا تستخدم نظام مجموعات Kubernetes إمكانيات أمان معينة | يجب منع إمكانات الأمان المحددة في مجموعات Kubernetes لمنع الامتيازات غير الممنوحة على مورد Pod. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.0 |
| يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية | يجب منع استخدام مساحة الاسم الافتراضية في مجموعات Kubernetes للحماية من الوصول غير المصرح به لأنواع موارد ConfigMap وPod وSecret وService وServiceAccount. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 4.1.0 |
| يجب أن تستخدم مجموعات Kubernetes برنامج تشغيل Container Storage Interface (CSI) StorageClass | واجهة تخزين الحاويات (CSI) هي معيار عرض كتلة عشوائية وأنظمة لتخزين ملفات أحمال العمل موضوعة بحاويات على Kubernetes. يجب إهمال StorageClass للتزويد داخل الشجرة منذ إصدار AKS 1.21. لمعرفة المزيد، https://aka.ms/aks-csi-driver | التدقيق، الرفض، التعطيل | 2.2.0 |
| يجب أن تستخدم مجموعات Kubernetes موازنات التحميل الداخلية | استخدم موازنات التحميل الداخلية لإتاحة خدمة Kubernetes فقط للتطبيقات التي تعمل في نفس الشبكة الافتراضية مثل مجموعة Kubernetes. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.1.0 |
| يتعين أن تحتوي موارد Kubernetes على تعليقات توضيحية مطلوبة | تأكد من إرفاق التعليقات التوضيحية المطلوبة على نوع مورد Kubernetes معين لعملية تحسين إدارة الموارد لموارد Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | التدقيق، الرفض، التعطيل | 3.1.0 |
| ينبغي تمكين سجلات الموارد في Azure Kubernetes Service | يمكن أن تساعد سجلات موارد Azure Kubernetes Service في إعادة إنشاء مسارات الأنشطة عند التحقيق في حوادث الأمان. تمكينه للتأكد من وجود السجلات عند الحاجة | AuditIfNotExists، معطل | 1.0.0 |
| يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف | لتحسين أمان البيانات، يجب تشفير البيانات المخزنة على مضيف الجهاز الظاهري (VM) لعقد خدمة Azure Kubernetes VMs في حالة السكون. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
Lab Services
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يتعين أن تمكن Lab Services كافة الخيارات لإيقاف التشغيل التلقائي | يوفر هذا النهج المساعدة في إدارة التكلفة من خلال فرض تمكين جميع خيارات إيقاف التشغيل التلقائي للمختبر. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يتعين ألا تسمح Lab Services بالأجهزة الظاهرية للقالب للمختبرات | يمنع هذا النهج إنشاء وتخصيص قالب الأجهزة الظاهرية للمختبرات المدارة من خلال الخدمات الخاصة بالمختبر. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يتعين أن تتطلب Lab Services مستخدما غير مسؤول للمختبرات | يتطلب هذا النهج إنشاء حسابات مستخدمين غير إدارية للمختبرات المدارة من خلال الخدمات الخاصة بالمختبر. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يتعين أن تقيد Lab Services أحجام SKU المسموح بها للجهاز الظاهري | يوفر لك هذا النهج من تقييد وحدات SKU معينة Compute VM للمختبرات المدارة من خلال Lab Services. سيؤدي ذلك إلى تقييد أحجام معينة خاصة بالجهاز الظاهري. | التدقيق، الرفض، التعطيل | 1.1.0 |
Lighthouse
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح لإدارة معرفات المستأجرين بالانضمام من خلال Azure Lighthouse | يؤدي تقييد تفويضات Azure Lighthouse إلى مستأجرين إداريين محددين إلى زيادة الأمان من خلال الحد من أولئك الذين يمكنهم إدارة موارد Azure الخاصة بك. | رفض | 1.0.1 |
| تدقيق تفويض النطاقات إلى مستأجر إداري | تدقيق تفويض النطاقات إلى مستأجر إداري عبر Azure Lighthouse. | المراجعة، معطلة | 1.0.0 |
Logic Apps
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تشفير بيئة خدمة تكامل تطبيقات المنطق باستخدام المفاتيح المدارة بواسطة العملاء | نشر في بيئة خدمة التكامل لإدارة تشفير البيانات الثابتة بيانات تطبيقات المنطق باستخدام مفاتيح يديرها العملاء. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب توزيع تطبيقات Logic في بيئة خدمة التكامل | يؤدي نشر تطبيقات Logic في بيئة خدمة التكامل في شبكة ظاهرية إلى فتح ميزات أمان وشبكات Logic Apps المتقدمة، ويوفر لك تحكمًا أكبر في تكوين الشبكة. تعرف على المزيد من خلال: https://aka.ms/integration-service-environment. يسمح النشر في بيئة خدمة التكامل أيضًا بالتشفير باستخدام المفاتيح التي يديرها العميل، والتي توفر حماية محسّنة للبيانات من خلال السماح لك بإدارة مفاتيح التشفير الخاصة بك. هذا غالبًا لتلبية متطلبات الامتثال. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين سجلات الموارد في Logic Apps | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.1.0 |
التعلّم الآلي
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يتم تقييد عمليات نشر Azure التعلم الآلي Model Registry باستثناء السجل المسموح به | نشر نماذج التسجيل فقط في السجل المسموح به والتي ليست مقيدة. | رفض، مُعطل | 1.0.0-المعاينة |
| يجب أن يكون لمثيل حساب التعلم الآلي من Microsoft Azure إيقاف تشغيل تعطل. | يؤدي وجود جدول إيقاف تشغيل تعطل إلى تقليل التكلفة عن طريق إيقاف تشغيل الحسابات الخاملة بعد فترة نشاط محددة مسبقًا. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب إعادة إنشاء مثيلات حساب Azure التعلم الآلي للحصول على آخر تحديثات البرامج | تأكد من تشغيل مثيلات حساب Azure التعلم الآلي على أحدث نظام تشغيل متوفر. يتم تحسين الأمان وتقليل الثغرات الأمنية عن طريق التشغيل باستخدام أحدث تصحيحات الأمان. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| يجب أن تكون حسابات Azure التعلم الآلي في شبكة ظاهرية | توفر شبكات Azure الظاهرية أمانا وعزلا محسنين ل Azure التعلم الآلي حوسبة المجموعات والمثيلات، بالإضافة إلى الشبكات الفرعية ونهج التحكم في الوصول والميزات الأخرى لتقييد الوصول بشكل أكبر. عند تكوين حساب مع شبكة ظاهرية، فإنه لا يمكن معالجته بشكل عام ولا يمكن الوصول إليه إلا من الأجهزة والتطبيقات الظاهرية داخل الشبكة الظاهرية. | المراجعة، معطلة | 1.0.1 |
| يجب أن يكون لدى حسابات Azure التعلم الآلي أساليب مصادقة محلية معطلة | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من أن التعلم الآلي الحسابات تتطلب هويات Azure Active Directory حصريا للمصادقة. تعرف على المزيد من خلال: https://aka.ms/azure-ml-aad-policy. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب تشفير مساحات العمل الخاصة بـ Azure Machine Learning باستخدام مفتاح مُدار من قِبل العميل | إدارة تشفير البيانات الثابتة بيانات مساحة عمل Azure التعلم الآلي باستخدام مفاتيح مدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/azureml-workspaces-cmk. | التدقيق، الرفض، التعطيل | 1.0.3 |
| يجب أن تعطل مساحات عمل Azure التعلم الآلي الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم كشف مساحات عمل التعلم الآلي على الإنترنت العام. يمكنك التحكم في تعرض مساحات العمل الخاصة بك عن طريق إنشاء نقاط نهاية خاصة بدلا من ذلك. تعرف على المزيد في: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&؛ tabs=azure-portal. | التدقيق، الرفض، التعطيل | 2.0.1 |
| مساحات عمل Azure Machine Learning يجب أن تمكن V1LegacyMode لدعم توافق مع الإصدارات السابقة لعزل الشبكة | يقوم Azure ML بالانتقال إلى نظام أساسي جديد لواجهة برمجة تطبيقات V2 على Azure Resource Manager ويمكنك التحكم في إصدار النظام الأساسي لواجهة برمجة التطبيقات باستخدام معلمة V1LegacyMode. سيمكنك تمكين المعلمة V1LegacyMode من الاحتفاظ بمساحات العمل الخاصة بك في عزل الشبكة نفسه مثل V1، على الرغم من أنك لن تستخدم ميزات V2 الجديدة. نوصي بتشغيل V1 Legacy Mode فقط عندما تريد الاحتفاظ ببيانات وحدة تحكم AzureML داخل الشبكات الخاصة بك. تعرف على المزيد من خلال: https://aka.ms/V1LegacyMode. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات عمل التعلم الآلي في Azure هوية مُدارة يعينها المستخدم | إدارة الوصول إلى مساحة عمل التعلم الآلي من Azure والموارد المرتبطة بها، وAzure Container Registry، وKeyVault، وStorage، وApp Insights باستخدام الهوية المُدارة المعينة من قبل المستخدم. افتراضياً، يتم استخدام الهوية المدارة المعينة من قبل النظام من قبل مساحة عمل التعلم الآلي من Azure للوصول إلى الموارد المقترنة. تتيح لك الهوية المدارة المعينة من قبل المستخدم إنشاء الهوية كمورد Azure والحفاظ على دورة حياة تلك الهوية. تعرّف على المزيد من خلال https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | التدقيق، الرفض، التعطيل | 1.0.0 |
| تكوين حسابات Azure التعلم الآلي لتعطيل أساليب المصادقة المحلية | تعطيل أساليب مصادقة الموقع بحيث تتطلب حسابات التعلم الآلي هويات Azure Active Directory حصريا للمصادقة. تعرف على المزيد من خلال: https://aka.ms/azure-ml-aad-policy. | تعديل، تعطيل | 2.1.0 |
| تكوين مساحة عمل التعلم الآلي من Azure لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة DNS خاصة بشبكة الاتصال الظاهرية لحلها بمساحات عمل التعلم الآلي من Azure. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين مساحات عمل Azure التعلم الآلي لتعطيل الوصول إلى الشبكة العامة | تعطيل الوصول إلى الشبكة العامة لمساحات عمل Azure التعلم الآلي بحيث لا يمكن الوصول إلى مساحات العمل عبر الإنترنت العام. يساعد هذا في حماية مساحات العمل من مخاطر تسرب البيانات. يمكنك التحكم في تعرض مساحات العمل الخاصة بك عن طريق إنشاء نقاط نهاية خاصة بدلا من ذلك. تعرف على المزيد في: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&؛ tabs=azure-portal. | تعديل، تعطيل | 1.0.3 |
| تكوين مساحات عمل التعلم الآلي من Azure مع نقاط نهاية خاصة | تقوم نقاط النهاية الخاصة بتوصيل الشبكة الظاهرية بخدمات Azure بدون العنوان العام لـ IP في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة إلى مساحة عمل التعلم الآلي من Azure، يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين إعدادات التشخيص ل Azure التعلم الآلي Workspaces إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص ل Azure التعلم الآلي Workspaces لدفق سجلات الموارد إلى مساحة عمل Log Analytics عند إنشاء أو تحديث أي مساحة عمل Azure التعلم الآلي تفتقد لإعدادات التشخيص هذه. | DeployIfNotExists، معطل | 1.0.1 |
| يجب تمكين سجلات الموارد في Azure التعلم الآلي Workspaces | تمكن سجلات الموارد من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحقيق عند حدوث حادث أمان أو عند اختراق الشبكة. | AuditIfNotExists، معطل | 1.0.1 |
التطبيق المدار
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يستخدم تعريف التطبيق للتطبيق المُدار حساب التخزين المقدم من العميل | استخدم حساب التخزين الخاص بك للتحكم في بيانات تعريف التطبيق عندما يكون ذلك مطلبًا تنظيميًا أو للتوافق. يمكنك اختيار تخزين تعريف التطبيق المُدار داخل حساب التخزين الذي وفرته أثناء الإنشاء، بحيث يمكن إدارة موقعه والوصول إليه بالكامل بواسطتك للوفاء بمتطلبات التوافق التنظيمي. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| توزيع الاقترانات لتطبيق مُدار | توزيع مورد اقتران يربط أنواع الموارد المحددة بالتطبيق المُدار المحدد. لا يدعم توزيع النهج أنواع الموارد المتداخلة. | deployIfNotExists | 1.0.0 |
Managed Grafana
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم Azure Managed Grafana رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى Grafana المدارة، يمكنك تقليل مخاطر تسرب البيانات. | المراجعة، معطلة | 1.0.0 |
| يجب أن تعطل مساحات عمل Azure Managed Grafana الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال التأكد من عدم كشف مساحة عمل Azure Managed Grafana على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من التعرض لمساحات العمل الخاصة بك. | التدقيق، الرفض، التعطيل | 1.0.0 |
| تكوين لوحات معلومات Azure Managed Grafana مع نقاط النهاية الخاصة | تعمل نقاط النهاية الخاصة على توصيل شبكاتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة إلى Azure Managed Grafana، يمكنك تقليل مخاطر تسرب البيانات. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مساحات عمل Azure Managed Grafana لتعطيل الوصول إلى الشبكة العامة | تعطيل الوصول إلى الشبكة العامة لمساحة عمل Azure Managed Grafana بحيث لا يمكن الوصول إليها عبر الإنترنت العام. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. | تعديل، تعطيل | 1.0.0 |
| تكوين مساحات عمل Azure Managed Grafana لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة DNS خاصة بشبكتك الظاهرية لحلها بمساحات عمل Azure Managed Grafana. | DeployIfNotExists، معطل | 1.0.0 |
الهوية المُدارة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب أن تكون بيانات الاعتماد الموحدة للهوية المدارة من Azure Kubernetes من مصادر موثوق بها | يحد هذا النهج من الاتحاد مع مجموعات Azure Kubernetes على أنظمة المجموعات فقط من المستأجرين المعتمدين والمناطق المعتمدة وقائمة استثناء محددة من المجموعات الإضافية. | تدقيق، تعطيل، رفض | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون بيانات الاعتماد الموحدة للهوية المدارة من GitHub من مالكي المستودعات الموثوق بهم | يحد هذا النهج من الاتحاد مع مستودع GitHub لمالكي المستودعات المعتمدين فقط. | تدقيق، تعطيل، رفض | 1.0.1 - المعاينة |
| [معاينة]: يجب أن تكون بيانات الاعتماد الموحدة للهوية المدارة من أنواع المصدر المسموح بها | يحد هذا النهج مما إذا كان يمكن للهويات المدارة استخدام بيانات الاعتماد الموحدة، والتي يتم السماح بأنواع المصدر الشائعة، وتوفر قائمة باستثناءات المصدر المسموح بها. | تدقيق، تعطيل، رفض | 1.0.0-المعاينة |
| [معاينة]: تعيين هوية مدارة معينة من قبل المستخدم إلى مجموعات مقياس الجهاز الظاهري | قم بإنشاء وتعيين هوية مُدارة مضمنة من قبل المستخدم أو قم بتعيين هوية مُدارة مُنشأة مسبقًا من قبل المستخدم على نطاق واسع لمجموعات مقياس الجهاز الافتراضي. لمزيد من الوثائق التفصيلية، تفضل بزيارة aka.ms/managedidentitypolicy. | AuditIfNotExists، DeployIfNotExists، مُعطل | 1.0.6-معاينة |
| [معاينة]: تعيين هوية مدارة مخصصة من قبل المستخدم للأجهزة الظاهرية | قم بإنشاء وتعيين هوية مُدارة مضمنة من قبل المستخدم أو قم بتعيين هوية مُدارة مُنشأة مسبقًا من قبل المستخدم على نطاق واسع للأجهزة الظاهرية. لمزيد من الوثائق التفصيلية، تفضل بزيارة aka.ms/managedidentitypolicy. | AuditIfNotExists، DeployIfNotExists، مُعطل | 1.0.6-معاينة |
الخرائط
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يتعين ألا تسمح CORS لكل مجال مورد بالوصول إلى تطبيق واجهة برمجة التطبيقات | يتعين ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لكافة المجالات بالوصول إلى تطبيق API الخاص بك. السماح للمجالات المطلوبة فحسب بالتفاعل مع حساب الخريطة الخاص بك. | معطل، وتدقيق، والرفض | 1.0.0 |
Media Services
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تعطل حسابات Azure Media Services الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض موارد Media Services على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من التعرض لموارد Media Services. تعرف على المزيد من خلال: https://aka.ms/mediaservicesprivatelinkdocs. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب لحسابات Azure Media Services أن تستخدم واجهة برمجة تطبيقات Azure التي تدعم رابطاً خاصاً | يجب إنشاء حسابات Media Services باستخدام واجهة برمجة التطبيقات التي تدعم رابطاً خاصاً. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب حظر حسابات Azure Media Services التي تسمح بالوصول إلى واجهة برمجة تطبيقات v2 القديمة | تسمح واجهة برمجة تطبيقات v2 القديمة لـ Media Services بالطلبات التي لا يمكن إدارتها باستخدام نهج Azure. موارد Media Services التي جرى إنشاؤها باستخدام 2020-05-01 API أو إصدار أحدث تحظر الوصول إلى v2 API القديمة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم نُهج مفاتيح المحتوى في Azure Media Services مصادقة الرمز المميز | تحدد نُهج مفاتيح المحتوى الشروط التي يجب تلبيتها للوصول إلى مفاتيح المحتوى. يضمن تقييد الرمز المميز إمكانية الوصول إلى مفاتيح المحتوى فقط من قبل المستخدمين الذين لديهم رموز مميزة صالحة من خدمة مصادقة، على سبيل المثال معرف Microsoft Entra. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تقصر وظائف Azure Media Services مع إدخالات HTTPS عناوين URI للإدخال على أنماط URI المسموح بها | تقييد إدخالات HTTPS المستخدمة بواسطة وظائف Media Services إلى نقاط النهاية المعروفة. يمكن تعطيل المدخلات من نقاط نهاية HTTPS تماماً عن طريق إعداد قائمة فارغة من أنماط إدخال الوظيفة المسموح بها. عندما تحدد مدخلات الوظيفة "baseUri"، سيجري مطابقة الأنماط مع هذه القيمة؛ وفي حالة عدم تعيين "baseUri"، تجري مطابقة النمط مع خاصية "files". | رفض، مُعطل | 1.0.1 |
| يتعين استخدام المثيلات المُدارة من SQL المفاتيح التي يديرها العملاء لترميز البيانات في وضع الثبات | استخدم المفاتيح التي يديرها العميل لإدارة الترميز في باقي حسابات خدمات الوسائط الخاصة بك. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/mediaservicescmkdocs. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم Azure Media Services رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لـ Media Services، يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists، معطل | 1.0.0 |
| تكوين Azure App Services لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة خاصة لنظام أسماء النطاقات "DNS" بشبكتك الظاهرية لتحليل حساب Media Services. تعرف على المزيد من خلال: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين خدمات Azure Media Services مع نقاط النهاية الخاصة | تعمل نقاط النهاية الخاصة على توصيل شبكاتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة لـ Media Services، يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists، معطل | 1.0.0 |
Migrate
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين موارد Azure Migrate لاستخدام المناطق الخاصة لنظام أسماء النطاقات "DNS" | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط المنطقة الخاصة لنظام أسماء النطاقات "DNS" بشبكتك الظاهرية لحل مشروع Azure Migrate خاصتك. تعرف على المزيد من خلال: https://aka.ms/privatednszone. | DeployIfNotExists، معطل | 1.0.0 |
شبكة الجوال
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين الوصول التشخيصي لحزمة التحكم الأساسية لاستخدام نوع المصادقة Microsoft EntraID | يجب أن يكون نوع Authenticaton هو Microsoft EntraID للوصول التشخيصي الأساسي للحزمة عبر واجهات برمجة التطبيقات المحلية | تعديل، تعطيل | 1.0.0 |
| يجب أن يستخدم الوصول التشخيصي لوحدة التحكم الأساسية للحزمة نوع مصادقة Microsoft EntraID فقط | يجب أن يكون نوع Authenticaton هو Microsoft EntraID للوصول التشخيصي الأساسي للحزمة عبر واجهات برمجة التطبيقات المحلية | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم مجموعة SIM المفاتيح التي يديرها العميل لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العميل لإدارة التشفير في بقية أسرار SIM في مجموعة SIM. عادة ما تكون المفاتيح التي يديرها العميل مطلوبة لتلبية معايير التوافق التنظيمي وتمكن البيانات من تشفيرها باستخدام مفتاح Azure Key Vault الذي أنشأته وامتلكته أنت. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | التدقيق، الرفض، التعطيل | 1.0.0 |
مراقبة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: تكوين أجهزة Linux الممكنة بواسطة Azure Arc مع وكلاء Log Analytics المتصلين بمساحة عمل Log Analytics الافتراضية | حماية أجهزة Linux التي تدعم Azure Arc باستخدام قدرات Microsoft Defender for Cloud، عن طريق تثبيت عوامل Log Analytics التي ترسل البيانات إلى مساحة عمل Log Analytics افتراضية تم إنشاؤها من قبل Microsoft Defender for Cloud. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين أجهزة Windows الممكنة بواسطة Azure Arc مع وكلاء Log Analytics المتصلين بمساحة عمل Log Analytics الافتراضية | حماية أجهزة Windows التي تدعم Azure Arc باستخدام قدرات Microsoft Defender for Cloud، عن طريق تثبيت عوامل Log Analytics التي ترسل البيانات إلى مساحة عمل Log Analytics افتراضية تم إنشاؤها من قبل Microsoft Defender for Cloud. | DeployIfNotExists، معطل | 1.1.0-preview |
| [معاينة]: تكوين الهوية المدارة المعينة من قبل النظام لتمكين تعيينات Azure Monitor على الأجهزة الظاهرية | تكوين هوية مدارة تم تعيينها من قِبل النظام إلى أجهزة ظاهرية مستضافة في Azure معتمدة بواسطة Azure Monitor ولا تملك هوية مدارة معينة من قِبل النظام. تعد الهوية المُدارة التي يعينها النظام شرطاً أساسياً لجميع تعيينات Azure Monitor ويجب إضافتها إلى الأجهزة قبل استخدام أي ملحقات لـ Azure Monitor. يجب أن تكون الأجهزة الظاهرية المستهدفة في موقع مدعوم. | تعديل، تعطيل | 6.0.0-المعاينة |
| [معاينة]: يجب تمكين "Log Analytics Extension" لصور الأجهزة الظاهرية المدرجة | يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يتم تثبيت الملحق. | AuditIfNotExists، معطل | 2.0.1-معاينة |
| [معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Linux Azure Arc الخاصة بك | يقوم هذا النهج بتدقيق أجهزة Linux Azure Arc إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 - المعاينة |
| [معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Windows Azure Arc الخاصة بك | يقوم هذا النهج بتدقيق أجهزة Windows Azure Arc إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 - المعاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب الاحتفاظ بسجل النشاط لمدة سنة واحدة على الأقل | يقوم هذا النهج بتدقيق سجل النشاط إذا لم يتم تعيين الاحتفاظ لمدة 365 يوماً أو إلى الأبد (تعيين أيام الاحتفاظ إلى "0"). | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة | يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يوجد تنبيه سجل النشاط لعمليات معينة تتعلق بالنهج | يقوم هذا النهج بتدقيق عمليات نهج معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن يكون ثمة تنبيه لسجل النشاط الخاص بعمليات أمان معينة | يقوم هذا النهج بتدقيق عمليات أمان معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تمنع مكونات Application Insights عرض السجلات والاستعلام عن السجلات من الشبكات العامة | ويمكنك تحسين أمان Application Insights عن طريق حظر عرض السجلات والاستعلام من الشبكات العامة. ولن تتمكن سوى الشبكات المتصلة ذات الارتباط الخاص من استيعاب سجلات هذا المكون والاستعلام عنها. تعرّف على المزيد من خلال https://aka.ms/AzMonPrivateLink#configure-application-insights. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب أن تحظر مكونات Application Insights العرض غير المستند إلى Azure Active Directory. | ويؤدي فرض عرض السجلات حتى تتطلب مصادقة Azure Active Directory إلى منع السجلات غير المصادق عليها من المهاجم التي قد يؤدي إلى حالة غير صحيحة وتنبيهات خاطئة وسجلات غير صحيحة مخزنة في النظام. | تعديل، تدقيق، مُعطل | 1.0.0 |
| يجب أن تستخدم مكونات Application Insights مع تمكين الارتباط الخاص، Bring Your Own Storage لمحلل ملفات التعريف ومصحح الأخطاء. | ولدعم الرابط الخاص وسياسات المفاتيح المُدارة بواسطة العملاء، أنشئ حساب تخزين خاصاً بك لمحلل ملفات التعريف ومصحح الأخطاء. تعرّف على المزيد في https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage | تعديل، تدقيق، مُعطل | 1.0.0 |
| تدقيق إعداد التشخيص للأنوع المحددة من الموارد | تدقيق إعداد التشخيص لأنواع الموارد المحددة. تأكد من تحديد أنواع الموارد التي تدعم إعدادات التشخيص فقط. | AuditIfNotExists | 2.0.1 |
| يجب تمكين سجلات الموارد في Azure Application Gateway | تمكين سجلات الموارد لبوابة تطبيق Azure (بالإضافة إلى WAF) والبث إلى مساحة عمل Log Analytics. احصل على رؤية مفصلة لحركة مرور الويب الواردة والإجراءات المتخذة للتخفيف من الهجمات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين سجلات الموارد في Azure Front Door | تمكين سجلات الموارد ل Azure Front Door (بالإضافة إلى WAF) والبث إلى مساحة عمل Log Analytics. احصل على رؤية مفصلة لحركة مرور الويب الواردة والإجراءات المتخذة للتخفيف من الهجمات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين سجلات الموارد في Azure Front Door Standard أو Premium (Plus WAF) | تمكين سجلات الموارد ل Azure Front Door Standard أو Premium (بالإضافة إلى WAF) والبث إلى مساحة عمل Log Analytics. احصل على رؤية مفصلة لحركة مرور الويب الواردة والإجراءات المتخذة للتخفيف من الهجمات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تنبيهات البحث في Azure Log عبر مساحات عمل تحليلات السجل المفاتيح المُدارة بواسطة العملاء | تأكد من أن تنبيهات البحث في Azure Log تقوم بتنفيذ المفاتيح المُدارة بواسطة العملاء، من خلال تخزين نص الاستعلام باستخدام حساب التخزين الذي قدمه العميل لمساحة عمل تحليلات السجل التي تم الاستعلام عنها. لمزيد من المعلومات، تفضل بزيارة https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | تدقيق، تعطيل، رفض | 1.0.0 |
| يجب أن يقوم ملف تعريف سجل Azure Monitor بتجميع سجلات للفئات "الكتابة" و"الحذف" و"الإجراء" | يضمن هذا النهج أن ملف تعريف السجل يجمع سجلات للفئات 'الكتابة' و'حذف' و'إجراء' | AuditIfNotExists، معطل | 1.0.0 |
| يجب إنشاء مجموعات سجلات مراقبة Azure مع تمكين البنية الأساسية التشفير (التشفير المزدوج) | لضمان تمكين تشفير البيانات الآمن على مستوى الخدمة ومستوى البنية الأساسية باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين، استخدم نظام مجموعة Azure Monitor المخصص. يتم تمكين هذا الخيار بشكل افتراضي عند دعمه في المنطقة، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب تشفير مجموعات مراقبة سجلات Azure بمفتاح مدار من قبل العملاء | قم بإنشاء مجموعة سجلات مراقبة Azure بتشفير المفاتيح المدارة من قبل العملاء. بشكل افتراضي، يتم تشفير بيانات السجل باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية التوافق التنظيمي. يمنحك المفتاح المدار من قبل العميل في Azure Monitor مزيدًا من التحكم في الوصول إلى البيانات، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب ربط سجلات Azure Monitor لـ Application Insights بمساحة عمل Log Analytics | قم بربط مكون Application Insights بمساحة عمل Log Analytics لتشفير السجلات. عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية الامتثال التنظيمي ولمزيد من التحكم في الوصول إلى البيانات في Azure Monitor. كما يضمن ربط المكون الخاص بك بمساحة عمل Log Analytics التي تم تمكينها بمفتاح يديره العميل أن تفي سجلات Application Insights الخاصة بك بمتطلبات الامتثال هذه، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يتعين أن يمنع نطاق الارتباط الخاص لـ Azure Monitor الوصول إلى موارد الارتباط غير الخاصة | يتيح لك Azure Private Link توصيل الشبكات الظاهرية بموارد Azure من خلال نقطة النهاية الخاصة إلى نطاق Azure Monitor Private Link (AMPLS). يتم تعيين أوضاع الوصول إلى الارتباط الخاص على AMPLS للتحكم في ما إذا كان يمكن لطلبات الاستيعاب والاستعلام من شبكاتك الوصول إلى كافة الموارد، أو موارد الارتباط الخاص فحسب (لمنع تسرب البيانات). تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يستخدم Azure Monitor Private Link Scope في Azure Monitor رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. ومن خلال تعيين نقاط النهاية الخاصة إلى Azure Monitor Private Links Scope، يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يجمع Azure Monitor سجلات الأنشطة من جميع المناطق | يقوم هذا النهج بتدقيق ملف تعريف سجل Azure Monitor الذي لا يقوم بتصدير الأنشطة من كل المناطق المعتمدة من Azure بما في ذلك المناطق العمومية. | AuditIfNotExists، معطل | 2.0.0 |
| يجب نشر حل "الأمان والتدقيق" الخاص بـ Azure Monitor | يضمن هذا النهج نشر الأمان والتدقيق. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تحتوي اشتراكات Azure على ملف تعريف سجل لسجل النشاط | يضمن هذا النهج ما إذا تم تمكين أحد ملفات تعريف السجلات لتصدير سجلات النشاط. ويقوم بتدقيق ما إذا لم يتم إنشاء ملف تعريف سجل لتصدير السجلات إما إلى حساب تخزين أو إلى مركز أحداث. | AuditIfNotExists، معطل | 1.0.0 |
| تكوين سجلات Azure Activity للبث إلى مساحة عمل Log Analytics المحددة | لنشر إعدادات التشخيص لـ Azure Activity لبث سجلات تدقيق الاشتراكات إلى مساحة عمل Log Analytics لمراقبة الأحداث على مستوى الاشتراك | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مكونات Azure Application Insights لتعطيل الوصول إلى الشبكة العامة لعرض السجلات والاستعلام | عطّل عرض سجل المكونات والاستعلام عنها من الوصول إلى الشبكات العامة لتحسين الأمان. ولن تتمكن سوى الشبكات المتصلة ذات الارتباط الخاص من استيعاب سجلات مساحة العمل هذه والاستعلام عنها. تعرّف على المزيد من خلال https://aka.ms/AzMonPrivateLink#configure-application-insights. | تعديل، تعطيل | 1.1.0 |
| تكوين مساحات عمل Azure Log Analytics لتعطيل الوصول إلى الشبكة العامة لعرض السجلات والاستعلام | ويمكنك تحسين أمان مساحة العمل عن طريق حظر عرض السجلات والاستعلام من الشبكات العامة. ولن تتمكن سوى الشبكات المتصلة ذات الارتباط الخاص من استيعاب سجلات مساحة العمل هذه والاستعلام عنها. تعرّف على المزيد من خلال https://aka.ms/AzMonPrivateLink#configure-log-analytics. | تعديل، تعطيل | 1.1.0 |
| عملية تكوين Azure Monitor Private Link Scope لمنع الوصول إلى موارد الارتباط غير الخاصة | يتيح لك Azure Private Link توصيل الشبكات الظاهرية بموارد Azure من خلال نقطة النهاية الخاصة إلى نطاق Azure Monitor Private Link (AMPLS). يتم تعيين أوضاع الوصول إلى الارتباط الخاص على AMPLS للتحكم في ما إذا كان يمكن لطلبات الاستيعاب والاستعلام من شبكاتك الوصول إلى كافة الموارد، أو موارد الارتباط الخاص فحسب (لمنع تسرب البيانات). تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | تعديل، تعطيل | 1.0.0 |
| تكوين Azure Monitor Private Link Scope لاستخدام المناطق الخاصة لنظام أسماء النطاقات "DNS" | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. إذ ترتبط منطقة نظام أسماء النطاقات الخاصة بالشبكة الظاهرية لديك لحلها بنطاق الرابط الخاص لـ Azure Monitor. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Azure Monitor Private Link Scope باستخدام نقاط نهاية خاصة | تعمل نقاط النهاية الخاصة على توصيل شبكاتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. ومن خلال تعيين نقاط النهاية الخاصة إلى Azure Monitor Private Link Scopes يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين عامل التبعية على خوادم Linux التي تم تمكين Azure Arc عليها | مكّن رؤى VM على الخوادم والأجهزة المتصلة بـ Azure من خلال خوادم Arc الممكّنة عن طريق تثبيت ملحق الجهاز الظاهري لعامل التبعية. إذ تستخدم رؤى VM وكيل التبعية لجمع مقاييس الشبكة والبيانات المكتشفة حول العمليات التي تعمل على الجهاز وتبعيات العمليات الخارجية. عرض المزيد - https://aka.ms/vminsightsdocs. | DeployIfNotExists، معطل | 2.0.0 |
| تكوين عامل التبعية على خوادم Linux الممكنة من Azure Arc باستخدام إعدادات عامل مراقبة Azure | مكّن رؤى VM على الخوادم والأجهزة المتصلة بـ Azure من خلال خوادم Arc الممكّنة عن طريق تثبيت ملحق الجهاز الظاهري لعامل التبعية مع إعدادات عميل مراقبة Azure. إذ تستخدم رؤى VM وكيل التبعية لجمع مقاييس الشبكة والبيانات المكتشفة حول العمليات التي تعمل على الجهاز وتبعيات العمليات الخارجية. عرض المزيد - https://aka.ms/vminsightsdocs. | DeployIfNotExists، معطل | 1.1.2 |
| تكوين عامل التبعية على خوادم Windows التي تم تمكين Azure Arc عليها | مكّن رؤى VM على الخوادم والأجهزة المتصلة بـ Azure من خلال خوادم Arc الممكّنة عن طريق تثبيت ملحق الجهاز الظاهري لعامل التبعية. إذ تستخدم رؤى VM وكيل التبعية لجمع مقاييس الشبكة والبيانات المكتشفة حول العمليات التي تعمل على الجهاز وتبعيات العمليات الخارجية. عرض المزيد - https://aka.ms/vminsightsdocs. | DeployIfNotExists، معطل | 2.0.0 |
| تكوين عامل التبعية على خوادم Windows الممكنة في Azure Arc باستخدام إعدادات عامل مراقبة Azure | مكّن رؤى VM على الخوادم والأجهزة المتصلة بـ Azure من خلال خوادم Arc الممكّنة عن طريق تثبيت ملحق الجهاز الظاهري لعامل التبعية مع إعدادات عميل مراقبة Azure. إذ تستخدم رؤى VM وكيل التبعية لجمع مقاييس الشبكة والبيانات المكتشفة حول العمليات التي تعمل على الجهاز وتبعيات العمليات الخارجية. عرض المزيد - https://aka.ms/vminsightsdocs. | DeployIfNotExists، معطل | 1.1.2 |
| تكوين أجهزة Linux Arc ليتم إقرانها بقاعدة تجميع البيانات أو نقطة نهاية تجميع البيانات | نشر الاقتران لربط أجهزة Linux Arc بقاعدة تجميع البيانات المحددة أو نقطة نهاية مجموعة البيانات المحددة. يتم تحديث القائمة الخاصة بالمواقع بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 2.2.0 |
| عملية تكوين أجهزة Linux Arc الظاهرية لتشغيل Azure Monitor Agent | أتمتة توزيع ملحق Azure Monitor Agent على أجهزة Linux Arc الظاهرية لجمع بيانات تتبع الاستخدام من نظام التشغيل الخاص بالضيف. سيقوم هذا النهج بتثبيت الملحق في حالة كانت المنطقة مدعومة. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 2.4.0 |
| تكوين أجهزة Linux ليتم إقرانها بقاعدة تجميع البيانات أو نقطة نهاية تجميع البيانات | انشر Association لربط أجهزة Linux الظاهرية ومجموعات مقياس الجهاز الظاهري وأجهزة Arc بقاعدة تجميع البيانات المحددة أو نقطة نهاية مجموعة البيانات المحددة. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 6.3.0 |
| تكوين مجموعات مقياس الجهاز الظاهري Linux ليتم إقرانها بقاعدة تجميع البيانات أو نقطة نهاية تجميع البيانات | انشر Association لربط مجموعات مقياس الجهاز الظاهري Linux بقاعدة تجميع البيانات المحددة أو نقطة نهاية مجموعة البيانات المحددة. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 4.2.0 |
| قم بتكوين مجموعات تغيير سعة الجهاز الظاهري لنظام Linux لتشغيل Azure Monitor Agent باستخدام مصادقة مستندة إلى هوية مُدارة يعينها النظام | أتمتة توزيع ملحق Azure Monitor Agent على مجموعات مقياس جهاز Linux الظاهري لجمع بيانات تتبع الاستخدام من نظام التشغيل الضيف. سيقوم هذا النهج بتثبيت الملحق في حال توفر دعم لنظام التشغيل والمنطقة وتمكين الهوية المُدارة المعينة من قِبل النظام، وتخطي التثبيت بطريقة أخرى. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 3.5.0 |
| تكوين مجموعات تغيير سعة الجهاز الظاهري Linux لتشغيل Azure Monitor Agent باستخدام مصادقة مستندة إلى هوية مُدارة يعينها المستخدم | أتمتة توزيع ملحق Azure Monitor Agent على مجموعات مقياس جهاز Linux الظاهري لجمع بيانات تتبع الاستخدام من نظام التشغيل الضيف. ستعمل هذه النهج على تثبيت الملحق وتكوينه لاستخدام هوية مُدارة محددة يعينها المستخدم إذا كان نظام التشغيل والمنطقة مدعومين، وتخطي التثبيت بخلاف ذلك. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 3.6.0 |
| تكوين أجهزة Linux الظاهرية ليتم إقرانها بقاعدة تجميع البيانات أو نقطة نهاية تجميع البيانات | نشر الاقتران لربط أجهزة Linux الظاهرية بقاعدة تجميع البيانات المحددة أو نقطة نهاية مجموعة البيانات المحددة. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 4.2.0 |
| تكوين أجهزة Linux الظاهرية لتشغيل Azure Monitor Agent باستخدام المصادقة المستندة إلى هوية مُدارة يعينها النظام | أتمتة توزيع ملحق Azure Monitor Agent على أجهزة Linux الظاهرية لجمع بيانات تتبع الاستخدام من نظام التشغيل الضيف. سيقوم هذا النهج بتثبيت الملحق في حال توفر دعم لنظام التشغيل والمنطقة وتمكين الهوية المُدارة المعينة من قِبل النظام، وتخطي التثبيت بطريقة أخرى. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 3.5.0 |
| تكوين أجهزة Linux الظاهرية لتشغيل Azure Monitor Agent باستخدام المصادقة المستندة إلى هوية مُدارة يعينها المستخدم | أتمتة توزيع ملحق Azure Monitor Agent على أجهزة Linux الظاهرية لجمع بيانات تتبع الاستخدام من نظام التشغيل الضيف. ستعمل هذه النهج على تثبيت الملحق وتكوينه لاستخدام هوية مُدارة محددة يعينها المستخدم إذا كان نظام التشغيل والمنطقة مدعومين، وتخطي التثبيت بخلاف ذلك. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 3.6.0 |
| تكوين ملحق Log Analytics على خوادم Linux التي تم تمكين Azure Arc عليها. مراجعة إشعار الإهمال أدناه | مكّن نتيجة تحليلات VM على الخوادم والأجهزة المتصلة بـ Azure من خلال خوادم Arc الممكّنة عن طريق تثبيت ملحق الجهاز الظاهري لملحق Log Analytics. إذ تستخدم رؤى VM عامل Log Analytics لجمع بيانات أداء نظام التشغيل الضيف، وتوفر رؤى حول أدائها. عرض المزيد - https://aka.ms/vminsightsdocs. إشعار الإهمال: عامل Log Analytics في مسار إهمال، ولن يتم دعمه بعد 31 أغسطس 2024. يجب الترحيل إلى البديل "عامل Azure Monitor" قبل ذلك التاريخ | DeployIfNotExists، معطل | 2.1.1 |
| عملية تكوين عامل Log Analytics على خوادم Windows التي تم تمكين Azure Arc عليها | مكّن نتيجة تحليلات VM على الخوادم والأجهزة المتصلة بـ Azure من خلال خوادم Arc الممكّنة عن طريق تثبيت ملحق الجهاز الظاهري لملحق Log Analytics. إذ تستخدم رؤى VM عامل Log Analytics لجمع بيانات أداء نظام التشغيل الضيف، وتوفر رؤى حول أدائها. عرض المزيد - https://aka.ms/vminsightsdocs. إشعار الإهمال: عامل Log Analytics في مسار إهمال، ولن يتم دعمه بعد 31 أغسطس 2024. يجب الترحيل إلى البديل "عامل Azure Monitor" قبل ذلك التاريخ. | DeployIfNotExists، معطل | 2.1.1 |
| تكوين مساحة عمل Log Analytics وحساب الأتمتة لمركزية السجلات والمراقبة | انشر مجموعة موارد تحتوي على مساحة عمل Log Analytics وحساب الأتمتة المرتبط لمركزية السجلات والمراقبة. يُعد حساب الأتمتة شرطاً أساسياً لحلول مثل التحديثات وتتبع التغيير. | DeployIfNotExists، AuditIfNotExists، معطل | 2.0.0 |
| تكوين أجهزة Windows Arc ليتم إقرانها بقاعدة تجميع البيانات أو نقطة نهاية تجميع البيانات | انشر الاقتران لربط أجهزة Windows Arc بقاعدة تجميع البيانات المحددة أو نقطة نهاية مجموعة البيانات المحددة. يتم تحديث القائمة الخاصة بالمواقع بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 2.2.0 |
| عملية تكوين أجهزة Windows Arc الظاهرية لتشغيل Azure Monitor Agent | أتمتة توزيع ملحق Azure Monitor Agent على أجهزة Windows Arc الظاهرية لجمع بيانات تتبع الاستخدام من نظام التشغيل الخاص بالضيف. سيقوم هذا النهج بتثبيت الملحق في حال توفر دعم لنظام التشغيل والمنطقة وتمكين الهوية المُدارة المعينة من قِبل النظام، وتخطي التثبيت بطريقة أخرى. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 2.4.0 |
| تكوين أجهزة Windows ليتم إقرانها بقاعدة تجميع البيانات أو نقطة نهاية تجميع البيانات | انشر الاقتران لربط أجهزة Windows الظاهرية ومجموعات مقياس الجهاز الظاهري وأجهزة Arc بقاعدة تجميع البيانات المحددة أو نقطة نهاية مجموعة البيانات المحددة. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 4.5.0 |
| تكوين مجموعات مقياس الجهاز الظاهري ل Windows ليتم إقرانها بقاعدة تجميع البيانات أو نقطة نهاية تجميع البيانات | انشر الاقتران لربط مجموعات مقياس الجهاز الظاهري ل Windows بقاعدة تجميع البيانات المحددة أو نقطة نهاية مجموعة البيانات المحددة. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 3.3.0 |
| تكوين مجموعات تغيير سعة الجهاز الظاهري لنظام التشغيل Windows لتشغيل Azure Monitor Agent باستخدام هوية مُدارة يعينها النظام | أتمتة توزيع ملحق Azure Monitor Agent على مجموعات مقياس جهاز Windows الظاهري لجمع بيانات تتبع الاستخدام من نظام التشغيل الضيف. سيقوم هذا النهج بتثبيت الملحق في حال توفر دعم لنظام التشغيل والمنطقة وتمكين الهوية المُدارة المعينة من قِبل النظام، وتخطي التثبيت بطريقة أخرى. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 3.4.0 |
| تكوين مجموعات تغيير سعة الجهاز الظاهري لنظام التشغيل Windows لتشغيل Azure Monitor Agent باستخدام المصادقة المستندة إلى هوية مُدارة يعينها المستخدم | أتمتة توزيع ملحق Azure Monitor Agent على مجموعات مقياس جهاز Windows الظاهري لجمع بيانات تتبع الاستخدام من نظام التشغيل الضيف. ستعمل هذه النهج على تثبيت الملحق وتكوينه لاستخدام هوية مُدارة محددة يعينها المستخدم إذا كان نظام التشغيل والمنطقة مدعومين، وتخطي التثبيت بخلاف ذلك. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 1.4.0 |
| تكوين أجهزة Windows الظاهرية ليتم إقرانها بقاعدة تجميع البيانات أو نقطة نهاية تجميع البيانات | انشر الاقتران لربط أجهزة Windows الظاهرية بقاعدة تجميع البيانات المحددة أو نقطة نهاية مجموعة البيانات المحددة. يتم تحديث قائمة المواقع وصور نظام التشغيل بمرور الوقت مع زيادة الدعم. | DeployIfNotExists، معطل | 3.3.0 |
| تكوين أجهزة Windows الظاهرية لتشغيل Azure Monitor Agent باستخدام هوية مُدارة يعينها النظام | أتمتة توزيع ملحق Azure Monitor Agent على أجهزة Windows الظاهرية لجمع بيانات تتبع الاستخدام من نظام التشغيل الضيف. سيقوم هذا النهج بتثبيت الملحق في حال توفر دعم لنظام التشغيل والمنطقة وتمكين الهوية المُدارة المعينة من قِبل النظام، وتخطي التثبيت بطريقة أخرى. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 4.4.0 |
| تكوين أجهزة Windows الظاهرية لتشغيل Azure Monitor Agent باستخدام المصادقة المستندة إلى هوية مُدارة يعينها المستخدم | أتمتة توزيع ملحق Azure Monitor Agent على أجهزة Windows الظاهرية لجمع بيانات تتبع الاستخدام من نظام التشغيل الضيف. ستعمل هذه النهج على تثبيت الملحق وتكوينه لاستخدام هوية مُدارة محددة يعينها المستخدم إذا كان نظام التشغيل والمنطقة مدعومين، وتخطي التثبيت بخلاف ذلك. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 1.4.0 |
| يجب تمكين عامل التبعية لصور الأجهزة الظاهرية المُدرجة | يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري في القائمة المحددة ولم يتم تثبيت الوكيل. يتم تحديث قائمة صور نظام التشغيل بمرور الوقت مع تحديث الدعم. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين عامل التبعية في مجموعات مقياس الأجهزة الظاهرية لصور الأجهزة الظاهرية المُدرجة | يُبلغ عن تعيين مقياس الجهاز الظاهري على أنه غير متوافق إذا لم تكن صورة الجهاز الظاهري في القائمة المحددة ولم يتم تثبيت الوكيل. يتم تحديث قائمة صور نظام التشغيل بمرور الوقت مع تحديث الدعم. | AuditIfNotExists، معطل | 2.0.0 |
| نشر - تكوين عامل تبعية ليتم تمكينه على مجموعات نطاقات الأجهزة الظاهرية لـ Windows | انشر عامل التبعية لمجموعات نطاقات الأجهزة الظاهرية إذا لم تكن صورة الجهاز الظاهري في القائمة المعرفة ولم يُثبَّت العامل. إذا كان upgradePolicy لمجموعة النطاق الخاصة بك عُينت إلى "Manual"، فعندئذٍ تحتاج إلى تطبيق الملحق على كل الأجهزة الظاهرية في المجموعة عن طريق تحديثها. | DeployIfNotExists، معطل | 3.1.0 |
| نشر - تكوين عامل تبعية ليتم تمكينه على الأجهزة الظاهرية لـ Windows | انشر عامل التبعية للأجهزة الظاهرية إذا لم تكن صورة الجهاز الظاهري في القائمة المعرفة ولم يُثبَّت العامل. | DeployIfNotExists، معطل | 3.1.0 |
| نشر - تكوين إعدادات التشخيص إلى مساحة عمل Log Analytics ليتم تمكينها على Azure Key Vault Managed HSM | لنشر إعدادات التشخيص لـ Azure Key Vault Managed HSM للبث إلى مساحة عمل إقليمية لـ Log Analytics عند إنشاء أي Azure Key Vault Managed HSM أو تحديثه والذي يفتقر لإعدادات التشخيص هذه. | DeployIfNotExists، معطل | 1.0.0 |
| نشر - تكوين عامل Log Analytics ليتم تمكينه على مجموعات نطاقات الأجهزة الظاهرية لـ Windows | توزيع ملحق Log Analytics لمجموعات مقياس أجهزة Windows الظاهرية إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يُثبَّت الملحق. إذا كان upgradePolicy لمجموعة النطاق الخاصة بك عُينت إلى "Manual"، فعندئذٍ تحتاج إلى تطبيق الملحق على كل الجهاز الظاهري في المجموعة عن طريق تحديثه. إشعار الإهمال: عامل Log Analytics في مسار إهمال، ولن يتم دعمه بعد 31 أغسطس 2024. يجب الترحيل إلى البديل "عامل Azure Monitor" قبل ذلك التاريخ. | DeployIfNotExists، معطل | 3.1.0 |
| توزيع - تكوين ملحق Log Analytics ليتم تمكينه على أجهزة Windows الظاهرية | توزيع ملحق Log Analytics لأجهزة Windows الظاهرية إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يُثبَّت الملحق. إشعار الإهمال: عامل Log Analytics في مسار إهمال، ولن يتم دعمه بعد 31 أغسطس 2024. يجب الترحيل إلى البديل "عامل Azure Monitor" قبل ذلك التاريخ. | DeployIfNotExists، معطل | 3.1.0 |
| نشر عامل تبعية لمجموعات نطاقات أجهزة Linux الظاهرية | انشر عامل التبعية لمجموعات نطاقات أجهزة Linux الظاهرية إذا لم تكن صورة الجهاز الظاهري (نظام التشغيل) في القائمة المعرفة ولم يُثبَّت العامل. ملاحظة: إذا كان upgradePolicy لمجموعة المقياس الخاصة بك عُينت إلى "Manual"، تحتاج إلى تطبيق الملحق على جميع الأجهزة الظاهرية في المجموعة عن طريق استدعاء الترقية عليها. في CLI، سيكون ذلك az vmss update-instances. | deployIfNotExists | 5.0.0 |
| توزيع عامل التبعية لمجموعات تغيير حجم الجهاز الظاهري Linux مع إعدادات عامل مراقبة Azure | وزع عامل التبعية لمجموعات تغيير حجم الجهاز الظاهري Linux مع إعدادات عامل مراقبة Azure إذا لم تكن صورة الجهاز الظاهري (نظام التشغيل) في القائمة المعرفة ولم يُثبَّت العامل. ملاحظة: إذا كان upgradePolicy لمجموعة المقياس الخاصة بك عُينت إلى "Manual"، تحتاج إلى تطبيق الملحق على جميع الأجهزة الظاهرية في المجموعة عن طريق استدعاء الترقية عليها. في CLI، سيكون ذلك az vmss update-instances. | DeployIfNotExists، معطل | 3.1.1 |
| نشر عامل تبعية لأجهزة Linux الظاهرية | انشر عامل التبعية لأجهزة Linux الظاهرية إذا لم تكن صورة الجهاز الظاهري (نظام التشغيل) في القائمة المعرفة ولم يُثبَّت العامل. | deployIfNotExists | 5.0.0 |
| نشر عامل التبعية لأجهزة Linux الظاهرية باستخدام إعدادات عامل مراقبة Azure | وزع عامل التبعية لأجهزة Linux الظاهرية مع إعدادات عامل مراقبة Azure إذا لم تكن صورة الجهاز الظاهري (نظام التشغيل) في القائمة المعرفة ولم يُثبَّت العامل. | DeployIfNotExists، معطل | 3.1.1 |
| توزيع عامل التبعية ليتم تمكينه على مجموعات تغيير حجم الجهاز الظاهري Windows مع إعدادات عامل مراقبة Azure | وزع عامل التبعية لمجموعات تغيير حجم الجهاز الظاهري Windows مع إعدادات عامل مراقبة Azure إذا لم تكن صورة الجهاز الظاهري في القائمة المعرفة ولم يُثبَّت العامل. إذا كان upgradePolicy لمجموعة النطاق الخاصة بك عُينت إلى "Manual"، فعندئذٍ تحتاج إلى تطبيق الملحق على كل الأجهزة الظاهرية في المجموعة عن طريق تحديثها. | DeployIfNotExists، معطل | 1.2.2 |
| توزيع عامل التبعية ليتم تمكينه على الأجهزة الظاهرية لـ Windows باستخدام إعدادات عامل مراقبة Azure | وزع عامل التبعية للأجهزة الظاهرية لـ Windows مع إعدادات عامل مراقبة Azure إذا لم تكن صورة الجهاز الظاهري في القائمة المعرفة ولم يُثبَّت العامل. | DeployIfNotExists، معطل | 1.2.2 |
| نشر الإعدادات التشخيصية لـ Batch Account إلى Event Hub | لنشر إعدادات التشخيص لـ Batch Account للبث إلى Event Hub إقليمي عند إنشاء أي Batch Account أو تحديثه يفتقر لإعدادات التشخيص هذه. | DeployIfNotExists، معطل | 2.0.0 |
| نشر إعدادات التشخيص لـ Batch Account إلى مساحة عمل Log Analytics | لنشر إعدادات التشخيص لـ Batch Account من أجل البث إلى مساحة عمل Log Analytics عند إنشاء أي Batch Account يفتقر إعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 1.0.0 |
| نشر الإعدادات تشخيصية لـ Data Lake Analytics إلى Event Hub | لنشر إعدادات التشخيص لـ Data Lake Analytics للبث إلى Event Hub إقليمي عند إنشاء أي Data Lake Analytics يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 2.0.0 |
| نشر إعدادات التشخيص لـ Data Lake Analytics إلى مساحة عمل Log Analytics | لنشر إعدادات التشخيص لـ Data Lake Analytics من أجل البث إلى مساحة عمل Log Analytics عند إنشاء أي Data Lake Analytics يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 1.0.0 |
| نشر الإعدادات التشخيصية لـ Data Lake Storage Gen1 إلى Event Hub | لنشر إعدادات التشخيص لـ Data Lake Storage Gen1 للبث إلى Event Hub إقليمي عند إنشاء أي Data Lake Storage Gen1 يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 2.0.0 |
| نشر إعدادات التشخيص لـ Data Lake Storage Gen1 إلى مساحة عمل Log Analytics | لنشر إعدادات التشخيص لـ Data Lake Storage Gen1 من أجل البث إلى مساحة عمل Log Analytics عند إنشاء أي Data Lake Storage Gen1 يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 1.0.0 |
| نشر الإعدادات التشخيصية لـ Event Hub إلى Event Hub | لنشر إعدادات التشخيص لـ Event Hub للبث إلى Event Hub إقليمي عند إنشاء أي Event Hub يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 2.1.0 |
| نشر إعدادات التشخيص لـ Event Hub إلى مساحة عمل Log Analytics | لنشر إعدادات التشخيص لـ Event Hub من أجل البث إلى مساحة عمل Log Analytics عند إنشاء أي Event Hub يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 2.0.0 |
| نشر إعدادات التشخيص لـ Key Vault إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لـ Key Vault للبث إلى مساحة عمل Log Analytics إقليمية عند إنشاء أي Key Vault يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 3.0.0 |
| نشر الإعدادات التشخيصية لـ Logic Apps إلى Event Hub | لنشر إعدادات التشخيص لـ Logic Apps للبث إلى Event Hub إقليمي عند إنشاء أي Logic Apps تفتقر لإعدادات التشخيص هذه أو تحديثها. | DeployIfNotExists، معطل | 2.0.0 |
| نشر إعدادات التشخيص لـ Logic Apps إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لـ Logic Apps للبث إلى مساحة عمل Log Analytics إقليمية عند إنشاء أي Logic Apps تفتقر لإعدادات التشخيص هذه أو تحديثها. | DeployIfNotExists، معطل | 1.0.0 |
| توزيع إعدادات التشخيص لمجموعات أمان الشبكة | يقوم هذا النهج تلقائياً بنشر إعدادات التشخيص لمجموعات أمان الشبكة. سيتم إنشاء حساب تخزين باسم '{storagePrefixParameter}{NSGLocation}' تلقائياً. | deployIfNotExists | 2.0.1 |
| نشر الإعدادات التشخيصية لـ Search Services إلى Event Hub | لنشر إعدادات التشخيص لـ Search Services للبث إلى Event Hub إقليمي عند إنشاء أي Search Services تفتقر لإعدادات التشخيص هذه أو تحديثها. | DeployIfNotExists، معطل | 2.0.0 |
| نشر إعدادات التشخيص لـ Search Services إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لـ Search Services للبث إلى مساحة عمل Log Analytics إقليمية عند إنشاء أي Search Services تفتقر لإعدادات التشخيص هذه أو تحديثها. | DeployIfNotExists، معطل | 1.0.0 |
| نشر الإعدادات التشخيصية لـ Service Bus إلى Event Hub | لنشر إعدادات التشخيص لـ Service Bus للبث إلى Event Hub إقليمي عند إنشاء أي Service Bus يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 2.0.0 |
| نشر إعدادات التشخيص لـ Service Bus إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لـ Service Bus للبث إلى مساحة عمل Log Analytics إقليمية عند إنشاء أي Service Bus يفتقر لإعدادات التشخيص هذه أو تحديثه. | DeployIfNotExists، معطل | 2.1.0 |
| نشر الإعدادات تشخيصية لـ Stream Analytics إلى Event Hub | لنشر إعدادات التشخيص لـ Stream Analytics للبث إلى Event Hub إقليمي عند إنشاء أي Stream Analytics تفتقر لإعدادات التشخيص هذه أو تحديثها. | DeployIfNotExists، معطل | 2.0.0 |
| نشر إعدادات التشخيص لـ Stream Analytics إلى مساحة عمل Log Analytics | لنشر إعدادات التشخيص لـ Stream Analytics من أجل البث إلى مساحة عمل Log Analytics عند إنشاء أي Stream Analytics تفتقر لإعدادات التشخيص هذه أو تحديثها. | DeployIfNotExists، معطل | 1.0.0 |
| وزع ملحق Log Analytics لمجموعات تغيير حجم أجهزة Linux الظاهرية. مراجعة إشعار الإهمال أدناه | توزيع ملحق Log Analytics لمجموعات مقياس جهاز Linux الظاهري إذا كانت صورة الجهاز الظاهري (نظام التشغيل) في القائمة المحددة والملحق غير مثبت. ملاحظة: إذا كان upgradePolicy لمجموعة المقياس الخاصة بك عينت إلى يدوي، تحتاج إلى تطبيق الملحق على كافة VMs في المجموعة عن طريق استدعاء الترقية عليها. في CLI، سيكون ذلك az vmss update-instances. إشعار الإهمال: لن يتم دعم عامل Log Analytics بعد 31 أغسطس 2024. يجب الترحيل إلى البديل "عامل Azure Monitor" قبل ذلك التاريخ | deployIfNotExists | 3.0.0 |
| وزع ملحق Log Analytics لأجهزة Linux الظاهرية. مراجعة إشعار الإهمال أدناه | توزيع ملحق Log Analytics لأجهزة Linux الظاهرية إذا كانت صورة الجهاز الظاهري (نظام التشغيل) مدرجة في القائمة المحددة والملحق غير مثبت. إشعار الإهمال: عامل Log Analytics في مسار إهمال، ولن يتم دعمه بعد 31 أغسطس 2024. يجب الترحيل إلى البديل "عامل Azure Monitor" قبل ذلك التاريخ | deployIfNotExists | 3.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لخدمات APIM (microsoft.apimanagement/service) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لخدمات APIM (microsoft.apimanagement/service). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لخدمات APIM (microsoft.apimanagement/service) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لخدمات APIM (microsoft.apimanagement/service). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لخدمات APIM (microsoft.apimanagement/service) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لخدمات APIM (microsoft.apimanagement/service). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لتكوين التطبيق (microsoft.appconfiguration/configurationstores) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لتكوين التطبيق (microsoft.appconfiguration/configurationstores). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لتكوين التطبيق (microsoft.appconfiguration/configurationstores) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لتكوين التطبيق (microsoft.appconfiguration/configurationstores). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لتكوين التطبيق (microsoft.appconfiguration/configurationstores) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لتكوين التطبيق (microsoft.appconfiguration/configurationstores). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل App Service (microsoft.web/sites) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لخدمة التطبيقات (microsoft.web/sites). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لمجموعة التطبيقات (microsoft.desktopvirtualization/applicationgroups) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لمجموعة تطبيقات Azure Virtual Desktop (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Application Insights (Microsoft.Insights/components) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics ل Application Insights (Microsoft.Insights/components). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لموفري التصديق (microsoft.attestation/attestationproviders) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لموفري التصديق (microsoft.attestation/attestationproviders). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لموفري التصديق (microsoft.attestation/attestationproviders) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لموفري التصديق (microsoft.attestation/attestationproviders). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لموفري التصديق (microsoft.attestation/attestationproviders) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لموفري التصديق (microsoft.attestation/attestationproviders). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لحسابات التنفيذ التلقائي (microsoft.automation/automationaccounts) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لحسابات التنفيذ التلقائي (microsoft.automation/automationaccounts). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لحسابات التنفيذ التلقائي (microsoft.automation/automationaccounts) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لحسابات التنفيذ التلقائي (microsoft.automation/automationaccounts). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لحسابات التنفيذ التلقائي (microsoft.automation/automationaccounts) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لحسابات التنفيذ التلقائي (microsoft.automation/automationaccounts). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات للسحب الخاصة AVS (microsoft.avs/privateclouds) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub للسحب الخاصة AVS (microsoft.avs/privateclouds). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات للسحب الخاصة AVS (microsoft.avs/privateclouds) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics للسحب الخاصة AVS (microsoft.avs/privateclouds). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات للسحب الخاصة AVS (microsoft.avs/privateclouds) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين للسحب الخاصة AVS (microsoft.avs/privateclouds). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Azure Cache for Redis (microsoft.cache/redis) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مركز الأحداث لذاكرة التخزين المؤقت Azure ل Redis (microsoft.cache/redis). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Azure Cache for Redis (microsoft.cache/redis) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics ل Azure Cache for Redis (microsoft.cache/redis). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Azure Cache for Redis (microsoft.cache/redis) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لذاكرة التخزين المؤقت Azure ل Redis (microsoft.cache/redis). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Azure Cosmos DB (microsoft.documentdb/databaseaccounts) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics ل Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Azure FarmBeats (microsoft.agfoodplatform/farmbeats) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub ل Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Azure FarmBeats (microsoft.agfoodplatform/farmbeats) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics ل Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Azure FarmBeats (microsoft.agfoodplatform/farmbeats) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين ل Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Azure التعلم الآلي (microsoft.machinelearningservices/workspaces) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub ل Azure التعلم الآلي (microsoft.machinelearningservices/workspaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Azure التعلم الآلي (microsoft.machinelearningservices/workspaces) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics ل Azure التعلم الآلي (microsoft.machinelearningservices/workspaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Azure التعلم الآلي (microsoft.machinelearningservices/workspaces) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين ل Azure التعلم الآلي (microsoft.machinelearningservices/workspaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Bastions (microsoft.network/bastionhosts) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مركز الأحداث ل Bastions (microsoft.network/bastionhosts). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Bastions (microsoft.network/bastionhosts) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics ل Bastions (microsoft.network/bastionhosts). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Bastions (microsoft.network/bastionhosts) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين ل Bastions (microsoft.network/bastionhosts). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات للخدمات المعرفية (microsoft.cognitiveservices/accounts) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub للخدمات المعرفية (microsoft.cognitiveservices/accounts). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات للخدمات المعرفية (microsoft.cognitiveservices/accounts) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics للخدمات المعرفية (microsoft.cognitiveservices/accounts). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات للخدمات المعرفية (microsoft.cognitiveservices/accounts) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين للخدمات المعرفية (microsoft.cognitiveservices/accounts). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لسجلات الحاويات (microsoft.containerregistry/registries) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لسجلات الحاويات (microsoft.containerregistry/registries). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لسجلات الحاويات (microsoft.containerregistry/registries) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لسجلات الحاويات (microsoft.containerregistry/registries). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لسجلات الحاويات (microsoft.containerregistry/registries) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لسجلات الحاويات (microsoft.containerregistry/registries). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لمجالات شبكة الأحداث (microsoft.eventgrid/domains) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub ل Event Grid Domains (microsoft.eventgrid/domains). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لمجالات شبكة الأحداث (microsoft.eventgrid/domains) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لمجالات شبكة الأحداث (microsoft.eventgrid/domains). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لمجالات شبكة الأحداث (microsoft.eventgrid/domains) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لمجالات شبكة الأحداث (microsoft.eventgrid/domains). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لمساحات أسماء شركاء شبكة الأحداث (microsoft.eventgrid/partnernamespaces) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لمساحات أسماء شركاء شبكة الأحداث (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لمساحات أسماء شركاء شبكة الأحداث (microsoft.eventgrid/partnernamespaces) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لمساحات أسماء شركاء شبكة الأحداث (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لمساحات أسماء شركاء شبكة الأحداث (microsoft.eventgrid/partnernamespaces) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لمساحات أسماء شركاء شبكة الأحداث (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لمواضيع شبكة الأحداث (microsoft.eventgrid/topics) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub ل Event Grid Topics (microsoft.eventgrid/topics). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لمواضيع شبكة الأحداث (microsoft.eventgrid/topics) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لموضوعات شبكة الأحداث (microsoft.eventgrid/topics). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لمواضيع شبكة الأحداث (microsoft.eventgrid/topics) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لمواضيع شبكة الأحداث (microsoft.eventgrid/topics). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لمساحات أسماء مراكز الأحداث (microsoft.eventhub/namespaces) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لمساحات أسماء مراكز الأحداث (microsoft.eventhub/namespaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.2.0 |
| تمكين التسجيل حسب مجموعة الفئات لمساحات أسماء مراكز الأحداث (microsoft.eventhub/namespaces) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لمساحات أسماء مراكز الأحداث (microsoft.eventhub/namespaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لمساحات أسماء مراكز الأحداث (microsoft.eventhub/namespaces) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لمساحات أسماء مراكز الأحداث (microsoft.eventhub/namespaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لجدار الحماية (microsoft.network/azurefirewalls) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لجدار الحماية (microsoft.network/azurefirewalls). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لملفات تعريف Front Door وCDN (microsoft.cdn/profiles) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لملفات تعريف Front Door وCDN (microsoft.cdn/profiles). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لملفات تعريف Front Door وCDN (microsoft.cdn/profiles) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لملفات تعريف Front Door وCDN (microsoft.cdn/profiles). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لملفات تعريف Front Door وCDN (microsoft.cdn/profiles) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لملفات تعريف Front Door وCDN (microsoft.cdn/profiles). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لملفات تعريف Front Door وCDN (microsoft.network/frontdoors) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لملفات تعريف Front Door وCDN (microsoft.network/frontdoors). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لملفات تعريف Front Door وCDN (microsoft.network/frontdoors) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لملفات تعريف Front Door وCDN (microsoft.network/frontdoors). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لملفات تعريف Front Door وCDN (microsoft.network/frontdoors) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لملفات تعريف Front Door وCDN (microsoft.network/frontdoors). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لتطبيق الوظائف (microsoft.web/sites) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لتطبيق الوظائف (microsoft.web/sites). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لتجمع المضيف (microsoft.desktopvirtualization/hostpools) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لتجمع مضيف Azure Virtual Desktop (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل IoT Hub (microsoft.devices/iothubs) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub ل IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات ل IoT Hub (microsoft.devices/iothubs) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics ل IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل IoT Hub (microsoft.devices/iothubs) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين ل IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Key vaults (microsoft.keyvault/vaults) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub ل Key vaults (microsoft.keyvault/vaults). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Key vaults (microsoft.keyvault/vaults) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics ل Key vaults (microsoft.keyvault/vaults). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل Key vaults (microsoft.keyvault/vaults) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين ل Key vaults (microsoft.keyvault/vaults). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لمساحات عمل Log Analytics (microsoft.operationalinsights/workspaces) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لمساحات عمل Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لمساحات عمل Log Analytics (microsoft.operationalinsights/workspaces) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لمساحات عمل Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لمساحات عمل Log Analytics (microsoft.operationalinsights/workspaces) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لمساحات عمل Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل HSMs المدارة (microsoft.keyvault/managedhsms) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub ل HSMs المدارة (microsoft.keyvault/managedhsms). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات ل HSMs المدارة (microsoft.keyvault/managedhsms) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics ل HSMs المدارة (microsoft.keyvault/managedhsms). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل HSMs المدارة (microsoft.keyvault/managedhsms) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين ل HSMs المدارة (microsoft.keyvault/managedhsms). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لخدمات الوسائط (microsoft.media/mediaservices) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مركز الأحداث لخدمات الوسائط (microsoft.media/mediaservices). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لخدمات الوسائط (microsoft.media/mediaservices) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لخدمات الوسائط (microsoft.media/mediaservices). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لخدمات الوسائط (microsoft.media/mediaservices) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لخدمات الوسائط (microsoft.media/mediaservices). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لحسابات Microsoft Purview (microsoft.purview/accounts) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لحسابات Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لحسابات Microsoft Purview (microsoft.purview/accounts) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لحسابات Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لحسابات Microsoft Purview (microsoft.purview/accounts) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لحسابات Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل microsoft.network/p2svpngateways إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub ل microsoft.network/p2svpngateways. | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات ل microsoft.network/p2svpngateways إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics ل microsoft.network/p2svpngateways. | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل microsoft.network/p2svpngateways إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين ل microsoft.network/p2svpngateways. | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لخادم PostgreSQL المرن (microsoft.dbforpostgresql/flexibleservers) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لقاعدة بيانات Azure لخادم PostgreSQL المرن (microsoft.dbforpostgresql/flexibleservers). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لعناوين IP العامة (microsoft.network/publicipaddresses) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لعناوين IP العامة (microsoft.network/publicipaddresses). | DeployIfNotExists، AuditIfNotExists، معطل | 1.2.0 |
| تمكين التسجيل حسب مجموعة الفئات لعناوين IP العامة (microsoft.network/publicipaddresses) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لعناوين IP العامة (microsoft.network/publicipaddresses). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لعناوين IP العامة (microsoft.network/publicipaddresses) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لعناوين IP العامة (microsoft.network/publicipaddresses). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لمساحات أسماء ناقل خدمة Microsoft (microsoft.servicebus/namespaces) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لمساحات أسماء ناقل الخدمة (microsoft.servicebus/namespaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لمساحات أسماء ناقل خدمة Microsoft (microsoft.servicebus/namespaces) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لمساحات أسماء ناقل خدمة Microsoft (microsoft.servicebus/namespaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لمساحات أسماء ناقل خدمة Microsoft (microsoft.servicebus/namespaces) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لمساحات أسماء ناقل الخدمة (microsoft.servicebus/namespaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل SignalR (microsoft.signalrservice/signalr) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مركز الأحداث ل SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات ل SignalR (microsoft.signalrservice/signalr) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics ل SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات ل SignalR (microsoft.signalrservice/signalr) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين ل SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لقواعد بيانات SQL (microsoft.sql/الخوادم/قواعد البيانات) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مركز الأحداث لقواعد بيانات SQL (microsoft.sql/الخوادم/قواعد البيانات). | DeployIfNotExists، AuditIfNotExists، معطل | 1.2.0 |
| تمكين التسجيل حسب مجموعة الفئات لقواعد بيانات SQL (microsoft.sql/الخوادم/قواعد البيانات) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لقواعد بيانات SQL (microsoft.sql/الخوادم/قواعد البيانات). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لقواعد بيانات SQL (microsoft.sql/الخوادم/قواعد البيانات) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لقواعد بيانات SQL (microsoft.sql/الخوادم/قواعد البيانات). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لمثيلات SQL المدارة (microsoft.sql/managedinstances) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لمثيلات SQL المدارة (microsoft.sql/managedinstances). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لمثيلات SQL المدارة (microsoft.sql/managedinstances) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لمثيلات SQL المدارة (microsoft.sql/managedinstances). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لمثيلات SQL المدارة (microsoft.sql/managedinstances) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لمثيلات SQL المدارة (microsoft.sql/managedinstances). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لمحللي الفيديو (microsoft.media/videoanalyzers) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لمحللي الفيديو (microsoft.media/videoanalyzers). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لمحللات الفيديو (microsoft.media/videoanalyzers) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لمحللات الفيديو (microsoft.media/videoanalyzers). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لمحللي الفيديو (microsoft.media/videoanalyzers) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لمحللي الفيديو (microsoft.media/videoanalyzers). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لبوابات الشبكة الظاهرية (microsoft.network/virtualnetworkgateways) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لبوابات الشبكة الظاهرية (microsoft.network/virtualnetworkgateways). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لبوابات الشبكة الظاهرية (microsoft.network/virtualnetworkgateways) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لبوابات الشبكة الظاهرية (microsoft.network/virtualnetworkgateways). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لبوابات الشبكة الظاهرية (microsoft.network/virtualnetworkgateways) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لبوابات الشبكة الظاهرية (microsoft.network/virtualnetworkgateways). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لوحدات التخزين (microsoft.netapp/netappaccounts/capacitypools/volumes) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub لوحدات التخزين (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لوحدات التخزين (microsoft.netapp/netappaccounts/capacitypools/volumes) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لوحدات التخزين (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لوحدات التخزين (microsoft.netapp/netappaccounts/capacitypools/volumes) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لوحدات التخزين (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لخدمة Web PubSub (microsoft.signalrservice/webpubsub) إلى Event Hub | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى Event Hub ل Web PubSub Service (microsoft.signalrservice/webpubsub). | DeployIfNotExists، AuditIfNotExists، معطل | 1.1.0 |
| تمكين التسجيل حسب مجموعة الفئات لخدمة Web PubSub (microsoft.signalrservice/webpubsub) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لخدمة Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لخدمة Web PubSub (microsoft.signalrservice/webpubsub) إلى التخزين | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى حساب تخزين لخدمة Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| تمكين التسجيل حسب مجموعة الفئات لمساحة العمل (microsoft.desktopvirtualization/workspaces) إلى Log Analytics | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. ينشر هذا النهج إعداد تشخيص باستخدام مجموعة فئات لتوجيه السجلات إلى مساحة عمل Log Analytics لمساحة عمل Azure Virtual Desktop (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists، AuditIfNotExists، معطل | 1.0.0 |
| يتعين أن تحتوي أجهزة Linux Arc الظاهرية على Azure Monitor Agent مثبتاً | يتعين مراقبة أجهزة Linux Arc الظاهرية وتأمينها من خلال توزيع Azure Monitor Agent. يقوم Azure Monitor Agent. بتجميع بيانات تتبع الاستخدام من نظام التشغيل الضيف. سوف يتم تدقيق هذه السياسة في أجهزة Arc في المناطق المدعومة. اعرف المزيد:https://aka.ms/AMAOverview. | AuditIfNotExists، معطل | 1.2.0 |
| يجب أن تحتوي مجموعات مقياس جهاز Linux الظاهري على Azure Monitor Agent مثبت | يجب مراقبة مجموعات مقياس جهاز Linux الظاهري وتأمينها من خلال توزيع Azure Monitor Agent. يقوم Azure Monitor Agent. بتجميع بيانات تتبع الاستخدام من نظام التشغيل الضيف. سيدقق هذا النهج مجموعات مقياس الجهاز الظاهري باستخدام صور نظام التشغيل المدعومة في المناطق المدعومة. اعرف المزيد:https://aka.ms/AMAOverview. | AuditIfNotExists، معطل | 3.2.0 |
| يجب أن تحتوي أجهزة Linux الظاهرية على Azure Monitor Agent مثبتاً | يجب مراقبة أجهزة Linux الظاهرية وتأمينها من خلال توزيع Azure Monitor Agent. يقوم Azure Monitor Agent. بتجميع بيانات تتبع الاستخدام من نظام التشغيل الضيف. سيدقق هذا النهج الأجهزة الظاهرية باستخدام صور نظام التشغيل المدعومة في المناطق المدعومة. اعرف المزيد:https://aka.ms/AMAOverview. | AuditIfNotExists، معطل | 3.2.0 |
| يجب تمكين ملحق Log Analytics في مجموعات مقياس الأجهزة الظاهرية لصور الأجهزة الظاهرية المدرجة | يُبلغ عن مجموعات مقياس الجهاز الظاهري على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يتم تثبيت الملحق. | AuditIfNotExists، معطل | 2.0.1 |
| يجب أن تمنع مساحات عمل Log Analytics عرض السجلات والاستعلام عن السجلات من الشبكات العامة | ويمكنك تحسين أمان مساحة العمل عن طريق حظر عرض السجلات والاستعلام من الشبكات العامة. ولن تتمكن سوى الشبكات المتصلة ذات الارتباط الخاص من استيعاب سجلات مساحة العمل هذه والاستعلام عنها. تعرّف على المزيد من خلال https://aka.ms/AzMonPrivateLink#configure-log-analytics. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب أن تحظر مساحات عمل Log Analytics العرض غير المستند إلى Azure Active Directory. | ويؤدي فرض عرض السجلات حتى تتطلب مصادقة Azure Active Directory إلى منع السجلات غير المصادق عليها من المهاجم التي قد يؤدي إلى حالة غير صحيحة وتنبيهات خاطئة وسجلات غير صحيحة مخزنة في النظام. | تعديل، تدقيق، مُعطل | 1.0.0 |
| يجب أن تحتوي عناوين IP العامة على سجلات موارد ممكنة ل Azure DDoS Protection | مكّن سجلات الموارد لعناوين IP العامة في إعدادات التشخيص للبث إلى مساحة عمل Log Analytics. احصل على رؤية تفصيلية لحركة مرور الهجمات والإجراءات المتخذة للتخفيف من هجمات DDoS عبر الإشعارات والتقارير وسجلات التدفق. | AuditIfNotExists، DeployIfNotExists، مُعطل | 1.0.1 |
| يجب تمكين سجلات الموارد للتدقيق على الموارد المدعومة | يجب تمكين سجلات الموارد لتعقب الأنشطة والأحداث التي تحدث على مواردك، ومنحك الرؤية ونتائج التحليلات حول أي تغييرات تحدث. يضمن وجود إعداد تشخيص لمجموعة الفئة «التدقيق» على أنواع الموارد المحددة تمكين هذه السجلات وتسجيلها. أنواع الموارد القابلة للتطبيق هي تلك التي تدعم مجموعة فئة "التدقيق". | AuditIfNotExists، معطل | 1.0.0 |
| يجب حفظ الاستعلامات المحفوظة في Azure Monitor في حساب تخزين العميل لتشفير السجلات | ربط حساب التخزين بمساحة عمل Log Analytics لحماية الاستعلامات المحفوظة باستخدام تشفير حساب التخزين. عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية الامتثال التنظيمي ولمزيد من التحكم في الوصول إلى الاستعلامات المحفوظة في Azure Monitor. لمزيد من التفاصيل حول ما سبق، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب تشفير حساب التخزين الذي يحتوي على الحاوية مع سجلات الأنشطة باستخدام BYOK | يقوم هذا النهج بتدقيق ما إذا تم تشفير حساب التخزين الذي يحتوي على الحاوية مع سجلات النشاط باستخدام خدمة BYOK. لا يعمل النهج إلا إذا كان حساب التخزين يقع في الاشتراك نفسه كسجلات النشاط حسب التصميم. يمكن العثور على مزيد من المعلومات حول تشفير Azure Storage غير نشط هنا https://aka.ms/azurestoragebyok. | AuditIfNotExists، معطل | 1.0.0 |
| يجب عدم تثبيت ملحق Log Analytics القديم على خوادم Linux الممكنة في Azure Arc | منع تثبيت عامل Log Analytics القديم تلقائيا كخطوة أخيرة للترحيل من العوامل القديمة إلى عامل Azure Monitor. بعد إلغاء تثبيت الملحقات القديمة الموجودة، سيرفض هذا النهج جميع عمليات التثبيت المستقبلية لملحق العامل القديم على خوادم Linux الممكنة في Azure Arc. تعرَّف على المزيد: https://aka.ms/migratetoAMA | تعديل، تدقيق، مُعطل | 1.0.0 |
| يجب عدم تثبيت ملحق Log Analytics القديم على خوادم Windows الممكنة في Azure Arc | منع تثبيت عامل Log Analytics القديم تلقائيا كخطوة أخيرة للترحيل من العوامل القديمة إلى عامل Azure Monitor. بعد إلغاء تثبيت الملحقات القديمة الموجودة، سيرفض هذا النهج جميع عمليات التثبيت المستقبلية لملحق العامل القديم على خوادم Windows الممكنة في Azure Arc. تعرَّف على المزيد: https://aka.ms/migratetoAMA | تعديل، تدقيق، مُعطل | 1.0.0 |
| يجب عدم تثبيت ملحق Log Analytics القديم على مجموعات مقياس الجهاز الظاهري Linux | منع تثبيت عامل Log Analytics القديم تلقائيا كخطوة أخيرة للترحيل من العوامل القديمة إلى عامل Azure Monitor. بعد إلغاء تثبيت الملحقات القديمة الموجودة، سيرفض هذا النهج جميع عمليات التثبيت المستقبلية لملحق العامل القديم على مجموعات مقياس الجهاز الظاهري Linux. تعرَّف على المزيد: https://aka.ms/migratetoAMA | تعديل، تدقيق، مُعطل | 1.0.0 |
| يجب عدم تثبيت ملحق Log Analytics القديم على أجهزة Linux الظاهرية | منع تثبيت عامل Log Analytics القديم تلقائيا كخطوة أخيرة للترحيل من العوامل القديمة إلى عامل Azure Monitor. بعد إلغاء تثبيت الملحقات القديمة الموجودة، سيرفض هذا النهج جميع عمليات التثبيت المستقبلية لملحق العامل القديم على أجهزة Linux الظاهرية. تعرَّف على المزيد: https://aka.ms/migratetoAMA | تعديل، تدقيق، مُعطل | 1.0.0 |
| يجب عدم تثبيت ملحق Log Analytics القديم على مجموعات مقياس الجهاز الظاهري | منع تثبيت عامل Log Analytics القديم تلقائيا كخطوة أخيرة للترحيل من العوامل القديمة إلى عامل Azure Monitor. بعد إلغاء تثبيت الملحقات القديمة الموجودة، سيرفض هذا النهج جميع عمليات التثبيت المستقبلية لملحق العامل القديم على مجموعات مقياس الجهاز الظاهري ل Windows. تعرَّف على المزيد: https://aka.ms/migratetoAMA | تعديل، تدقيق، مُعطل | 1.0.0 |
| يجب عدم تثبيت ملحق Log Analytics القديم على الأجهزة الظاهرية | منع تثبيت عامل Log Analytics القديم تلقائيا كخطوة أخيرة للترحيل من العوامل القديمة إلى عامل Azure Monitor. بعد إلغاء تثبيت الملحقات القديمة الموجودة، سيرفض هذا النهج جميع عمليات التثبيت المستقبلية لملحق العامل القديم على الأجهزة الظاهرية التي تعمل بنظام Windows. تعرَّف على المزيد: https://aka.ms/migratetoAMA | تعديل، تدقيق، مُعطل | 1.0.0 |
| يجب تثبيت ملحق Log Analytics على مجموعات مقياس الجهاز الظاهري | يدقق هذا النهج أي مجموعات مقياس جهاز ظاهري في Windows/Linux إذا لم يكن ملحق Log Analytics مثبتاً. | AuditIfNotExists، معطل | 1.0.1 |
| يجب توصيل الأجهزة الظاهرية بمساحة عمل محددة | يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تقم بتسجيل الدخول إلى مساحة عمل Log Analytics المحددة في تعيين النهج/المبادرة. | AuditIfNotExists، معطل | 1.1.0 |
| يجب أن يكون لدى الأجهزة الظاهرية ملحق Log Analytics مثبتاً | يدقق هذا النهج أي أجهزة ظاهرية لنظامي التشغيل Windows/Linux إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 |
| يتعين أن تحتوي أجهزة Windows Arc الظاهرية على Azure Monitor Agent مثبتاً | يتعين مراقبة أجهزة Windows Arc الظاهرية وتأمينها من خلال توزيع Azure Monitor Agent. يقوم Azure Monitor Agent. بتجميع بيانات تتبع الاستخدام من نظام التشغيل الضيف. تتم مراقبة أجهزة Windows Arc في المناطق المدعومة لخدمة توزيع Azure Monitor Agent. اعرف المزيد:https://aka.ms/AMAOverview. | AuditIfNotExists، معطل | 1.2.0 |
| يجب أن تحتوي مجموعات مقياس جهاز Windows الظاهري على Azure Monitor Agent مثبت | يجب مراقبة مجموعات مقياس جهاز Windows الظاهري وتأمينها من خلال توزيع Azure Monitor Agent. يقوم Azure Monitor Agent. بتجميع بيانات تتبع الاستخدام من نظام التشغيل الضيف. تتم مراقبة مجموعات مقياس الجهاز الظاهري المزود بنظام التشغيل المدعوم وفي المناطق المدعومة لتوزيع Azure Monitor Agent. اعرف المزيد:https://aka.ms/AMAOverview. | AuditIfNotExists، معطل | 3.2.0 |
| يجب أن تحتوي أجهزة Windows الظاهرية على Azure Monitor Agent مثبتاً | يجب مراقبة أجهزة Windows الظاهرية وتأمينها من خلال توزيع Azure Monitor Agent. يقوم Azure Monitor Agent. بتجميع بيانات تتبع الاستخدام من نظام التشغيل الضيف. تتم مراقبة أجهزة Windows الظاهرية المزودة بنظام التشغيل المدعوم وفي المناطق المدعومة لتوزيع Azure Monitor Agent. اعرف المزيد:https://aka.ms/AMAOverview. | AuditIfNotExists، معطل | 3.2.0 |
| يجب حفظ المصنفات في حسابات التخزين التي تتحكم فيها | بفضل حسابات "أحضر مساحة التخزين الخاصة بك" (BYOS)، يتم تحميل المصنفات الخاصة بك إلى حساب تخزين تتحكم فيه. وهذا يعني أنك تتحكم في سياسة التشفير في وضع السكون، وسياسة إدارة مدى الحياة، والوصول إلى الشبكة. ومع ذلك، ستكون مسؤولاً عن التكاليف المرتبطة بحساب التخزين هذا. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/workbooksByos | رفض، والرفض، وتدقيق، والتدقيق، وتعطيل، ومعطل | 1.1.0 |
الشبكة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور | لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي | AuditIfNotExists، معطل | 3.0.0 - المعاينة |
| [إصدار أولي]: يجب أن يستخدم سجل حاوية نقطة تقديم خدمة شبكة ظاهرية | يقوم هذا النهج بمراجعة أي "تسجيل حاوية" لم يتم تكوينه لاستخدام نقطة نهاية خدمة شبكة اتصال ظاهرية. | المراجعة، معطلة | 1.0.0-المعاينة |
| يجب تطبيق نهج IPsec/IKE مخصص على جميع اتصالات بوابة الشبكة الظاهرية Azure | يضمن هذا النهج استخدام كافة اتصالات بوابة الشبكة الافتراضية في Azure نهج مخصص لأمان بروتوكول الإنترنت (Ipsec) / مفتاح إنترنت Exchange(IKE). الخوارزميات المدعومة ونقاط القوة الرئيسية - https://aka.ms/AA62kb0 | المراجعة، معطلة | 1.0.0 |
| يجب أن تكون جميع موارد سجل التدفق في حالة التمكين | تدقيق موارد سجل التدفق للتحقق من تمكين سجل التدفق. يتيح تمكين سجلات التدفق تسجيل معلومات حول تدفق حركة مرور IP. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم تطبيقات App Service نقطة نهاية خدمة شبكة افتراضية | استخدم نقاط نهاية خدمة الشبكة الظاهرية لتقييد الوصول إلى تطبيقك من الشبكات الفرعية المحددة من شبكة Azure الظاهرية. لمعرفة المزيد حول نقاط نهاية خدمة لخدمة التطبيق، تفضل بزيارة https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists، معطل | 2.0.1 |
| تدقيق تكوين سجلات التدفق لكل شبكة ظاهرية | تدقيق الشبكة الظاهرية للتحقق مما إذا تم تكوين سجلات التدفق. يتيح تمكين سجلات التدفق تسجيل معلومات حول حركة مرور IP المتدفقة عبر الشبكة الظاهرية. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | المراجعة، معطلة | 1.0.1 |
| يجب نشر Azure Application Gateway باستخدام Azure WAF | يتطلب توزيع موارد Azure Application Gateway باستخدام Azure WAF. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يتيح نهج جدار حماية Azure فحص TLS ضمن قواعد التطبيق | يُوصى بتمكين فحص TLS لجميع قواعد التطبيق للكشف عن النشاط الضار في HTTPS وتنبيهه والتخفيف من حدته. لمعرفة المزيد حول فحص TLS باستخدام Azure Firewall، تفضل بزيارة https://aka.ms/fw-tlsinspect | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يقوم Azure Firewall Premium بتكوين شهادة وسيطة صالحة لتمكين فحص TLS | تكوين شهادة وسيطة صالحة وتمكين فحص Azure Firewall Premium TLS للكشف عن النشاط الضار في HTTPS وتنبيهه والتخفيف من حدته. لمعرفة المزيد حول فحص TLS باستخدام Azure Firewall، تفضل بزيارة https://aka.ms/fw-tlsinspect | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب ألا تستخدم بوابات Azure VPN SKU "الأساسية" | يضمن هذا النهج عدم استخدام بوابات Azure VPN وحدة حفظ المخزون «الأساسية» | المراجعة، معطلة | 1.0.0 |
| يجب تمكين فحص نص طلب Azure Web Application Firewall على Azure Application Gateway | تأكد من تمكين فحص نص الطلب لجدران حماية تطبيق الويب المقترنة ب Azure Application Gateways. يسمح هذا ل WAF بفحص الخصائص داخل نص HTTP التي قد لا يتم تقييمها في عناوين HTTP أو ملفات تعريف الارتباط أو URI. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين فحص النص الأساسي ل Azure Web Application Firewall على Azure Front Door | تأكد من تمكين فحص نص الطلب لجدران حماية تطبيق الويب المقترنة ب Azure Front Doors. يسمح هذا ل WAF بفحص الخصائص داخل نص HTTP التي قد لا يتم تقييمها في عناوين HTTP أو ملفات تعريف الارتباط أو URI. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب تمكين Bot Protection ل Azure Application Gateway WAF | يضمن هذا النهج تمكين حماية الروبوت في جميع نهج Azure Application Gateway Web Application Firewall (WAF) | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين Bot Protection ل Azure Front Door WAF | يضمن هذا النهج تمكين حماية الروبوت في جميع نهج Azure Front Door Web Application Firewall (WAF) | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تكون قائمة التجاوز لنظام الكشف عن التسلل والوقاية (IDPS) فارغة في Firewall Policy Premium | تسمح لك قائمة تجاوز نظام الكشف عن التسلل والوقاية (IDPS) بعدم تصفية نسبة استخدام الشبكة إلى أي من عناوين IP والنطاقات والشبكات الفرعية المحددة في قائمة التجاوز. ومع ذلك، يتم إعادة الاتصال بتمكين IDPS لجميع تدفقات نسبة استخدام الشبكة لتحديد التهديدات المعروفة بشكل أفضل. لمعرفة المزيد حول توقيعات نظام الكشف عن التسلل والوقاية (IDPS) باستخدام Azure Firewall Premium، تفضل بزيارة https://aka.ms/fw-idps-signature | التدقيق، الرفض، التعطيل | 1.0.0 |
| تكوين الإعدادات التشخيصية لمجموعات أمان شبكة Azure لتسجيل مساحة عمل Analytics | وزّع إعدادات التشخيص إلى مجموعات أمان شبكة Azure لدفق سجلات الموارد إلى مساحة عمل Log Analytics. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مجموعات أمان الشبكة لتمكين تحليلات نسبة استخدام الشبكة | يمكن تمكين تحليلات الحركة لجميع مجموعات أمان الشبكة المستضافة في منطقة معينة بجانب الإعدادات المقدمة أثناء إنشاء النهج. إذا كانت تحليلات الحركة ممكنة بالفعل، فإنه من ثمَّ لا يُعدل النهج إعداداته. يجوز تمكين سجلات التدفق أيضًا لمجموعات أمان الشبكة التي لا تملكها. تُعد تحليلات الحركة بمثابة حلول قائمة على التطبيقات السحابية توفر الرؤية لنشاط المستخدم والتطبيق في الشبكة السحابية | DeployIfNotExists، معطل | 1.2.0 |
| تكوين مجموعات أمان الشبكة لاستخدام مساحة عمل معينة وحساب تخزين ونهج استبقاء سجل التدفق لتحليلات نسبة استخدام الشبكة | إذا كان تحليلات الحركة مفعلة، فإنه من ثمَّ لا يسمح هذا النهج بتعديل إعداداته الحالية بالتعديلات المقدمة في أثناء إنشاء النهج. تُعد تحليلات الحركة بمثابة حلول قائمة على التطبيقات السحابية توفر الرؤية لنشاط المستخدم والتطبيق في الشبكة السحابية | DeployIfNotExists، معطل | 1.2.0 |
| تكوين الشبكة الظاهرية لتمكين سجل التدفق وتحليلات نسبة استخدام الشبكة | يمكن تمكين تحليلات نسبة استخدام الشبكة وسجلات التدفق لجميع الشبكات الظاهرية المستضافة في منطقة معينة مع الإعدادات المقدمة أثناء إنشاء النهج. لا يقوم هذا النهج بالكتابة فوق الإعداد الحالي للشبكات الظاهرية التي تم تمكين هذه الميزة بالفعل. تُعد تحليلات الحركة بمثابة حلول قائمة على التطبيقات السحابية توفر الرؤية لنشاط المستخدم والتطبيق في الشبكة السحابية | DeployIfNotExists، معطل | 1.1.1 |
| تكوين الشبكات الظاهرية لفرض مساحة العمل وحساب التخزين والفاصل الزمني للاحتفاظ بسجلات التدفق وتحليلات نسبة استخدام الشبكة | إذا تم تمكين تحليلات نسبة استخدام الشبكة بالفعل لشبكة ظاهرية، فسيستبدل هذا النهج إعداداته الحالية بالإعدادات المتوفرة أثناء إنشاء النهج. تُعد تحليلات الحركة بمثابة حلول قائمة على التطبيقات السحابية توفر الرؤية لنشاط المستخدم والتطبيق في الشبكة السحابية | DeployIfNotExists، معطل | 1.1.2 |
| يجب أن يستخدم Cosmos DB نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة قاعدة بيانات COSMOS DB التي لم تتم تهيئتها لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | المراجعة، معطلة | 1.0.0 |
| نشر مورد سجل تدفق مع مجموعة أمان الشبكة المستهدفة | تهيئة سجل التدفق لمجموعة أمان شبكة الاتصال المحددة. وسوف تسمح بتوفير سجل معلومات حول تدفق حركة بروتوكول الإنترنت من خلال مجموعة أمان الشبكة. يساعد سجل التدفق على تحديد الحركة غير المعروفة أو غير المرغوب فيها، والتحقق من عزل الشبكة والامتثال لقواعد الوصول إلى المؤسسة، وتحليل تدفقات الشبكة من برامج بروتوكول الإنترنت وواجهات الشبكة المخترقة. | deployIfNotExists | 1.1.0 |
| نشر مورد سجل التدفق مع الشبكة الظاهرية الهدف | تكوين سجل التدفق لشبكة ظاهرية معينة. سيسمح بتسجيل معلومات حول حركة مرور IP المتدفقة عبر شبكة ظاهرية. يساعد سجل التدفق على تحديد الحركة غير المعروفة أو غير المرغوب فيها، والتحقق من عزل الشبكة والامتثال لقواعد الوصول إلى المؤسسة، وتحليل تدفقات الشبكة من برامج بروتوكول الإنترنت وواجهات الشبكة المخترقة. | DeployIfNotExists، معطل | 1.1.1 |
| توزيع مراقب الشبكة عند إنشاء الشبكات الظاهرية | ينشئ هذا النهج مورد مراقب شبكة الاتصال في المناطق التي تظهر بها شبكات افتراضية. تحتاج إلى التأكد من وجود مجموعة موارد تسمى networkWatcherRG، والتي سيتم استخدامها لنشر حالات مراقب الشبكة. | DeployIfNotExists | 1.0.0 |
| تمكين قاعدة حد المعدل للحماية من هجمات DDoS على Azure Front Door WAF | تتحكم قاعدة حد المعدل لجدار حماية تطبيق الويب في Azure لـ Azure Front Door في عدد الطلبات المسموح بإرساله من عنوان IP لعميل معين إلى التطبيق خلال مدة حد المعدل. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يستخدم Event Hub نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة أي Event Hub لم تتم تهيئته لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يقوم Firewall Policy Premium بتمكين جميع قواعد توقيع IDPS لمراقبة جميع تدفقات نسبة استخدام الشبكة الواردة والصادرة | يتم إعادة الالتزام بتمكين جميع قواعد توقيع نظام الكشف عن التسلل والوقاية منه (IDPS) لتحديد التهديدات المعروفة في تدفقات حركة المرور بشكل أفضل. لمعرفة المزيد حول توقيعات نظام الكشف عن التسلل والوقاية (IDPS) باستخدام Azure Firewall Premium، تفضل بزيارة https://aka.ms/fw-idps-signature | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يقوم Firewall Policy Premium بتمكين نظام الكشف عن التسلل والوقاية منه (IDPS) | يتيح لك تمكين نظام الكشف عن التسلل والوقاية منه (IDPS) مراقبة شبكتك للأنشطة الضارة وتسجيل معلومات حول هذا النشاط والإبلاغ عنه ومحاولة حظره اختياريا. لمعرفة المزيد حول نظام الكشف عن التسلل والوقاية (IDPS) باستخدام Azure Firewall Premium، تفضل بزيارة https://aka.ms/fw-idps | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تكوين سجلات Flow لكل مجموعة أمان شبكة | تدقيق مجموعات أمان الشبكة للتحقق من تهيئة سجلات التدفق. يُتيح تمكين سجلات التدفق تسجيل معلومات حول حركة استخدام IP التي تتدفق عبر مجموعة أمان الشبكة. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | المراجعة، معطلة | 1.1.0 |
| لا يجب تهيئة الشبكات الفرعية للبوابة مع مجموعة أمان شبكة الاتصال | يرفض هذا النهج إذا جرت تهيئة شبكة فرعية للبوابة مع مجموعة أمان شبكة الاتصال. سيؤدي تعيين مجموعة أمان شبكة الاتصال مع شبكة فرعية للبوابة إلى إيقاف التشغيل. | رفض | 1.0.0 |
| يجب أن تستخدم خدمة Key Vault نقطة نهاية خدمة شبكة ظاهرية | يساعد هذا النهج على مراجعة جميع خدمات Key Vault التي تتم تهيئتها لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | المراجعة، معطلة | 1.0.0 |
| ترحيل WAF من تكوين WAF إلى نهج WAF على بوابة التطبيق | إذا كان لديك تكوين WAF بدلا من نهج WAF، فقد تحتاج إلى الانتقال إلى نهج WAF الجديد. من الآن فصاعداً، ستدعم نهج جدار الحماية إعدادات نهج WAF، ومجموعات القواعد المُدارة، والاستثناءات، ومجموعات القواعد المعطلة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل واجهات الشبكة إعادة توجيه IP | يرفض هذا النهج واجهات شبكة الاتصال التي مكنت إعادة توجيه بروتوكول الإنترنت. يؤدي إعداد إعادة توجيه بروتوكول الإنترنت إلى تعطيل فحص Azure للمصدر وواجهة واجهة شبكة الاتصال. يجب مراجعة ذلك من جانب فريق أمان الشبكة. | رفض | 1.0.0 |
| يجب ألا تحتوي واجهات الشبكة على عناوين IP عامة | يرفض هذا النهج واجهات شبكة الاتصال التي تم تهيئتها باستخدام بروتوكول إنترنت عام تسمح عناوين بروتوكول الإنترنت العامة لموارد الإنترنت بالاتصال بالموارد الواردة إلى Azure، وموارد Azure للاتصال بالإنترنت. يجب مراجعة ذلك من جانب فريق أمان الشبكة. | رفض | 1.0.0 |
| يجب تمكين تحليلات نسبة استخدام الشبكة لسجلات تدفق Network Watcher | تحلل تحليلات نسبة استخدام الشبكة سجلات التدفق لتوفير رؤى حول تدفق نسبة استخدام الشبكة في سحابة Azure. ويمكن استخدامه لتصور نشاط الشبكة عبر اشتراكات Azure وتحديد النقاط الساخنة والتهديدات الأمنية وفهم أنماط تدفق الحركة وتحديد التهيئات الخاطئة للشبكة وغيرها. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي أن يستخدم خادم SQL Server نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة خوادم SQL Server التي لم تتم تهيئتها لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | AuditIfNotExists، معطل | 1.0.0 |
| تستخدم حسابات التخزين نقطة نهاية خدمة شبكة اتصال ظاهرية | يقوم هذا النهج بمراجعة أي حساب تخزين لم تُجرَ تهيئته لاستخدام نقطة نهاية خدمة شبكة اتصال افتراضية. | المراجعة، معطلة | 1.0.0 |
| يجب أن يقوم الاشتراك بتكوين Azure Firewall Premium لتوفير طبقة إضافية من الحماية | يوفر Azure Firewall Premium حماية متقدمة من التهديدات تلبي احتياجات البيئات الحساسة للغاية والمنظمة. انشر Azure Firewall Premium على اشتراكك وتأكد من حماية جميع نسبة استخدام الشبكة للخدمة بواسطة Azure Firewall Premium. لمعرفة المزيد حول Azure Firewall Premium، تفضل بزيارة https://aka.ms/fw-premium | AuditIfNotExists، معطل | 1.0.0 |
| يجب توصيل الأجهزة الظاهرية بشبكة ظاهرية معتمدة | يقوم هذا النهج بمراجعة أي جهاز افتراضي متصل بشبكة افتراضية غير معتمدة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب حماية الشبكات الظاهرية بواسطة Azure DDoS Protection | حماية الشبكات الظاهرية من هجمات الحجم والبروتوكول باستخدام Azure DDoS Protection. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/ddosprotectiondocs. | تعديل، تدقيق، تعطيل | 1.0.1 |
| يجب أن تستخدم الشبكات الافتراضية بوابة شبكة اتصال افتراضية محددة | يقوم هذا النهج بمراجعة أي شبكة اتصال افتراضية إذا لم يشر المسار الافتراضي إلى بوابة الشبكة الافتراضية المحددة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم بوابات VPN مصادقة Azure Active Directory (Azure AD) فقط لمستخدمي نقطة إلى موقع | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من استخدام بوابات الشبكة الخاصة الافتراضية معرفات Azure Active Directory فقط للمصادقة. تعرف على المزيد حول مصادقة Azure AD على https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن يتيح جدار حماية تطبيق الويب (WAF) جميع قواعد جدار الحماية لبوابة التطبيق | يؤدي تمكين جميع قواعد جدار حماية تطبيقات الويب (WAF) إلى تعزيز أمان التطبيق الخاص بك وحماية تطبيقات الويب الخاصة بك من الثغرات الأمنية الشائعة. لمعرفة المزيد حول جدار حماية تطبيق الويب (WAF) باستخدام بوابة التطبيق، تفضل بزيارة https://aka.ms/waf-ag | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد لبوابة التطبيق | تفويضات تنشيط استخدام وضع 'الكشف' أو 'المنع' في نهج جدار حماية تطبيق الويب لبوابة التطبيق. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد في Azure Front Door Service | تفويضات تنشيط استخدام وضع "الكشف" أو "المنع" في نهج جدار حماية تطبيق الويب لخدمة Azure Front Door Service. | التدقيق، الرفض، التعطيل | 1.0.0 |
المدخل
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب ألا تحتوي لوحات المعلومات المشتركة على تجانبات markdown مع محتوى مضمن | عدم السماح بإنشاء لوحة معلومات مشتركة تحتوي على محتوى مضمن في تجانبات markdown وفرض تخزين المحتوى كملف markdown مستضاف عبر الإنترنت. إذا كنت تستخدم محتوى مضمناً في تجانب markdown، لا يمكنك إدارة تشفير المحتوى. من خلال تكوين التخزين خاصتك، يمكنك التشفير، والتشفير المزدوج وحتى جلب مفاتيحك الخاصة. يؤدي تمكين هذا النهج إلى تقييد المستخدمين لاستخدام 2020-09-01-معاينة أو إصدار أعلى من لوحات المعلومات المشتركة REST API. | التدقيق، الرفض، التعطيل | 1.0.0 |
المرونة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب أن تكون خدمة إدارة واجهة برمجة التطبيقات متكررة في المنطقة | يمكن تكوين خدمة إدارة واجهة برمجة التطبيقات لتكون المنطقة زائدة عن الحاجة أم لا. خدمة إدارة واجهة برمجة التطبيقات هي المنطقة المكررة إذا كان اسم sku الخاص بها هو 'Premium' ولها إدخالان على الأقل في صفيف مناطقها. يحدد هذا النهج خدمات إدارة واجهة برمجة التطبيقات التي تفتقر إلى التكرار اللازم لتحمل انقطاع المنطقة. | التدقيق، الرفض، التعطيل | 1.0.1 - المعاينة |
| [معاينة]: يجب أن تكون خطط خدمة التطبيقات متكررة في المنطقة | يمكن تكوين خطط خدمة التطبيقات لتكون متكررة في المنطقة أم لا. عند تعيين الخاصية "zoneRedundant" إلى "false" لخطة App Service، لا يتم تكوينها لتكرار المنطقة. يحدد هذا النهج ويفرض تكوين تكرار المنطقة لخطط خدمة التطبيقات. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون بوابات التطبيق مرنة في المنطقة | يمكن تكوين Application Gateways لتكون إما Zone Aligned أو Zone Redundant أو أي منهما. تعتبر Application Gatewaysmthat havenexactly إدخال واحد في صفيف المناطق الخاصة بهم محاذاة المنطقة. في المقابل، يتم التعرف على Application Gatmways مع إدخالات معn3 أو أكثر في صفيف المناطق الخاصة بهم كمنطقة زائدة عن الحاجة. يساعد هذا النهج في تحديد تكوينات المرونة هذه وفرضها. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون Azure الذكاء الاصطناعي Search Service متكررة في المنطقة | يمكن تكوين Azure الذكاء الاصطناعي Search Service لتكون المنطقة زائدة عن الحاجة أم لا. يتم استخدام مناطق التوفر عند إضافة نسختين متماثلتين أو أكثر إلى خدمة البحث. يتم وضع كل نسخة متماثلة في منطقة توفر مختلفة داخل المنطقة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون ذاكرة التخزين المؤقت Azure ل Redis Enterprise و Flash زائدة عن الحاجة في المنطقة | يمكن تكوين ذاكرة التخزين المؤقت Azure ل Redis Enterprise و Flash لتكون المنطقة زائدة عن الحاجة أم لا. Azure Cache لمثيلات Redis Enterprise و Flash مع أقل من 3 إدخالات في صفيف المناطق الخاصة بها ليست متكررة في المنطقة. يحدد هذا النهج Azure Cache لمثيلات Redis Enterprise و Flash التي تفتقر إلى التكرار المطلوب لتحمل انقطاع المنطقة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون ذاكرة التخزين المؤقت Azure ل Redis متكررة في المنطقة | يمكن تكوين ذاكرة التخزين المؤقت Azure ل Redis لتكون المنطقة زائدة عن الحاجة أم لا. ذاكرة التخزين المؤقت Azure لمثيلات Redis مع أقل من إدخالين في صفيف المناطق الخاصة بهم ليست متكررة في المنطقة. يحدد هذا النهج Azure Cache لمثيلات Redis التي تفتقر إلى التكرار اللازم لتحمل انقطاع المنطقة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون مجموعات Azure Data Explorer متكررة في المنطقة | يمكن تكوين مجموعات Azure Data Explorer لتكون المنطقة زائدة عن الحاجة أم لا. تعتبر مجموعة Azure Data Explorer زائدة عن الحاجة إذا كان لها إدخالان على الأقل في صفيف المناطق الخاص بها. يساعد هذا النهج على ضمان أن مجموعات Azure Data Explorer زائدة عن الحاجة في المنطقة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون قاعدة بيانات Azure لخادم MySQL المرن مرنة في المنطقة | يمكن تكوين Azure Database for MySQL Flexible Server ليكون إما Zone Aligned أو Zone Redundant أو أي منهما. يعتبر خادم MySQL الذي يحتوي على خادم الاستعداد المحدد في نفس المنطقة لقابلية الوصول العالية محاذاة المنطقة. في المقابل، يتم التعرف على خادم MySQL الذي يحتوي على خادم الاستعداد المحدد ليكون في منطقة مختلفة لقابلية الوصول العالية كخادم المنطقة المكرر. يساعد هذا النهج في تحديد تكوينات المرونة هذه وفرضها. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون قاعدة بيانات Azure لخادم PostgreSQL المرن منطقة مرنة | يمكن تكوين Azure Database for PostgreSQL Flexible Server ليكون إما Zone Aligned أو Zone Redundant أو لا. يعتبر خادم PostgreSQL الذي يحتوي على خادم احتياطي محدد في نفس المنطقة لقابلية الوصول العالية محاذاة المنطقة. في المقابل، يتم التعرف على خادم PostgreSQL الذي يحتوي على خادم احتياطي محدد ليكون في منطقة مختلفة لقابلية الوصول العالية كخادم متكرر للمنطقة. يساعد هذا النهج في تحديد تكوينات المرونة هذه وفرضها. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن يكون Azure HDInsight متوافقا مع المنطقة | يمكن تكوين Azure HDInsight ليكون محاذاة المنطقة أم لا. يعتبر Azure HDInsight الذي يحتوي على إدخال واحد بالضبط في صفيف المناطق الخاصة به محاذاة المنطقة. يضمن هذا النهج تكوين نظام مجموعة Azure HDInsight للعمل داخل منطقة توفر واحدة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون المجموعات المدارة لخدمة Azure Kubernetes متكررة في المنطقة | يمكن تكوين أنظمة المجموعات المدارة لخدمة Azure Kubernetes لتكون متكررة في المنطقة أم لا. يتحقق النهج من تجمعات العقدة في نظام المجموعة ويضمن تعيين مناطق التوفر لكافة تجمعات العقد. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون Azure Managed Grafana متكررة في المنطقة | يمكن تكوين Azure Managed Grafana لتكون المنطقة زائدة عن الحاجة أم لا. مثيل Azure Managed Grafana هو Zone Redundant هو تعيين خاصية "zoneRedundancy" إلى "Enabled". يساعد فرض هذا النهج على ضمان تكوين Azure Managed Grafana بشكل مناسب لمرونة المنطقة، ما يقلل من خطر التوقف أثناء انقطاع المنطقة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن يكون النسخ الاحتياطي واسترداد الموقع متكررين في المنطقة | يمكن تكوين النسخ الاحتياطي واسترداد الموقع ليكونا متكررين في المنطقة أم لا. النسخ الاحتياطي واسترداد الموقع هو تكرار المنطقة إذا تم تعيين خاصية "standardTierStorageRedundancy" إلى "ZoneRedundant". يساعد فرض هذا النهج على ضمان تكوين النسخ الاحتياطي واسترداد الموقع بشكل مناسب لمرونة المنطقة، ما يقلل من مخاطر التوقف أثناء انقطاع المنطقة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون خزائن النسخ الاحتياطي زائدة عن الحاجة في المنطقة | يمكن تكوين خزائن النسخ الاحتياطي لتكون المنطقة زائدة عن الحاجة أم لا. تعد خزائن النسخ الاحتياطي متكررة في المنطقة إذا تم تعيين نوع إعدادات التخزين إلى "ZoneRedundant" وتعتبر مرنة. لا تعتبر خزائن النسخ الاحتياطي المتكررة جغرافيا أو المتكررة محليا مرنة. يساعد فرض هذا النهج على ضمان تكوين خزائن النسخ الاحتياطي بشكل مناسب لمرونة المنطقة، ما يقلل من خطر التوقف أثناء انقطاع المنطقة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن يكون تطبيق الحاوية متكررا في المنطقة | يمكن تكوين تطبيق الحاوية ليكون المنطقة زائدة عن الحاجة أم لا. تطبيق الحاوية هو Zone Redundant إذا تم تعيين الخاصية 'ZoneRedundant' الخاصة بالبيئة المدارة الخاصة به إلى true. يحدد هذا النهج تطبيق الحاوية الذي يفتقر إلى التكرار اللازم لتحمل انقطاع المنطقة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون مثيلات الحاوية محاذاة المنطقة | يمكن تكوين مثيلات الحاوية لتكون محاذاة المنطقة أم لا. تعتبر محاذاة المنطقة إذا كان لديهم إدخال واحد فقط في صفيف المناطق الخاصة بهم. يضمن هذا النهج تكوينها للعمل داخل منطقة توفر واحدة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن يكون سجل الحاوية متكررا في المنطقة | يمكن تكوين سجل الحاوية ليكون المنطقة زائدة عن الحاجة أم لا. عند تعيين خاصية zoneRedundancy ل Container Registry إلى "Disabled"، فهذا يعني أن السجل ليس تكرارا للمنطقة. يساعد فرض هذا النهج على التأكد من تكوين سجل الحاويات بشكل مناسب لمرونة المنطقة، ما يقلل من خطر التوقف أثناء انقطاع المنطقة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون حسابات قاعدة بيانات Cosmos متكررة في المنطقة | يمكن تكوين حسابات قاعدة بيانات Cosmos لتكون المنطقة زائدة عن الحاجة أم لا. إذا تم تعيين 'enableMultipleWriteLocations' إلى 'true' فيجب أن يكون لكافة المواقع خاصية 'isZoneRedundant' ويجب تعيينها إلى 'true'. إذا تم تعيين "enableMultipleWriteLocations" إلى "false"، فيجب أن يكون للموقع الأساسي ("failoverPriority" الذي تم تعيينه إلى 0) خاصية "isZoneRedundant" ويجب تعيينه إلى "صحيح". يضمن فرض هذا النهج تكوين حسابات قاعدة بيانات Cosmos بشكل مناسب لتكرار المنطقة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون مراكز الأحداث متكررة في المنطقة | يمكن تكوين مراكز الأحداث لتكون المنطقة زائدة عن الحاجة أم لا. مراكز الأحداث هي المنطقة المكررة إذا تم تعيين الخاصية 'zoneRedundant' إلى 'true'. يساعد فرض هذا النهج على ضمان تكوين مراكز الأحداث بشكل مناسب لمرونة المنطقة، ما يقلل من مخاطر التوقف أثناء انقطاع المنطقة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون جدران الحماية مرنة في المنطقة | يمكن تكوين جدران الحماية لتكون إما محاذاة المنطقة أو المنطقة المكررة أو لا. تعتبر جدران الحماية التي تحتوي على إدخال واحد بالضبط في صفيف المناطق الخاصة بها محاذاة المنطقة. في المقابل، يتم التعرف على جدران الحماية التي تتضمن 3 إدخالات أو أكثر في صفيف المناطق الخاص بها كمنطقة زائدة عن الحاجة. يساعد هذا النهج في تحديد تكوينات المرونة هذه وفرضها. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون موازنات التحميل مرنة في المنطقة | ترث موازنات التحميل مع sku غير Basic مرونة عناوين IP العامة في الواجهة الأمامية الخاصة بها. عند دمجه مع نهج "يجب أن تكون عناوين IP العامة مرنة للمنطقة"، يضمن هذا النهج التكرار اللازم لتحمل انقطاع المنطقة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون الأقراص المدارة مرنة في المنطقة | يمكن تكوين الأقراص المدارة لتكون إما محاذاة المنطقة أو المنطقة المكررة أو لا. الأقراص المدارة مع تعيين منطقة واحدة بالضبط هي محاذاة المنطقة. الأقراص المدارة مع اسم sku الذي ينتهي ب ZRS هي المنطقة المكررة. يساعد هذا النهج في تحديد وفرض تكوينات المرونة هذه للأقراص المدارة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون بوابة NAT محاذاة المنطقة | يمكن تكوين بوابة NAT لتكون محاذاة المنطقة أم لا. تعتبر بوابة NAT التي تحتوي على إدخال واحد بالضبط في صفيف المناطق الخاصة بها محاذاة المنطقة. يضمن هذا النهج تكوين بوابة NAT للعمل داخل منطقة توفر واحدة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون عناوين IP العامة مرنة في المنطقة | يمكن تكوين عناوين IP العامة لتكون إما محاذاة المنطقة أو المنطقة الزائدة عن الحاجة أو لا. تعتبر عناوين IP العامة الإقليمية، مع إدخال واحد بالضبط في صفيف المناطق الخاصة بها محاذاة المنطقة. في المقابل، يتم التعرف على عناوين IP العامة الإقليمية، مع 3 إدخالات أو أكثر في صفيف المناطق الخاصة بها كمنطقة زائدة عن الحاجة. يساعد هذا النهج في تحديد تكوينات المرونة هذه وفرضها. | التدقيق، الرفض، التعطيل | 1.1.0-preview |
| [معاينة]: يجب أن تكون بادئات IP العامة مرنة في المنطقة | يمكن تكوين بادئات IP العامة لتكون إما Zone Aligned أو Zone Redundant أو أي منهما. تعتبر بادئات IP العامة التي تحتوي على إدخال واحد بالضبط في صفيف المناطق الخاصة بها محاذاة المنطقة. في المقابل، يتم التعرف على بادئات IP العامة مع 3 إدخالات أو أكثر في صفيف المناطق الخاصة بها كمنطقة زائدة عن الحاجة. يساعد هذا النهج في تحديد تكوينات المرونة هذه وفرضها. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن يكون ناقل خدمة Microsoft Azure متكررا في المنطقة | يمكن تكوين ناقل خدمة Microsoft Azure ليكون زائدا عن الحاجة في المنطقة أم لا. عند تعيين الخاصية "zoneRedundant" إلى "false" لناقل خدمة Microsoft Azure، فهذا يعني أنه لم يتم تكوينها لتكرار المنطقة. يحدد هذا النهج ويفرض تكوين تكرار المنطقة لمثيلات ناقل خدمة Microsoft Azure. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون مجموعات Service Fabric متكررة في المنطقة | يمكن تكوين مجموعات Service Fabric لتكون متكررة في المنطقة أم لا. مجموعات Servicefabric التي لا تحتوي nodeType الخاصة بها على multipleAvailabilityZones معينة إلى true ليست زائدة عن الحاجة في المنطقة. يحدد هذا النهج أنظمة مجموعات Servicefabric التي تفتقر إلى التكرار اللازم لتحمل انقطاع المنطقة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون قواعد بيانات SQL متكررة في المنطقة | يمكن تكوين قواعد بيانات SQL لتكون المنطقة زائدة عن الحاجة أم لا. لم يتم تكوين قواعد البيانات التي تم تعيين إعداد "zoneRedundant" عليها إلى "false" لتكرار المنطقة. يساعد هذا النهج في تحديد قواعد بيانات SQL التي تحتاج إلى تكوين تكرار المنطقة لتحسين التوفر والمرونة داخل Azure. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون تجمعات قاعدة بيانات SQL Elastic متكررة في المنطقة | يمكن تكوين تجمعات قاعدة بيانات SQL Elastic لتكون متكررة في المنطقة أم لا. تجمعات قاعدة بيانات SQL Elastic هي المنطقة المكررة إذا تم تعيين خاصية 'zoneRedundant' إلى 'true'. يساعد فرض هذا النهج على ضمان تكوين مراكز الأحداث بشكل مناسب لمرونة المنطقة، ما يقلل من مخاطر التوقف أثناء انقطاع المنطقة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون مثيلات SQL المدارة متكررة في المنطقة | يمكن تكوين مثيلات SQL المدارة لتكون متكررة في المنطقة أم لا. لم يتم تكوين المثيلات التي تم تعيين الإعداد "zoneRedundant" على "false" لتكرار المنطقة. يساعد هذا النهج في تحديد مثيلات SQL المدارة التي تحتاج إلى تكوين تكرار المنطقة لتحسين التوفر والمرونة داخل Azure. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون حسابات التخزين زائدة عن الحاجة في المنطقة | يمكن تكوين حسابات التخزين لتكون المنطقة زائدة عن الحاجة أم لا. إذا كان اسم SKU لحساب التخزين لا ينتهي ب "ZRS" أو كان نوعه "تخزين"، فهو ليس تكرارا للمنطقة. يضمن هذا النهج أن حسابات التخزين الخاصة بك تستخدم تكوين المنطقة المتكررة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون مجموعات مقياس الجهاز الظاهري مرنة في المنطقة | يمكن تكوين مجموعات مقياس الجهاز الظاهري لتكون إما محاذاة المنطقة أو المنطقة الزائدة عن الحاجة أو لا. تعتبر مجموعات مقياس الجهاز الظاهري التي تحتوي على إدخال واحد بالضبط في صفيف المناطق الخاصة بها محاذاة المنطقة. في المقابل، يتم التعرف على مجموعات مقياس الجهاز الظاهري مع 3 إدخالات أو أكثر في صفيف المناطق الخاصة بها وسعة 3 على الأقل كمنطقة زائدة عن الحاجة. يساعد هذا النهج في تحديد تكوينات المرونة هذه وفرضها. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون الأجهزة الظاهرية محاذاة المنطقة | يمكن تكوين الأجهزة الظاهرية لتكون محاذاة المنطقة أم لا. تعتبر محاذاة المنطقة إذا كان لديهم إدخال واحد فقط في صفيف المناطق الخاصة بهم. يضمن هذا النهج تكوينها للعمل داخل منطقة توفر واحدة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون بوابات الشبكة الظاهرية متكررة في المنطقة | يمكن تكوين بوابات الشبكة الظاهرية لتكون المنطقة زائدة عن الحاجة أم لا. بوابات الشبكة الظاهرية التي لا ينتهي اسم SKU أو مستوىها ب "AZ" ليست متكررة في المنطقة. يحدد هذا النهج بوابات الشبكة الظاهرية التي تفتقر إلى التكرار اللازم لتحمل انقطاع المنطقة. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
بحث
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص | مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل خدمات Azure Cognitive Search الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض خدمة Azure Cognitive Search على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض خدمة البحث. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يتعين أن يكون لدى خدمات Azure Cognitive Search طرق مصادقة محلية معطلة | يؤدي تعطيل طرق المصادقة المحلية إلى تحسين الأمان من خلال ضمان أن تتطلب مساحات أسماء ناقل خدمة Microsoft Azure حصريًا هويات Microsoft Azure Active Directory للمصادقة. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/rbac. لاحظ أنه في حين أن معلمة تعطيل المصادقة المحلية لا تزال قيد المعاينة، فقد يؤدي تأثير الرفض لهذا النهج إلى وظيفة مدخل Azure Cognitive Search محدودة نظرا لأن بعض ميزات المدخل تستعمل واجهة برمجة تطبيقات GA التي لا تدعم المعلمة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم حسابات Azure Cosmos DB المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يتيح تمكين التشفير في حالة الراحة باستخدام مفتاح يديره العميل على خدمات البحث المعرفي Azure التحكم الإضافي في المفتاح المستخدم لتشفير البيانات في حالة الراحة. غالبًا ما تنطبق هذه الميزة على العملاء الذين لديهم متطلبات امتثال خاصة لإدارة مفاتيح تشفير البيانات باستخدام قبو المفاتيح. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يتعين أن تعطل حسابات الخدمات المعرفية الوصول إلى الشبكة العامة | قم بتعطيل طرق المصادقة المحلية حتى تتطلب مساحات أسماء ناقل خدمة Microsoft Azure حصرياً هويات Microsoft Azure Active Directory للمصادقة. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/rbac. | تعديل، تعطيل | 1.0.0 |
| يجب أن تعطل حسابات الخدمات المعرفية الوصول إلى الشبكة العامة | تعطيل الوصول إلى الشبكة العامة لخدمة البحث المعرفي Azure بحيث لا يمكن الوصول إليها عبر الإنترنت العام. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | تعديل، تعطيل | 1.0.0 |
| تكوين خدمات البحث المعرفي Azure لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة DNS خاصة بالشبكة الظاهرية لحلها بخدمة البحث المعرفي Azure. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين خدمات البحث المعرفي Azure مع نقاط النهاية الخاصة | تقوم نقاط النهاية الخاصة بتوصيل الشبكة الظاهرية بخدمات Azure بدون العنوان العام لـ IP في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث المعرفي Azure، يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists، معطل | 1.0.0 |
| يجب تمكين سجلات الموارد في خدمات البحث | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
Security Center
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب تثبيت عامل أمان Azure على أجهزة Linux Arc | قم بتثبيت عامل أمان Azure على أجهزة Linux Arc لمراقبة أجهزتك بحثًا عن تكوينات الأمان والثغرات الأمنية. يمكن رؤية نتائج التقييمات وإدارتها في مركز أمان Azure. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تثبيت عامل أمان Azure على مجموعات مقياس الجهاز الظاهري Linux | قم بتثبيت عامل أمان Azure على مجموعات مقاييس أجهزة Linux الظاهرية لمراقبة أجهزتك بحثًا عن تكوينات الأمان والثغرات الأمنية. يمكن رؤية نتائج التقييمات وإدارتها في مركز أمان Azure. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: يجب تثبيت عامل أمان Azure على أجهزة Linux الظاهرية | قم بتثبيت عامل أمان Azure على أجهزة Linux الظاهرية لمراقبة أجهزتك بحثًا عن تكوينات الأمان والثغرات الأمنية. يمكن رؤية نتائج التقييمات وإدارتها في مركز أمان Azure. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: يجب تثبيت عامل أمان Azure على أجهزة Windows Arc | قم بتثبيت عامل أمان Azure على أجهزة Windows Arc لمراقبة أجهزتك بحثًا عن تكوينات الأمان والثغرات الأمنية. يمكن رؤية نتائج التقييمات وإدارتها في مركز أمان Azure. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تثبيت عامل أمان Azure على مجموعات مقياس الجهاز الظاهري ل Windows | قم بتثبيت عامل أمان Azure على مجموعات مقاييس أجهزة Windows الظاهرية لمراقبة أجهزتك بحثًا عن تكوينات الأمان والثغرات الأمنية. يمكن رؤية نتائج التقييمات وإدارتها في مركز أمان Azure. | AuditIfNotExists، معطل | -preview 2.1.0 |
| [معاينة]: يجب تثبيت عامل أمان Azure على الأجهزة الظاهرية التي تعمل بنظام Windows | قم بتثبيت عامل أمان Azure على أجهزة Windows الظاهرية لمراقبة أجهزتك بحثًا عن تكوينات الأمان والثغرات الأمنية. يمكن رؤية نتائج التقييمات وإدارتها في مركز أمان Azure. | AuditIfNotExists، معطل | -preview 2.1.0 |
| [معاينة]: يجب تثبيت ملحق ChangeTracking على جهاز Linux Arc | قم بتثبيت ملحق ChangeTracking على أجهزة Linux Arc لتمكين مراقبة تكامل الملفات (FIM) في Azure Security Center. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitoring Agent. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق ChangeTracking على جهازك الظاهري الذي يعمل بنظام Linux | قم بتثبيت ملحق ChangeTracking على أجهزة Linux الظاهرية لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitoring Agent. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق ChangeTracking على مجموعات مقياس الجهاز الظاهري Linux | قم بتثبيت ملحق ChangeTracking على مجموعات مقياس أجهزة Linux الظاهرية لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitoring Agent. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق ChangeTracking على جهاز Windows Arc | قم بتثبيت ملحق ChangeTracking على أجهزة Windows Arc لتمكين مراقبة تكامل الملفات (FIM) في Azure Security Center. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitoring Agent. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق ChangeTracking على جهازك الظاهري الذي يعمل بنظام Windows | قم بتثبيت ملحق ChangeTracking على أجهزة Windows الظاهرية لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitoring Agent. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق ChangeTracking على مجموعات مقياس الجهاز الظاهري ل Windows | قم بتثبيت ملحق ChangeTracking على مجموعات مقياس أجهزة Windows الظاهرية لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitoring Agent. | AuditIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين Azure Defender لعامل SQL على الجهاز الظاهري | تكوين أجهزة Windows لتثبيت Azure Defender لوكيل SQL تلقائيًا حيث تم تثبيت Azure Monitor Agent. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يُنشئ مجموعة موارد ومساحة عمل تحليلات السجل في نفس منطقة الجهاز. يجب أن تكون الأجهزة الظاهرية المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين ChangeTracking Extension لأجهزة Linux Arc | قم بتكوين أجهزة Linux Arc لتثبيت ملحق ChangeTracking تلقائياً لتمكين File Integrity Monitoring(FIM) في Azure Security Center. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitor Agent. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين ChangeTracking Extension لمجموعات مقياس الجهاز الظاهري Linux | قم بتكوين مجموعات مقياس جهاز Linux الظاهري لتثبيت ملحق ChangeTracking تلقائياً لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitor Agent. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين ChangeTracking Extension لأجهزة Linux الظاهرية | قم بتكوين أجهزة Linux الظاهرية لتثبيت ملحق ChangeTracking تلقائياً لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitor Agent. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين ChangeTracking Extension لأجهزة Windows Arc | قم بتكوين أجهزة Windows Arc لتثبيت ملحق ChangeTracking تلقائياً لتمكين File Integrity Monitoring(FIM) في Azure Security Center. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitor Agent. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين ChangeTracking Extension لمجموعات مقياس الجهاز الظاهري ل Windows | قم بتكوين مجموعات مقياس جهاز Windows الظاهري لتثبيت ملحق ChangeTracking تلقائياً لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitor Agent. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين ChangeTracking Extension للأجهزة الظاهرية التي تعمل بنظام Windows | قم بتكوين أجهزة Windows الظاهرية لتثبيت ملحق ChangeTracking تلقائياً لتمكين مراقبة تكامل الملفات (FIM) في مركز أمان Azure. يفحص FIM ملفات نظام التشغيل، وسجلات Windows، وبرامج التطبيقات، وملفات نظام Linux، والمزيد بحثاً عن التغييرات التي قد تشير إلى وجود هجوم. يمكن تثبيت الملحق في الأجهزة الظاهرية والمواقع التي يدعمها Azure Monitor Agent. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين أجهزة Linux Arc المدعومة لتثبيت عامل أمان Azure تلقائيا | تكوين أجهزة Linux Arc المدعومة لتثبيت عامل أمان Azure تلقائيًا. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يجب أن تكون أجهزة Linux Arc المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين مجموعات مقياس الجهاز الظاهري ل Linux المدعومة لتثبيت عامل أمان Azure تلقائيا | تكوين مجموعات مقاييس أجهزة Linux الظاهرية المدعومة لتثبيت عامل أمان Azure تلقائيًا. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يجب أن تكون الأجهزة الظاهرية المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين مجموعات مقياس الجهاز الظاهري ل Linux المدعومة لتثبيت ملحق Guest Attestation تلقائيا | تكوين مجموعات مقياس أجهزة Linux الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيًا للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | 6.1.0-إصدار أولي |
| [معاينة]: تكوين أجهزة Linux الظاهرية المدعومة لتمكين التمهيد الآمن تلقائيا | تكوين أجهزة Linux الظاهرية المدعومة لتمكين التمهيد الآمن تلقائيًا للتخفيف من التغييرات الضارة وغير المصرح بها لسلسلة التمهيد. بمجرد التمكين، سيتم السماح بتشغيل أدوات تحميل التشغيل وkernel وبرامج تشغيله فقط. | DeployIfNotExists، معطل | معاينة 5.0.0 |
| [معاينة]: تكوين أجهزة Linux الظاهرية المدعومة لتثبيت عامل أمان Azure تلقائيا | تكوين أجهزة Linux الظاهرية المدعومة لتثبيت وكيل Azure Security تلقائيًا. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يجب أن تكون الأجهزة الظاهرية المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | 7.0.0-معاينة |
| [معاينة]: تكوين أجهزة Linux الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيا | تكوين أجهزة Linux الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيًا للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | 7.1.0-معاينة |
| [معاينة]: تكوين الأجهزة الظاهرية المدعومة لتمكين vTPM تلقائيا | تكوين الأجهزة الظاهرية المدعومة لتمكين vTPM تلقائيًا لتسهيل Measured Boot وميزات أمان نظام التشغيل الأخرى التي تتطلب TPM. بمجرد تمكين vTPM يمكن استخدامها لتشهد تكامل التمهيد. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين أجهزة Windows Arc المدعومة لتثبيت عامل أمان Azure تلقائيا | تكوين أجهزة Windows Arc المدعومة لتثبيت عامل أمان Azure تلقائيًا. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يجب أن تكون أجهزة Windows Arc المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين أجهزة Windows المدعومة لتثبيت عامل أمان Azure تلقائيا | تكوين أجهزة Windows المدعومة لتثبيت وكيل Azure Security تلقائيًا. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يجب أن تكون الأجهزة الظاهرية المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | معاينة 5.1.0 |
| [معاينة]: تكوين مجموعات مقياس الجهاز الظاهري ل Windows المدعومة لتثبيت عامل أمان Azure تلقائيا | تكوين مجموعات مقاييس أجهزة Windows الظاهرية المدعومة لتثبيت عامل أمان Azure تلقائيًا. يجمع Security Center الأحداث من الوكيل، ويستخدمها لتقديم تنبيهات أمنية ومهام تقوية مخصصة (توصيات). يجب أن تكون مجموعات مقاييس أجهزة Windows الظاهرية المستهدفة في موقع مدعوم. | DeployIfNotExists، معطل | -preview 2.1.0 |
| [معاينة]: تكوين مجموعات مقياس الجهاز الظاهري ل Windows المدعومة لتثبيت ملحق Guest Attestation تلقائيا | تكوين مجموعات مقياس أجهزة Windows الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيًا للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | معاينة 4.1.0 |
| [معاينة]: تكوين أجهزة Windows الظاهرية المدعومة لتمكين التمهيد الآمن تلقائيا | تكوين أجهزة Windows الظاهرية المدعومة لتمكين التمهيد الآمن تلقائيًا للتخفيف من التغييرات الضارة وغير المصرح بها لسلسلة التمهيد. بمجرد التمكين، سيتم السماح بتشغيل أدوات تحميل التشغيل وkernel وبرامج تشغيله فقط. | DeployIfNotExists، معطل | 3.0.0 - المعاينة |
| [معاينة]: تكوين أجهزة Windows الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيا | تكوين أجهزة Windows الظاهرية المدعومة لتثبيت ملحق Guest Attestation تلقائيًا للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | معاينة 5.1.0 |
| [معاينة]: تكوين الأجهزة الظاهرية التي تم إنشاؤها باستخدام صور معرض الصور المشتركة لتثبيت ملحق Guest Attestation | قم بتكوين الأجهزة الظاهرية التي تم إنشاؤها باستخدام صور Shared Image Gallery لتثبيت ملحق Guest Attestation تلقائياً للسماح لمركز أمان Azure بالتصديق على تكامل التشغيل ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | 2.0.0-المعاينة |
| [معاينة]: تكوين VMSS الذي تم إنشاؤه باستخدام صور معرض الصور المشتركة لتثبيت ملحق Guest Attestation | قم بتكوين مجموعات مقياس الأجهزة الظاهرية (VMSS) التي تم إنشاؤها باستخدام صور Shared Image Gallery لتثبيت ملحق Guest Attestation تلقائياً للسماح لمركز أمان Azure بالتصديق على تكامل التشغيل ومراقبته بشكل استباقي. يتم التحقق من تكامل التمهيد من خلال Remote Attestation. | DeployIfNotExists، معطل | -preview 2.1.0 |
| [معاينة]: نشر عامل Microsoft Defender لنقطة النهاية على أجهزة Linux المختلطة | يوزع عامل Microsoft Defender for Endpoint نقطة النهاية على أجهزة Linux المختلطة | DeployIfNotExists، AuditIfNotExists، معطل | 2.0.1-معاينة |
| [معاينة]: نشر عامل Microsoft Defender لنقطة النهاية على أجهزة Linux الظاهرية | يوزع عامل Microsoft Defender لنقطة النهاية على صور جهاز Linux الظاهري القابلة للتطبيق. | DeployIfNotExists، AuditIfNotExists، معطل | 3.0.0 - المعاينة |
| [معاينة]: نشر عامل Microsoft Defender لنقطة النهاية على أجهزة Windows Azure Arc | يوزع Microsoft Defender for Endpoint على أجهزة Windows Azure Arc. | DeployIfNotExists، AuditIfNotExists، معطل | 2.0.1-معاينة |
| [معاينة]: نشر عامل Microsoft Defender لنقطة النهاية على أجهزة Windows الظاهرية | يوزع Microsoft Defender لنقطة النهاية على صور أجهزة Windows الظاهرية القابلة للتطبيق. | DeployIfNotExists، AuditIfNotExists، معطل | 2.0.1-معاينة |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على أجهزة Linux الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على أجهزة التشغيل الموثوقة وLinux الظاهرية السرية. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس أجهزة Linux الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على مجموعات مقياس أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري Trusted Launch و Confidential Linux. | AuditIfNotExists، معطل | معاينة 5.1.0 |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على الأجهزة Windows الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية. | AuditIfNotExists، معطل | معاينة 4.0.0 |
| [معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس الأجهزة Windows الظاهرية المعتمدة | قم بتثبيت ملحق Guest Attestation على مجموعات مقياس الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري الموثوق بها وWindows السرية. | AuditIfNotExists، معطل | 3.1.0-المعاينة |
| [معاينة]: يجب أن تستخدم أجهزة Linux الظاهرية مكونات التمهيد الموقعة والموثوق بها فقط | يجب توقيع جميع مكونات تمهيد نظام التشغيل (محمل التمهيد، النواة، برامج تشغيل النواة) من قبل ناشرين موثوق بهم. حدد Defender for Cloud مكونات تمهيد نظام التشغيل غير الموثوق بها على واحد أو أكثر من أجهزة Linux الخاصة بك. لحماية أجهزتك من المكونات الضارة المحتملة، أضفها إلى قائمة السماح أو قم بإزالة المكونات المحددة. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تستخدم أجهزة Linux الظاهرية التمهيد الآمن | للحماية من تثبيت أدوات التشغيل الجذرية ومجموعات التمهيد المستندة إلى البرامج الضارة، قم بتمكين Secure Boot على أجهزة Linux الافتراضية المدعومة. يضمن Secure Boot السماح بتشغيل أنظمة التشغيل وبرامج التشغيل الموقعة فقط. ينطبق هذا التقييم فقط على أجهزة Linux الظاهرية التي تم تثبيت Azure Monitor Agent عليها. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب أن يكون لدى الأجهزة منافذ مغلقة قد تعرض ناقلات الهجوم | تحظر شروط استخدام Azure استخدام خدمات Azure بطرق قد تؤدي إلى إتلاف أو تعطيل أو زيادة العبء أو الإضرار بأي خادم أو شبكة Microsoft. يجب إغلاق المنافذ المكشوفة التي حددتها هذه التوصية للحفاظ على أمانك. وتقدم التوصية أيضاً تفسيراً للتهديد المحتمل لكل منفذ محدد. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تمكين التشغيل الآمن على الأجهزة Windows الظاهرية المعتمدة | قم بتمكين التمهيد الآمن على أجهزة Windows الظاهرية المدعومة؛ للتخفيف من التغييرات الضارة وغير المصرح بها لسلسلة التمهيد. بمجرد التمكين، سيتم السماح بتشغيل أدوات تحميل التشغيل وkernel وبرامج تشغيله فقط. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية. | المراجعة، معطلة | معاينة 4.0.0 |
| [إصدار أولي]: يجب تثبيت تحديثات النظام على الأجهزة الخاصة بك (مدعومة من مركز التحديث) | تفتقد أجهزتك إلى النظام والأمان والتحديثات الهامة. غالبًا ما تتضمن تحديثات البرامج تصحيحات حرجة لثقوب الأمان. يتم استغلال هذه الثقوب في كثير من الأحيان في هجمات البرامج الضارة لذلك من الضروري الحفاظ على تحديث برنامجك. لتثبيت جميع التصحيحات المعلقة وتأمين أجهزتك، اتبع خطوات المعالجة. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تكون حالة إثبات ضيف الأجهزة الظاهرية سليمة | يتم إجراء تصديق الضيف عن طريق إرسال سجل موثوق به (TCGLog) إلى خادم تصديق. يستخدم الخادم هذه السجلات لتحديد ما إذا كانت مكونات التمهيد جديرة بالثقة. يهدف هذا التقييم إلى اكتشاف الاختراقات في سلسلة التمهيد التي قد تكون نتيجة التعرض إلى bootkit أو rootkit. ينطبق هذا التقييم فقط على الأجهزة الظاهرية التي تم تمكين Trusted Launch عليها، والتي تم تثبيت ملحق Guest Attestation عليها. | AuditIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب تمكين vTPM على الأجهزة الظاهرية المعتمدة | تمكين جهاز TPM الظاهري على الأجهزة الظاهرية المدعومة لتسهيل Measured Boot، وميزات أمان نظام التشغيل الأخرى التي تتطلب TPM. بمجرد تمكين vTPM يمكن استخدامها لتشهد تكامل التمهيد. ينطبق هذا التقييم فقط على الأجهزة الظاهرية الموثوق بها التي تم تمكينها من التشغيل. | المراجعة، معطلة | 2.0.0-المعاينة |
| يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك | تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت | يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل | AuditIfNotExists، معطل | 3.0.0 |
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي | راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية. | AuditIfNotExists، معطل | 3.0.0 |
| يجب مصادقة نقاط نهاية واجهة برمجة التطبيقات في Azure API Management | يجب أن تفرض نقاط نهاية واجهة برمجة التطبيقات المنشورة داخل Azure API Management المصادقة للمساعدة في تقليل مخاطر الأمان. يتم أحيانا تنفيذ آليات المصادقة بشكل غير صحيح أو مفقودة. يسمح هذا للمهاجمين باستغلال عيوب التنفيذ والوصول إلى البيانات. تعرف على المزيد حول تهديد واجهة برمجة تطبيقات OWASP لمصادقة المستخدم المعطلة هنا: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists، معطل | 1.0.1 |
| يجب تعطيل نقاط نهاية واجهة برمجة التطبيقات غير المستخدمة وإزالتها من خدمة Azure API Management | كأفضل ممارسة أمان، تعتبر نقاط نهاية واجهة برمجة التطبيقات التي لم تتلق نسبة استخدام الشبكة لمدة 30 يوما غير مستخدمة ويجب إزالتها من خدمة إدارة واجهة برمجة تطبيقات Azure. قد يشكل الاحتفاظ بنقاط نهاية واجهة برمجة التطبيقات غير المستخدمة خطرا أمنيا على مؤسستك. قد تكون هذه واجهات برمجة التطبيقات التي كان يجب إهمالها من خدمة Azure API Management ولكن قد تكون تركت نشطة عن طريق الخطأ. لا تتلقى واجهات برمجة التطبيقات هذه عادة أحدث تغطية أمنية. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes | قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة. | المراجعة، معطلة | 2.0.1 |
| يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك | لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين Azure DDoS Protection | يجب تمكين حماية DDoS لجميع الشبكات الظاهرية مع شبكة فرعية تعد جزءا من بوابة تطبيق مع IP عام. | AuditIfNotExists، معطل | 3.0.1 |
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر | يكتشف Azure Defender لقواعد البيانات العلائقية مفتوحة المصدر الأنشطة الشاذة التي تشير إلى محاولات غير عادية، وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. تعرف على المزيد حول قدرات Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر في https://aka.ms/AzDforOpenSourceDBsDocu. مهم: سيؤدي تمكين هذه الخطة إلى فرض رسوم على حماية قواعد البيانات العلائقية مفتوحة المصدر. تعرف على الأسعار في صفحة التسعير الخاصة بمركز الأمان: https://aka.ms/pricing-security-center | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for SQL لخوادم PostgreSQL المرنة غير المحمية | تدقيق خوادم PostgreSQL المرنة دون أمان البيانات المتقدم | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تحتوي صور حاوية سجل Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender) | يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. يمكن أن يؤدي حل الثغرات الأمنية إلى تحسين وضع الأمان بشكل كبير، مما يضمن أن الصور آمنة للاستخدام قبل النشر. | AuditIfNotExists، معطل | 1.0.1 |
| يجب استخدام Azure Role-Based Access Control (RBAC) على خدمات Kubernetes | لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم Azure Role-Based Access Control (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة. | المراجعة، معطلة | 1.0.3 |
| يجب أن تحتوي صور الحاوية قيد التشغيل في Azure على ثغرات أمنية تم حلها (مدعومة من إدارة الثغرات الأمنية في Microsoft Defender) | يفحص تقييم الثغرات الأمنية لصورة الحاوية السجل بحثا عن الثغرات الأمنية المعروفة (CVEs) ويوفر تقريرا مفصلا عن الثغرات الأمنية لكل صورة. توفر هذه التوصية رؤية للصور الضعيفة التي تعمل حاليا في مجموعات Kubernetes الخاصة بك. معالجة الثغرات الأمنية في صور الحاوية التي يتم تشغيلها حاليا هو المفتاح لتحسين وضع الأمان الخاص بك، ما يقلل بشكل كبير من سطح الهجوم لأحمال العمل المعبأة في حاويات. | AuditIfNotExists، معطل | 1.0.1 |
| يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure | يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تكوين مثيلات دور الخدمات السحابية (الدعم الموسع) بشكل آمن | قم بحماية مثيلات دور الخدمة السحابية (الدعم الممتد) من الهجمات من خلال ضمان عدم تعرضها لأي ثغرات أمنية في نظام التشغيل. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تحتوي مثيلات دور الخدمات السحابية (الدعم الموسع) على حل حماية نقطة نهاية مثبت | قم بحماية مثيلات دور الخدمات السحابية (الدعم الممتد) من التهديدات، ونقاط الضعف من خلال ضمان تثبيت حل حماية نقطة النهاية عليها. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تحتوي مثيلات دور الخدمات السحابية (الدعم الموسع) على تحديثات النظام مثبتة | قم بتأمين مثيلات دور الخدمات السحابية (الدعم الممتد) من خلال ضمان تثبيت أحدث تحديثات الأمان والتحديثات الهامة عليها. | AuditIfNotExists، معطل | 1.0.0 |
| تكوين الحماية المتقدمة من التهديدات ليتم تمكينها على قاعدة بيانات Azure لخوادم MySQL المرنة | تمكين الحماية المتقدمة من التهديدات على قاعدة بيانات Azure لخوادم MySQL المرنة للكشف عن الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين الحماية المتقدمة من التهديدات ليتم تمكينها على قاعدة بيانات Azure لخوادم PostgreSQL المرنة | تمكين الحماية المتقدمة من التهديدات على قاعدة بيانات Azure لخوادم PostgreSQL المرنة للكشف عن الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين خوادم SQL الممكنة بواسطة Arc لتثبيت عامل Azure Monitor تلقائيا | أتمتة نشر ملحق Azure Monitor Agent على خوادم SQL التي تدعم Windows Arc. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 1.3.0 |
| تكوين خوادم SQL الممكنة بواسطة Arc لتثبيت Microsoft Defender ل SQL تلقائيا | تكوين خوادم SQL التي تدعم Windows Arc لتثبيت Microsoft Defender لعامل SQL تلقائيا. يجمع Microsoft Defender for SQL الأحداث من العامل ويستخدمها لتوفير تنبيهات الأمان ومهام التصلب المخصصة (التوصيات). | DeployIfNotExists، معطل | 1.2.0 |
| تكوين خوادم SQL الممكنة بواسطة Arc لتثبيت Microsoft Defender ل SQL وDCR تلقائيا باستخدام مساحة عمل Log Analytics | يجمع Microsoft Defender for SQL الأحداث من العامل ويستخدمها لتوفير تنبيهات الأمان ومهام التصلب المخصصة (التوصيات). إنشاء مجموعة موارد وقاعدة تجميع بيانات ومساحة عمل Log Analytics في نفس المنطقة مثل الجهاز. | DeployIfNotExists، معطل | 1.3.0 |
| تكوين خوادم SQL الممكنة بواسطة Arc لتثبيت Microsoft Defender for SQL وDCR تلقائيا باستخدام مساحة عمل LA المعرفة من قبل المستخدم | يجمع Microsoft Defender for SQL الأحداث من العامل ويستخدمها لتوفير تنبيهات الأمان ومهام التصلب المخصصة (التوصيات). إنشاء مجموعة موارد وقاعدة تجميع بيانات في نفس المنطقة مثل مساحة عمل Log Analytics المعرفة من قبل المستخدم. | DeployIfNotExists، معطل | 1.4.0 |
| تكوين خوادم SQL الممكنة بواسطة Arc مع اقتران قاعدة تجميع البيانات إلى Microsoft Defender ل SQL DCR | تكوين الاقتران بين خوادم SQL الممكنة بواسطة Arc وMicrosoft Defender ل SQL DCR. سيؤدي حذف هذا الاقتران إلى قطع الكشف عن الثغرات الأمنية لخوادم SQL الممكنة بواسطة Arc. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين خوادم SQL الممكنة بواسطة Arc مع اقتران قاعدة تجميع البيانات إلى Microsoft Defender for SQL DCR المعرف من قبل المستخدم | تكوين الاقتران بين خوادم SQL الممكنة بواسطة Arc وMicrosoft Defender for SQL الذي يحدده المستخدم DCR. سيؤدي حذف هذا الاقتران إلى قطع الكشف عن الثغرات الأمنية لخوادم SQL الممكنة بواسطة Arc. | DeployIfNotExists، معطل | 1.2.0 |
| تكوين Azure Defender for App Service ليتم تمكينه | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين Azure Defender لقاعدة بيانات Azure SQL ليتم تمكينها | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | DeployIfNotExists، معطل | 1.0.1 |
| يجب تمكين Azure Defender لقواعد البيانات العلائقية مفتوحة المصدر | يكتشف Azure Defender لقواعد البيانات العلائقية مفتوحة المصدر الأنشطة الشاذة التي تشير إلى محاولات غير عادية، وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. تعرف على المزيد حول قدرات Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر في https://aka.ms/AzDforOpenSourceDBsDocu. مهم: سيؤدي تمكين هذه الخطة إلى فرض رسوم على حماية قواعد البيانات العلائقية مفتوحة المصدر. تعرف على الأسعار في صفحة التسعير الخاصة بمركز الأمان: https://aka.ms/pricing-security-center | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Azure Defender ل Resource Manager ليتم تمكينه | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين Azure Defender للخوادم التي سيتم تمكينها | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين Azure Defender لخوادم SQL على الأجهزة التي سيتم تمكينها | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين Microsoft Defender الأساسي للتخزين ليتم تمكينه (مراقبة النشاط فقط) | Microsoft Defender for Storage هي طبقة Azure أصلية من معلومات الأمان التي تكتشف التهديدات المحتملة لحسابات التخزين الخاصة بك. سيمكن هذا النهج قدرات Defender for Storage الأساسية (مراقبة النشاط). لتمكين الحماية الكاملة، والتي تتضمن أيضا فحص البرامج الضارة عند التحميل والكشف عن تهديدات البيانات الحساسة، استخدم نهج التمكين الكامل: aka.ms/DefenderForStoragePolicy. لمعرفة المزيد حول قدرات ومزايا Defender for Storage، تفضل بزيارة aka.ms/DefenderForStorage. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين الأجهزة لاستلام موفر تقييم الثغرات الأمنية | يتضمن Azure Defender فحص الثغرات الأمنية لأجهزتك دون أي تكلفة إضافية. لا تحتاج إلى ترخيص Qualys أو حتى حساب Qualys - يتم التعامل مع كل شيء بسلاسة داخل Security Center. عند تمكين هذا النهج، يقوم Azure Defender تلقائيًا بتوزيع موفر تقييم الثغرات الأمنية Qualys على جميع الأجهزة المدعومة التي لم يتم تثبيته عليها بالفعل. | DeployIfNotExists، معطل | 4.0.0 |
| تكوين خطة Microsoft إدارة وضع الأمان السحابي في Defender | توفر Defender Cloud Security Posture Management (CSPM) قدرات وضع محسنة ورسما بيانيا ذكيا جديدا للأمان السحابي للمساعدة في تحديد المخاطر وتحديد أولوياتها وتقليلها. يتوفر إدارة وضع الأمان السحابي في Defender بالإضافة إلى قدرات وضع الأمان الأساسية المجانية التي يتم تشغيلها بشكل افتراضي في Defender for Cloud. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Microsoft إدارة وضع الأمان السحابي في Defender ليتم تمكينه | توفر Defender Cloud Security Posture Management (CSPM) قدرات وضع محسنة ورسما بيانيا ذكيا جديدا للأمان السحابي للمساعدة في تحديد المخاطر وتحديد أولوياتها وتقليلها. يتوفر إدارة وضع الأمان السحابي في Defender بالإضافة إلى قدرات وضع الأمان الأساسية المجانية التي يتم تشغيلها بشكل افتراضي في Defender for Cloud. | DeployIfNotExists، معطل | 1.0.2 |
| تكوين Microsoft Defender لـ Azure Cosmos DB ليتم تمكينه | يعد Microsoft Defender لـ Azure Cosmos DB طبقة أمان أصلية من Azure تكتشف محاولات استغلال قواعد البيانات في حسابات Azure Cosmos DB الخاصة بك. يكتشف Defender for Azure Cosmos DB عمليات إدخال SQL المحتملة والعناصر السيئة المعروفة استناداً إلى Microsoft Threat Intelligence وأنماط الوصول المشبوهة والاستغلال المحتمل لقاعدة البيانات الخاصة بك من خلال الهويات المخترقة أو المطلعين الضارين. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين خطة Microsoft Defender for Containers | تتم إضافة قدرات جديدة باستمرار إلى خطة Defender for Containers، والتي قد تتطلب تمكينا صريحا للمستخدم. استخدم هذا النهج للتأكد من تمكين جميع الإمكانات الجديدة. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Microsoft Defender للحاويات ليتم تمكينها | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | DeployIfNotExists، معطل | 1.0.1 |
| تكوين إعدادات تكامل Microsoft Defender لنقطة النهاية مع Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | تكوين إعدادات تكامل Microsoft Defender لنقطة النهاية، داخل Microsoft Defender for Cloud (المعروف أيضا باسم WDATP_EXCLUDE_LINUX_...)، لتمكين التوفير التلقائي ل MDE لخوادم Linux. يجب تشغيل إعداد WDATP لتطبيق هذا الإعداد. راجع: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint لمزيد من المعلومات. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين إعدادات تكامل Microsoft Defender لنقطة النهاية مع Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) | تكوين إعدادات تكامل Microsoft Defender لنقطة النهاية، ضمن Microsoft Defender for Cloud (المعروف أيضا باسم WDATP_UNIFIED_SOLUTION)، لتمكين التوفير التلقائي للعامل الموحد MDE ل Windows Server 2012R2 و2016. يجب تشغيل إعداد WDATP لتطبيق هذا الإعداد. راجع: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint لمزيد من المعلومات. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين إعدادات تكامل Microsoft Defender لنقطة النهاية مع Microsoft Defender for Cloud (WDATP) | تكوين إعدادات تكامل Microsoft Defender لنقطة النهاية، ضمن Microsoft Defender for Cloud (المعروف أيضا باسم WDATP)، لأجهزة Windows ذات المستوى الأدنى المدمجة في MDE عبر MMA، والتزويد التلقائي ل MDE على Windows Server 2019 وWindows Virtual Desktop وما فوق. يجب أن تكون قيد التشغيل لكي تعمل الإعدادات الأخرى (WDATP_UNIFIED وما إلى ذلك). راجع: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint لمزيد من المعلومات. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين خطة Microsoft Defender for Key Vault | يوفر Microsoft Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية والتي يحتمل أن تكون ضارة للوصول إلى حسابات key vault أو استغلالها. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين خطة Microsoft Defender for Servers | تتم إضافة قدرات جديدة باستمرار إلى Defender for Servers، مما قد يتطلب تمكينا صريحا للمستخدم. استخدم هذا النهج للتأكد من تمكين جميع الإمكانات الجديدة. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Microsoft Defender for SQL ليتم تمكينه على مساحات عمل Synapse | قم بتمكين Microsoft Defender for SQL على مساحات عمل Azure Synapse الخاصة بك لاكتشاف الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد بيانات SQL أو استغلالها. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Microsoft Defender for Storage (كلاسيكي) ليتم تمكينه | يوفر Microsoft Defender for Storage (كلاسيكي) اكتشافات للمحاولات غير العادية والضارة المحتملة للوصول إلى حسابات التخزين أو استغلالها. | DeployIfNotExists، معطل | 1.0.2 |
| تكوين Microsoft Defender for Storage ليتم تمكينه | Microsoft Defender for Storage هي طبقة Azure أصلية من معلومات الأمان التي تكتشف التهديدات المحتملة لحسابات التخزين الخاصة بك. سيمكن هذا النهج جميع قدرات Defender for Storage؛ مراقبة النشاط وفحص البرامج الضارة واكتشاف تهديدات البيانات الحساسة. لمعرفة المزيد حول قدرات ومزايا Defender for Storage، تفضل بزيارة aka.ms/DefenderForStorage. | DeployIfNotExists، معطل | 1.2.0 |
| تكوين أجهزة SQL الظاهرية لتثبيت عامل Azure Monitor تلقائيا | أتمتة نشر ملحق Azure Monitor Agent على أجهزة Windows SQL الظاهرية. اعرف المزيد:https://aka.ms/AMAOverview. | DeployIfNotExists، معطل | 1.3.0 |
| تكوين أجهزة SQL الظاهرية لتثبيت Microsoft Defender ل SQL تلقائيا | تكوين أجهزة Windows SQL الظاهرية لتثبيت ملحق Microsoft Defender for SQL تلقائيا. يجمع Microsoft Defender for SQL الأحداث من العامل ويستخدمها لتوفير تنبيهات الأمان ومهام التصلب المخصصة (التوصيات). | DeployIfNotExists، معطل | 1.3.0 |
| تكوين أجهزة SQL الظاهرية لتثبيت Microsoft Defender ل SQL وDCR تلقائيا باستخدام مساحة عمل Log Analytics | يجمع Microsoft Defender for SQL الأحداث من العامل ويستخدمها لتوفير تنبيهات الأمان ومهام التصلب المخصصة (التوصيات). إنشاء مجموعة موارد وقاعدة تجميع بيانات ومساحة عمل Log Analytics في نفس المنطقة مثل الجهاز. | DeployIfNotExists، معطل | 1.4.0 |
| تكوين أجهزة SQL الظاهرية لتثبيت Microsoft Defender ل SQL وDCR تلقائيا باستخدام مساحة عمل LA المعرفة من قبل المستخدم | يجمع Microsoft Defender for SQL الأحداث من العامل ويستخدمها لتوفير تنبيهات الأمان ومهام التصلب المخصصة (التوصيات). إنشاء مجموعة موارد وقاعدة تجميع بيانات في نفس المنطقة مثل مساحة عمل Log Analytics المعرفة من قبل المستخدم. | DeployIfNotExists، معطل | 1.4.0 |
| تكوين مساحة عمل Microsoft Defender for SQL Log Analytics | يجمع Microsoft Defender for SQL الأحداث من العامل ويستخدمها لتوفير تنبيهات الأمان ومهام التصلب المخصصة (التوصيات). إنشاء مجموعة موارد ومساحة عمل Log Analytics في نفس منطقة الجهاز. | DeployIfNotExists، معطل | 1.2.0 |
| إنشاء هوية مدارة معينة من قبل المستخدم وتعيينها | إنشاء وتعيين هوية مدارة مضمنة يعينها المستخدم على نطاق واسع لأجهزة SQL الظاهرية. | AuditIfNotExists، DeployIfNotExists، مُعطل | 1.4.0 |
| النشر - تكوين قواعد المنع لتنبيهات مركز أمان Azure | قم بإيقاف تنبيهات Azure Security Center لتقليل إجهاد التنبيهات عن طريق نشر قواعد المنع على مجموعة الإدارة أو الاشتراك. | deployIfNotExists | 1.0.0 |
| نشر التصدير إلى Event Hub كخدمة موثوق بها لبيانات Microsoft Defender for Cloud | تمكين التصدير إلى Event Hub كخدمة موثوق بها لبيانات Microsoft Defender for Cloud. ينشر هذا النهج تصديرا إلى Event Hub كتكوين خدمة موثوق به مع الشروط الخاصة بك و Event Hub الهدف في النطاق المعين. لنشر هذا النهج على الاشتراكات التي تم إنشاؤها حديثًا، افتح علامة التبويب التوافق، وحدد التعيين غير المتوافق ذي الصلة، وأنشئ مهمة إصلاح. | DeployIfNotExists، معطل | 1.0.0 |
| توزيع التصدير إلى Event Hub لبيانات Microsoft Defender for Cloud | مكن التصدير إلى Event Hub لبيانات Microsoft Defender for Cloud. تنشر هذه السياسة تصديرًا إلى تكوين Event Hub مع شروطك واستهداف Event Hub على النطاق المعين. لنشر هذا النهج على الاشتراكات التي تم إنشاؤها حديثًا، افتح علامة التبويب التوافق، وحدد التعيين غير المتوافق ذي الصلة، وأنشئ مهمة إصلاح. | deployIfNotExists | 4.2.0 |
| توزيع التصدير إلى مساحة عمل Log Analytics لبيانات Microsoft Defender for Cloud | مكن التصدير إلى مساحة عمل Log Analytics لبيانات Microsoft Defender for Cloud. ينشر هذا النهج تصديرًا إلى تكوين مساحة عمل Log Analytics مع شروطك ومساحة العمل المستهدفة في النطاق المعين. لنشر هذا النهج على الاشتراكات التي تم إنشاؤها حديثًا، افتح علامة التبويب التوافق، وحدد التعيين غير المتوافق ذي الصلة، وأنشئ مهمة إصلاح. | deployIfNotExists | 4.1.0 |
| توزيع أتمتة سير العمل لتنبيهات Microsoft Defender for Cloud | مكن خدمة التشغيل التلقائي لتنبيهات Microsoft Defender for Cloud. ينشر هذا النهج أتمتة سير العمل بشروطك والمشغلات في النطاق المعين. لنشر هذا النهج على الاشتراكات التي تم إنشاؤها حديثًا، افتح علامة التبويب التوافق، وحدد التعيين غير المتوافق ذي الصلة، وأنشئ مهمة إصلاح. | deployIfNotExists | 5.0.1 |
| توزيع خدمة أتمتة سير العمل لتنبيهات Microsoft Defender for Cloud | مكّن خدمة التشغيل التلقائي لتوصيات Microsoft Defender for Cloud. ينشر هذا النهج أتمتة سير العمل بشروطك والمشغلات في النطاق المعين. لنشر هذا النهج على الاشتراكات التي تم إنشاؤها حديثًا، افتح علامة التبويب التوافق، وحدد التعيين غير المتوافق ذي الصلة، وأنشئ مهمة إصلاح. | deployIfNotExists | 5.0.1 |
| توزيع التشغيل التلقائي لسير العمل للتوافق التنظيمي لـ Microsoft Defender for Cloud | مكّن التشغيل التلقائي لسير العمل للتوافق التنظيمي لـ Microsoft Defender for Cloud. ينشر هذا النهج أتمتة سير العمل بشروطك والمشغلات في النطاق المعين. لنشر هذا النهج على الاشتراكات التي تم إنشاؤها حديثًا، افتح علامة التبويب التوافق، وحدد التعيين غير المتوافق ذي الصلة، وأنشئ مهمة إصلاح. | deployIfNotExists | 5.0.1 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.1.0 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.1.0 |
| تمكين Microsoft Defender لـ Cloud على اشتراكك | يحدد الاشتراكات الحالية التي لا تتم مراقبتها بواسطة Microsoft Defender لـ Cloud ويحميها باستخدام Defender لميزات Cloud المجانية. ستعتبر الاشتراكات التي تمت مراقبتها بالفعل متوافقة. لتسجيل الاشتراكات التي تم إنشاؤها حديثاً، افتح علامة تبويب التوافق، وحدد المهمة غير المتوافقة ذات الصلة، وأنشئ مهمة إصلاح. | deployIfNotExists | 1.0.1 |
| تمكين التوفير التلقائي لمركز الأمان لعامل Log Analytics على اشتراكاتك باستخدام مساحة عمل مخصصة. | اسمح لمركز الأمان بتوفير وكيل Log Analytics تلقائيًا في اشتراكاتك لمراقبة وجمع بيانات الأمان باستخدام مساحة عمل مخصصة. | DeployIfNotExists، معطل | 1.0.0 |
| تمكين التوفير التلقائي لمركز الأمان لعامل Log Analytics على اشتراكاتك باستخدام مساحة العمل الافتراضية. | اسمح لمركز الأمان بتوفير وكيل Log Analytics تلقائيًا في اشتراكاتك لمراقبة وجمع بيانات الأمان باستخدام مساحة عمل ASC الافتراضية. | DeployIfNotExists، معطل | 1.0.0 |
| يجب حل المشاكل المتعلقة بحماية نقطة النهاية على أجهزتك | حل مشكلات صحة حماية نقطة النهاية على أجهزتك الظاهرية لحمايتها من أحدث التهديدات ونقاط الضعف. يتم توثيق حلول حماية نقطة النهاية المدعومة من Azure Security Center هنا - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. يتم توثيق تقييم حماية نقطة النهاية هنا - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت حماية نقطة النهاية على أجهزتك | لحماية أجهزتك من التهديدات والثغرات، قم بتثبيت حل مدعوم لحماية نقطة النهاية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري | قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية. | AuditIfNotExists، معطل | 3.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure | يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure | يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.3 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية | قم بترقية مجموعة خدمات Kubernetes إلى إصدار أحدث من Kubernetes للحماية من الثغرات الأمنية المعروفة في إصدار Kubernetes الحالي. تم تصحيح الثغرة الأمنية CVE-2019-9946 في إصدارات Kubernetes 1.11.9+ و1.12.7+ و1.13.5+ و1.14.0+ | المراجعة، معطلة | 1.0.2 |
| يجب تثبيت عامل Log Analytics على مثيلات دور الخدمات السحابية (الدعم الموسع) | يجمع مركز الأمان البيانات من مثيلات دور الخدمات السحابية (الدعم الممتد) لمراقبة الثغرات الأمنية والتهديدات. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تثبيت عامل Azure Log Analtics على الجهاز الظاهري لمراقبة Azure Security Center | يقوم هذا النهج بمراجعة أي أجهزة ظاهرية Windows/Linux (VMs) إذا لم يتم تثبيت عامل Log Analytics الذي يستخدمه Security Center لمراقبة الثغرات الأمنية والتهديدات | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center | من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يكون لدى الأجهزة نتائج سرية تم حلها | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تحتوي على نتائج سرية من حلول مسح البيانات السرية على أجهزتك الظاهرية. | AuditIfNotExists، معطل | 1.0.2 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين Microsoft إدارة وضع الأمان السحابي في Defender | توفر Defender Cloud Security Posture Management (CSPM) قدرات وضع محسنة ورسما بيانيا ذكيا جديدا للأمان السحابي للمساعدة في تحديد المخاطر وتحديد أولوياتها وتقليلها. يتوفر إدارة وضع الأمان السحابي في Defender بالإضافة إلى قدرات وضع الأمان الأساسية المجانية التي يتم تشغيلها بشكل افتراضي في Defender for Cloud. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لواجهة برمجة التطبيقات | يوفر Microsoft Defender لواجهات برمجة التطبيقات اكتشافا وحماية واكتشافا وتغطية استجابة جديدة لمراقبة الهجمات الشائعة المستندة إلى واجهة برمجة التطبيقات والتكوينات الخاطئة للأمان. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Microsoft Defender لـ Azure Cosmos DB | يعد Microsoft Defender لـ Azure Cosmos DB طبقة أمان أصلية من Azure تكتشف محاولات استغلال قواعد البيانات في حسابات Azure Cosmos DB الخاصة بك. يكتشف Defender for Azure Cosmos DB عمليات إدخال SQL المحتملة والعناصر السيئة المعروفة استناداً إلى Microsoft Threat Intelligence وأنماط الوصول المشبوهة والاستغلال المحتمل لقاعدة البيانات الخاصة بك من خلال الهويات المخترقة أو المطلعين الضارين. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لـ SQL لمساحات عمل Synapse غير المحمية | تمكين Defender for SQL لحماية مساحات عمل Synapse الخاصة بك. يقوم Defender for SQL بمراقبة Synapse SQL لاكتشاف الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. | AuditIfNotExists، معطل | 1.0.0 |
| يجب حماية Microsoft Defender لحالة SQL لخوادم SQL الممكنة بواسطة Arc | يوفر Microsoft Defender for SQL وظائف لعرض الثغرات الأمنية المحتملة في قاعدة البيانات والتخفيف منها، واكتشاف الأنشطة الشاذة التي قد تشير إلى تهديدات لقواعد بيانات SQL، واكتشاف البيانات الحساسة وتصنيفها. بمجرد التمكين، تشير حالة الحماية إلى أنه تتم مراقبة المورد بنشاط. حتى عند تمكين Defender، يجب التحقق من صحة إعدادات التكوين المتعددة على العامل والجهاز ومساحة العمل وخادم SQL لضمان الحماية النشطة. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
| مراقبة حماية نقطة النهاية المفقودة في Azure Security Center | ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تحديد مستوى التسعير القياسي لمركز الأمان | يُتيح مستوى التسعير القياسي إمكانية الكشف عن التهديدات للشبكات والأجهزة الظاهرية، وتوفير معلومات استخباراتية عن التهديدات، والكشف عن الحالات الشاذة، وتحليلات السلوك في مركز أمان Azure | المراجعة، معطلة | 1.1.0 |
| إعداد الاشتراكات للانتقال إلى حل بديل لتقييم الثغرات الأمنية | يوفر Microsoft Defender للسحابة فحص الثغرات الأمنية لأجهزتك دون أي تكلفة إضافية. سيؤدي تمكين هذا النهج إلى نشر Defender for Cloud تلقائيا النتائج من حل Microsoft Defender إدارة الثغرات الأمنية المضمن إلى جميع الأجهزة المدعومة. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية | رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات. | AuditIfNotExists، معطل | 4.1.0 |
| يجب تمكين التزويد التلقائي المستهدف من قبل خادم SQL لخوادم SQL على خطة الأجهزة | لضمان حماية أجهزة SQL الظاهرية وخوادم SQL الممكنة بواسطة Arc، تأكد من تكوين عامل مراقبة Azure المستهدف من SQL للتوزيع تلقائيا. هذا ضروري أيضا إذا كنت قد قمت مسبقا بتكوين التزويد التلقائي ل Microsoft Monitoring Agent، حيث يتم إهمال هذا المكون. تعرَّف على المزيد: https://aka.ms/SQLAMAMigration | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يتم حل نتائج الثغرات الأمنية في خوادم SQL على الأجهزة | يقوم تقييم الثغرات الأمنية في SQL بفحص قاعدة البيانات بحثًا عن أي ثغرات أمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات الزائدة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عُثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تثبيت تحديثات النظام على مجموعات مقياس الجهاز الظاهري | مراجعة ما إذا كانت هناك أي تحديثات أمان للنظام مفقودة والتحديثات المهمة التي يجب تثبيتها لضمان أن مجموعات نطاقات الجهاز الظاهري Windows وLinux آمنة. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي تثبيت تحديثات النظام على أجهزتك | سيراقب Azure Security Center تحديثات نظام الأمان المفقودة على خوادمك من قبيل التوصيات | AuditIfNotExists، معطل | 4.0.0 |
| يجب تعيين أكثر من مالك واحد لاشتراكك | يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين | بشكل افتراضي، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة عدم استخدام مفاتيح تُدار بواسطة النظام الأساسي. لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين الحوسبة والتخزين. تجاهل هذه التوصية إذا: 1. باستخدام التشفير في المضيف، أو 2. التشفير من جانب الخادم على الأقراص المُدارة يفي بمتطلبات الأمان. تعرف على المزيد في: تشفير Azure Disk Storage من جانب الخادم: https://aka.ms/disksse، العروض المختلفة لتشفير القرص: https://aka.ms/diskencryptioncomparison | AuditIfNotExists، معطل | 2.0.3 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
| يجب معالجة الثغرات في تكوينات أمان الحاوية | تدقيق الثغرات الأمنية في تكوين الأمان على الأجهزة مع تثبيت Docker وعرضها كتوصيات في مركز أمان Azure. | AuditIfNotExists، معطل | 3.0.0 |
| يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
| يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري | قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات. | AuditIfNotExists، معطل | 3.0.0 |
مركز الأمان - التسعير متعدد المستويات
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين Azure Defender for Servers ليتم تعطيله لجميع الموارد (مستوى المورد) | يوفر Azure Defender for Servers الحماية من التهديدات في الوقت الفعلي لأحمال عمل الخادم وينشئ توصيات متصلبة بالإضافة إلى تنبيهات حول الأنشطة المشبوهة. سيقوم هذا النهج بتعطيل خطة Defender for Servers لجميع الموارد (VMs وVMSSs وأجهزة ARC) في النطاق المحدد (الاشتراك أو مجموعة الموارد). | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Azure Defender for Servers ليتم تعطيله للموارد (مستوى المورد) باستخدام العلامة المحددة | يوفر Azure Defender for Servers الحماية من التهديدات في الوقت الفعلي لأحمال عمل الخادم وينشئ توصيات متصلبة بالإضافة إلى تنبيهات حول الأنشطة المشبوهة. سيقوم هذا النهج بتعطيل خطة Defender for Servers لجميع الموارد (VMs وVMSSs وأجهزة ARC) التي لها اسم العلامة المحدد وقيمة (قيم) العلامة. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Azure Defender for Servers ليتم تمكينه (الخطة الفرعية 'P1' لجميع الموارد (مستوى المورد) باستخدام العلامة المحددة | يوفر Azure Defender for Servers الحماية من التهديدات في الوقت الفعلي لأحمال عمل الخادم وينشئ توصيات متصلبة بالإضافة إلى تنبيهات حول الأنشطة المشبوهة. سيمكن هذا النهج خطة Defender for Servers (مع الخطة الفرعية "P1" لجميع الموارد (الأجهزة الظاهرية وأجهزة ARC) التي لها اسم العلامة المحدد وقيمة (قيم) العلامة. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Azure Defender for Servers ليتم تمكينه (مع الخطة الفرعية "P1" لجميع الموارد (مستوى المورد) | يوفر Azure Defender for Servers الحماية من التهديدات في الوقت الفعلي لأحمال عمل الخادم وينشئ توصيات متصلبة بالإضافة إلى تنبيهات حول الأنشطة المشبوهة. سيمكن هذا النهج خطة Defender for Servers (مع الخطة الفرعية "P1" لجميع الموارد (الأجهزة الظاهرية وأجهزة ARC) في النطاق المحدد (الاشتراك أو مجموعة الموارد). | DeployIfNotExists، معطل | 1.0.0 |
ناقل الخدمة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب إزالة جميع قواعد التخويل باستثناء RootManageSharedAccessKey من مساحة اسم Service Bus | يجب ألا يستخدم عملاء Service Bus نهج الوصول إلى مستوى مساحة الاسم الذي يوفر الوصول إلى كافة قوائم الانتظار والمواضيع في مساحة الاسم. يجب إنشاء نهج وصول على مستوى الكيان لقوائم الانتظار والمواضيع؛ لتوفير الوصول إلى الكيان المحدد فقط لتحقيق المحاذاة مع نموذج أمان الامتياز الأقل | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن يتم تعطيل أساليب المصادقة المحلية في مساحات أسماء Azure Service Bus | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من أن مساحات الأسماء ناقل خدمة Azure تتطلب حصريا هويات معرف Microsoft Entra للمصادقة. تعرف على المزيد من خلال: https://aka.ms/disablelocalauth-sb. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| تكوين مساحات أسماء ناقل خدمة Microsoft Azure لتعطيل المصادقة المحلية | قم بتعطيل أساليب المصادقة المحلية بحيث تتطلب مساحات أسماء Azure ServiceBus حصريا هويات معرف Microsoft Entra للمصادقة. تعرف على المزيد من خلال: https://aka.ms/disablelocalauth-sb. | تعديل، تعطيل | 1.0.1 |
| تكوين مساحات أسماء Service Bus لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة DNS خاصة بشبكة الاتصال الظاهرية لتحليل مساحات أسماء Service Bus. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مساحات أسماء Service Bus مع نقاط النهاية الخاصة | تقوم نقاط النهاية الخاصة بتوصيل الشبكة الظاهرية بخدمات Azure بدون العنوان العام لـ IP في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Service Bus، يمكنك خفض مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists، معطل | 1.0.0 |
| يجب تمكين سجلات الموارد في Service Bus | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب أن تقوم مساحات أسماء ناقل خدمة Microsoft Azure بتعطيل الوصول إلى الشبكة العامة | يجب تعطيل الوصول إلى الشبكة العامة في Azure Service Bus. يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض المورد على الإنترنت العام. يمكنك الحد من تعرض مواردك عن طريق إنشاء نقاط نهاية خاصة بدلاً من ذلك. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن يكون لمساحات أسماء Service Bus تشفير مزدوج ممكن | يساعد تمكين التشفير المزدوج على حماية بياناتك وضمان سلامتها بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير المزدوج، يتم تشفير البيانات في حساب التخزين مرتين، مرة على مستوى الخدمة ومرة على مستوى البنية الأساسية، باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Service Bus Premium مفتاحاً مداراً من قِبل العميل للتشفير | يدعم Azure Service Bus خيار تشفير البيانات الثابتة باستخدام مفاتيح مدارة من Microsoft (افتراضي) أو مفاتيح مدارة من قبل العميل. يتيح لك اختيار تشفير البيانات باستخدام المفاتيح التي يديرها العميل تعيين المفاتيح التي ستستخدمها ناقل خدمة Microsoft Azure لتشفير البيانات في مساحة الاسم وتدويرها وتعطيلها وإبطالها. لاحظ أن ناقل خدمة Microsoft Azure يعتمد التشفير فقط مع مفاتيح مدارة من قبل العملاء لمساحات الأسماء المميزة. | المراجعة، معطلة | 1.0.0 |
Service Fabric
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign | يوفر Service Fabric ثلاثة مستويات من الحماية (None، وSign، وEncryptAndSign) للاتصال عقدة إلى عقدة باستخدام شهادة نظام مجموعة أساسية. تعيين مستوى الحماية لضمان تشفير كافة رسائل العقدة إلى العقدة وتوقيعها رقميا | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
SignalR
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تعطل Azure SignalR Service إمكانية الوصول إلى الشبكة العامة | لتحسين أمان مورد Azure SignalR Service، تأكد من عدم تعرضه للإنترنت العام وأنه لا يمكن الوصول إليه إلا عبر نقطة نهاية خاصة. عطّل خاصية الوصول إلى الشبكة العامة كما هو موضح في https://aka.ms/asrs/networkacls. يعمل هذا الخيار على تعطيل إمكانية الوصول من أي مساحة عنوان عام تقع خارج نطاق IP Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو عنوان IP. وذلك من شأنه أن يقلل من مخاطر تسرب البيانات. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يتعين تمكين خدمة Azure SignalR سجلات التشخيص | تمكين التدقيق في سجلات التشخيص. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تقوم Azure SignalR Service بتعطيل طرق المصادقة المحلية | إذ يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان عن طريق ضمان أن تتطلب Azure SignalR Service هويات Azure Active Directory على وجه الحصر للمصادقة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم Azure SignalR Service رابطاً خاصاً يحتوي على SKU ممكنًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة والذي من شأنه أن يحمي مواردك من مخاطر تسرب البيانات العامة. وتقيدك السياسة على الروابط الخاصة التي تتضمن وحدات SKU ممكنة لـ Azure SignalR Service. تعرف على المزيد عن الرابط الخاص على: https://aka.ms/asrs/privatelink. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
| تكوين خدمة Azure SignalR لتعطيل المصادقة المحلية | تعطيل أساليب المصادقة المحلية بحيث تتطلب خدمة Azure SignalR هويات Azure Active Directory على وجه الحصر للمصادقة. | تعديل، تعطيل | 1.0.0 |
| تكوين نقاط النهاية الخاصة لـ Azure SignalR Service | تقوم نقاط النهاية الخاصة بتوصيل الشبكة الظاهرية بخدمات Azure بدون العنوان العام لـ IP في المصدر أو الوجهة. ومن خلال تعيين نقاط النهاية الخاصة إلى موارد Azure SignalR Service، يمكنك تقليل مخاطر تسرب البيانات. تعرّف على المزيد من خلال https://aka.ms/asrs/privatelink. | DeployIfNotExists، معطل | 1.0.0 |
| نشر - تكوين مناطق نظام أسماء النطاقات الخاصة لنقاط النهاية الخاصة للاتصال بـ Azure SignalR Service | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. إذ ترتبط منطقة نظام أسماء النطاقات الخاصة بالشبكة الظاهرية لديك لحلها بموارد Azure SignalR Service. تعرف على المزيد من خلال: https://aka.ms/asrs/privatelink. | DeployIfNotExists، معطل | 1.0.0 |
| تعديل موارد Azure SignalR Service لتعطيل إمكانية الوصول إلى الشبكة العامة | لتحسين أمان مورد Azure SignalR Service، تأكد من عدم تعرضه للإنترنت العام وأنه لا يمكن الوصول إليه إلا عبر نقطة نهاية خاصة. عطّل خاصية الوصول إلى الشبكة العامة كما هو موضح في https://aka.ms/asrs/networkacls. يعمل هذا الخيار على تعطيل إمكانية الوصول من أي مساحة عنوان عام تقع خارج نطاق IP Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو عنوان IP. وذلك من شأنه أن يقلل من مخاطر تسرب البيانات. | تعديل، تعطيل | 1.1.0 |
استرداد الموقع
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: تكوين مخازن Azure Recovery Services لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة DNS خاصة بالشبكة الظاهرية لحلها باستخدام Recovery Services Vaults. تعرف على المزيد من خلال: https://aka.ms/privatednszone. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: تكوين نقاط النهاية الخاصة على مخازن خدمات استرداد Azure | تقوم نقاط النهاية الخاصة بتوصيل الشبكة الظاهرية بخدمات Azure بدون العنوان العام لـ IP في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة لموارد استرداد الموقع في Recovery Services vaults، يمكنك تقليل مخاطر تسرب البيانات. لاستخدام الارتباطات الخاصة، يجب تعيين هوية الخدمة المدارة إلى Recovery Services Vaults. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| [معاينة]: يجب أن تستخدم مخازن خدمات الاسترداد رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى Recovery Services Vaults، يتم تقليل مخاطر تسرب البيانات. تعرف على المزيد حول الارتباطات الخاصة لـ Azure Site Recovery: https://aka.ms/HybridScenarios-PrivateLink وhttps://aka.ms/AzureToAzure-PrivateLink. | المراجعة، معطلة | 1.0.0-المعاينة |
SQL
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب توفير مسؤول Microsoft Entra لخوادم MySQL | تدقيق توفير مسؤول Microsoft Entra لخادم MySQL لتمكين مصادقة Microsoft Entra. تتيح مصادقة Microsoft Entra إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.1.1 |
| يجب توفير مسؤول Microsoft Entra لخوادم PostgreSQL | تدقيق توفير مسؤول Microsoft Entra لخادم PostgreSQL لتمكين مصادقة Microsoft Entra. تتيح مصادقة Microsoft Entra إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.1 |
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين مصادقة Microsoft Entra فقط لخادم Azure MySQL المرن | يؤدي تعطيل أساليب المصادقة المحلية والسماح بمصادقة Microsoft Entra فقط إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى خادم Azure MySQL المرن حصريا بواسطة هويات Microsoft Entra. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تشغيل Azure SQL Database الإصدار 1.2 من بروتوكول أمان طبقة النقل (TLS) أو إصدار أحدث | يؤدي تعيين إصدار بروتوكول أمان طبقة النقل (TLS) إلى 1.2 أو إصدار أحدث إلى تحسين الأمان من خلال التأكد من أنه لا يمكن الوصول إلى Azure SQL Database إلا من العملاء الذين يستخدمون الإصدار TLS 1.2 أو إصداراً أحدث. ولا ينصح باستخدام إصدارات من TLS أقل من 1.2 نظراً لأنها تحتوي على ثغرات أمنية موثقة بشكل جيد. | تدقيق، تعطيل، رفض | 2.0.0 |
| يجب تمكين مصادقة Microsoft Entra فقط لقاعدة بيانات Azure SQL | طلب خوادم Azure SQL المنطقية لاستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إنشاء الخوادم مع تمكين المصادقة المحلية. يمنع تمكين المصادقة المحلية على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/adonlycreate. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين مصادقة Microsoft Entra فقط في قاعدة بيانات Azure SQL أثناء الإنشاء | طلب إنشاء خوادم Azure SQL المنطقية باستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إعادة تمكين المصادقة المحلية على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/adonlycreate. | التدقيق، الرفض، التعطيل | 1.2.0 |
| يجب تمكين مصادقة Microsoft Entra فقط لمثيل Azure SQL المدار | طلب Azure SQL Managed Instance لاستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إنشاء مثيلات Azure SQL المدارة مع تمكين المصادقة المحلية. يمنع تمكين المصادقة المحلية على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/adonlycreate. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تقوم مثيلات Azure SQL المدارة بتعطيل الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة (نقطة النهاية العامة) على مثيلات Azure SQL المدارة إلى تحسين الأمان من خلال التأكد من أنه لا يمكن الوصول إليها إلا من داخل شبكاتها الظاهرية أو عبر نقاط النهاية الخاصة. لمعرفة المزيد حول الوصول إلى الشبكة العامة، قم بزيارة https://aka.ms/mi-public-endpoint. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يكون لدى مثيلات Azure SQL المدارة مصادقة Microsoft Entra فقط ممكنة أثناء الإنشاء | طلب إنشاء مثيل Azure SQL المدار باستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إعادة تمكين المصادقة المحلية على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/adonlycreate. | التدقيق، الرفض، التعطيل | 1.2.0 |
| تكوين خدمة Advanced Threat Protection ليتم تمكينها في قواعد بيانات Azure لخوادم MariaDB | قم بتمكين خدمة Advanced Threat Protection في قواعد بيانات Azure من المستوى غير الأساسي لخوادم MariaDB لاكتشاف الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. | DeployIfNotExists، معطل | 1.2.0 |
| تكوين خدمة Advanced Threat Protection ليتم تمكينها في قواعد بيانات Azure لخوادم MySQL | قم بتمكين خدمة Advanced Threat Protection في قواعد بيانات Azure من المستوى غير الأساسي لخوادم MySQL لاكتشاف الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. | DeployIfNotExists، معطل | 1.2.0 |
| تكوين خدمة Advanced Threat Protection ليتم تمكينها في قواعد بيانات Azure لخوادم PostgreSQL | قم بتمكين خدمة Advanced Threat Protection في قواعد بيانات Azure من المستوى غير الأساسي لخوادم PostgreSQL لاكتشاف الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. | DeployIfNotExists، معطل | 1.2.0 |
| تكوين Azure Defender لتمكينه في مثيلات SQL المُدارة | قم بتمكين Azure Defender في Azure SQL Managed Instances لاكتشاف الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. | DeployIfNotExists، معطل | 2.0.0 |
| تكوين Azure Defender ليتم تمكينه على خوادم SQL | قم بتمكين Azure Defender في خوادم Azure SQL Servers لاكتشاف الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. | DeployIfNotExists | 2.1.0 |
| تكوين إعدادات تشخيص خوادم قاعدة بيانات Azure SQL إلى مساحة عمل Log Analytics | لتمكين سجلات التدقيق لخادم قاعدة بيانات Azure SQL وبث السجلات إلى مساحة عمل Log Analytics عند إنشاء أو تحديث أي SQL Server يفتقد هذا التدقيق | DeployIfNotExists، معطل | 1.0.2 |
| يجب أن يعطل Azure SQL Server الوصول إلى الشبكة العامة | إذ يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى إيقاف تشغيل الاتصال العام حتى لا يمكن الوصول إلى Azure SQL Server إلا من نقطة نهاية خاصة. ويعمل هذا التكوين على تعطيل الوصول إلى شبكة الاتصال العامة لكل قواعد البيانات ضمن SQL Server Azure. | تعديل، تعطيل | 1.0.0 |
| تكوين SQL Server Azure لتمكين اتصالات نقطة النهاية الخاصة | يتيح اتصال نقطة النهاية الخاصة إمكانية الاتصال الخاص بـ Azure SQL Database عبر عنوان IP خاص داخل إحدى الشبكات الظاهرية. يعمل هذا التكوين على تحسين وضع الأمان ودعم أدوات شبكات Azure وسيناريوهاتها. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين خوادم SQL لتمكين التدقيق | لضمان رصد العمليات التي تتم لأصول SQL، يجب أن تقوم خوادم SQL بتمكين التدقيق. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية. | DeployIfNotExists، معطل | 3.0.0 |
| تكوين خوادم SQL لتمكين التدقيق في مساحة عمل Log Analytics | لضمان رصد العمليات التي تتم لأصول SQL، يجب أن تقوم خوادم SQL بتمكين التدقيق. إذا لم يتم تمكين التدقيق، سيقوم هذا النهج بتكوين أحداث التدقيق للتدفق إلى مساحة عمل Log Analytics المحددة. | DeployIfNotExists، معطل | 1.0.0 |
| يجب تمكين تقييد الاتصال "Connection throttling" لخوادم قاعدة بيانات PostgreSQL | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين "Connection Throttling". يتيح هذا الإعداد تقييد الاتصال المؤقت لكل عنوان IP للعديد من حالات فشل تسجيل الدخول غير الصالحة لكلمة المرور. | AuditIfNotExists، معطل | 1.0.0 |
| نشر - تكوين إعدادات التشخيص لـ SQL Databases إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لـ SQL Databases لبث سجلات الموارد إلى مساحة عمل Log Analytics عند إنشاء أو تحديث أي SQL Databases تفتقد إعدادات التشخيص هذه. | DeployIfNotExists، معطل | 4.0.0 |
| نشر أمان البيانات المتقدمة على خوادم SQL | يتيح هذا النهج أمان البيانات المتقدمة على خوادم SQL Servers. ويشمل ذلك تشغيل كشف التهديدات "Threat Detection" وتقييم مدى التأثر "Vulnerability Assessment". إذ سيقوم تلقائياً بإنشاء حساب تخزين في المنطقة نفسها ومجموعة موارد مثل خادم SQL لتخزين نتائج المسح الضوئي، مع البادئة "sqlva". | DeployIfNotExists | 1.3.0 |
| نشر الإعدادات تشخيصية لـ Azure SQL Database إلى Event Hub | لنشر إعدادات التشخيص لـ Azure SQL Database للبث إلى Event Hub إقليمي عند إنشاء أي Azure SQL Database تفتقد لإعدادات التشخيص هذه أو تحديثها. | DeployIfNotExists | 1.2.0 |
| نشر تشفير البيانات الشفاف SQL DB | لتمكين تشفير البيانات الشفاف في قواعد بيانات SQL | DeployIfNotExists، معطل | 2.2.0 |
| يجب تسجيل حالات قطع الاتصال لخوادم قاعدة بيانات PostgreSQL. | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين "log_disconnections". | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL | قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB | تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL | تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين تشفير البنية التحتية لـ Azure Database لخوادم MySQL | تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم MySQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL | تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2 | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين نقاط فحص السجل لخوادم قاعدة بيانات PostgreSQL | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين إعداد "log_checkpoints". | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين سجل الاتصالات لخوادم قاعدة بيانات PostgreSQL | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين إعداد "log_connections". | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين مدة السجل لخوادم قاعدة بيانات PostgreSQL | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين إعداد "log_duration". | AuditIfNotExists، معطل | 1.0.0 |
| ينبغي تمكين النسخ الاحتياطي الجغرافي المتكرر لقواعد بيانات Azure SQL | يقوم هذا النهج بمراجعة أية Azure SQL Database مع عدم تمكين النسخ الاحتياطي الجغرافي المتكرر على المدى الطويل. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن يستخدم خادم MariaDB نقطة نهاية خدمة شبكة اتصال ظاهرية | تُستخدم قواعد جدار الحماية المستندة إلى الشبكة الافتراضية لتمكين حركة المرور من شبكة فرعية معينة إلى Azure Database لـ MariaDB مع ضمان بقاء حركة المرور داخل حدود Azure. يوفر هذا النهج طريقة للتدقيق إذا كانت Azure Database لـ MariaDB تستخدم نقطة نهاية خدمة الشبكة الظاهرية. | AuditIfNotExists، معطل | 1.0.2 |
| يجب أن يستخدم خادم MySQL نقطة نهاية خدمة شبكة اتصال ظاهرية | تُستخدم قواعد جدار الحماية المستندة إلى الشبكة الافتراضية لتمكين حركة المرور من شبكة فرعية معينة إلى Azure Database لـ MariaDB مع ضمان بقاء حركة المرور داخل حدود Azure. يوفر هذا النهج طريقة للتدقيق إذا كانت Azure Database لـ MySQL تستخدم نقطة نهاية خدمة الشبكة الظاهرية. | AuditIfNotExists، معطل | 1.0.2 |
| يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خوادم MySQL. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | AuditIfNotExists، معطل | 1.0.4 |
| يجب أن يستخدم خادم PostgreSQL نقطة نهاية خدمة شبكة اتصال ظاهرية | تُستخدم قواعد جدار الحماية المستندة إلى الشبكة الافتراضية لتمكين حركة المرور من شبكة فرعية معينة إلى Azure Database لـ PostgreSQL مع ضمان بقاء حركة المرور داخل حدود Azure. يوفر هذا النهج طريقة للتدقيق إذا كانت Azure Database لـ PostgreSQL تستخدم نقطة نهاية خدمة الشبكة الظاهرية. | AuditIfNotExists، معطل | 1.0.2 |
| يجب أن تستخدم خوادم PostgreSQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة تشفير البيانات الثابتة لخوادم PostgreSQL لديك. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | AuditIfNotExists، معطل | 1.0.4 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين نقطة النهاية الخاصة لخوادم MySQL | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL المرنة | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم MySQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL المرنة | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم PostgreSQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 3.0.1 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP. | التدقيق، الرفض، التعطيل | 2.0.1 |
| ينبغي أن تتضمن إعدادات تدقيق SQL مجموعات إجراءات تم تكوينها لحفظ الأنشطة الحيوية | يجب أن تحتوي خاصية AuditActionsAndGroups على SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP وFAILED_DATABASE_AUTHENTICATION_GROUP وBATCH_COMPLETED_GROUP على الأقل لضمان تسجيل تدقيق شامل | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تتجنب SQL Database استخدام التكرار الاحتياطي لـ GRS | يجب أن تتجنب قواعد البيانات استخدام التخزين الافتراضي المتكرر جغرافيًا للنسخ الاحتياطية، إذا كانت قواعد موقع البيانات تتطلب بقاء البيانات داخل منطقة معينة. ملاحظة: لا يتم فرض Azure Policy عند إنشاء قاعدة بيانات باستخدام T-SQL. ويتم إنشاء قاعدة بيانات مع تخزين النسخ الاحتياطي الجغرافي المكرر عبر T-SQL إذا لم يتم تحديدها بشكل صريح. | رفض، مُعطل | 2.0.0 |
| يجب أن يحتوي SQL Managed Instance على أدنى إصدار من تشفير TLS وهو الإصدار 1.2 | إذ يؤدي تعيين الحد الأدنى من إصدار TLS إلى 1.2 إلى تحسين الأمان عن طريق التأكد من أنه لا يمكن الوصول إلى SQL Managed Instance إلا من خلال العملاء الذين يستخدمون TLS 1.2. ولا ينصح باستخدام إصدارات من TLS أقل من 1.2 نظراً لأنها تحتوي على ثغرات أمنية موثقة بشكل جيد. | المراجعة، معطلة | 1.0.1 |
| يجب أن تتجنب SQL Managed Instance استخدام التكرار الاحتياطي لـ GRS | يجب أن تتجنب Managed Instances استخدام التخزين الافتراضي المتكرر جغرافيًا للنسخ الاحتياطية، إذا كانت قواعد موقع البيانات تتطلب بقاء البيانات داخل منطقة معينة. ملاحظة: لا يتم فرض Azure Policy عند إنشاء قاعدة بيانات باستخدام T-SQL. ويتم إنشاء قاعدة بيانات مع تخزين النسخ الاحتياطي الجغرافي المكرر عبر T-SQL إذا لم يتم تحديدها بشكل صريح. | رفض، مُعطل | 2.0.0 |
| يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.1 |
| ينبغي تكوين خوادم SQL لاستخدام التدقيق لوجهة حساب التخزين مع الاحتفاظ بهذه السجلات لمدة 90 يومًا أو أكثر | لأغراض التحقيق في الحوادث، نوصي بتعيين الاحتفاظ بالبيانات لمراجعة SQL Server إلى وجهة حساب التخزين لمدة 90 يومًا على الأقل. تأكد من الاستيفاء بقواعد الاحتفاظ الضرورية للمناطق التي تعمل فيها. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين قاعدة جدار حماية الشبكة الظاهرية في Azure SQL Database للسماح بحركة المرور من الشبكة الفرعية المحددة | تُستخدم قواعد جدار الحماية المستندة إلى الشبكة الافتراضية لتمكين حركة المرور من شبكة فرعية معينة إلى Azure SQL Database مع ضمان بقاء حركة المرور داخل حدود Azure. | AuditIfNotExists | 1.0.0 |
| ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار | مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.1 |
| ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك | تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 3.0.0 |
مثيل SQL المدار
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب استخدام تشفير المفتاح المدار من قبل العميل كجزء من تشفير CMK لمثيلات Arc SQL المدارة. | كجزء من تشفير CMK، يجب استخدام تشفير المفتاح المدار من قبل العميل. تعرّف على المزيد من خلال https://aka.ms/EnableTDEArcSQLMI. | المراجعة، معطلة | 1.0.0 |
| يجب استخدام بروتوكول TLS 1.2 لمثيلات Arc SQL المدارة. | كجزء من إعدادات الشبكة، توصي Microsoft بالسماح فقط ب TLS 1.2 لبروتوكولات TLS في خوادم SQL. تعرف على المزيد حول إعدادات الشبكة ل SQL Server على https://aka.ms/TlsSettingsSQLServer. | المراجعة، معطلة | 1.0.0 |
| يجب تمكين تشفير البيانات الشفاف لمثيلات Arc SQL المدارة. | تمكين تشفير البيانات الشفاف (TDE) الثابتة على مثيل SQL المدار الذي يدعم Azure Arc. تعرّف على المزيد من خلال https://aka.ms/EnableTDEArcSQLMI. | المراجعة، معطلة | 1.0.0 |
SQL Server
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: تمكين الهوية المعينة من قبل النظام إلى SQL VM | تمكين الهوية المعينة من قبل النظام على نطاق واسع لأجهزة SQL الظاهرية. تحتاج إلى تعيين هذا النهج على مستوى الاشتراك. لن يعمل التعيين على مستوى مجموعة الموارد كما هو متوقع. | DeployIfNotExists، معطل | 1.0.0-المعاينة |
| تكوين الخوادم الممكنة بواسطة Arc مع تثبيت ملحق SQL Server لتمكين أو تعطيل تقييم أفضل ممارسات SQL. | تمكين أو تعطيل تقييم أفضل ممارسات SQL على مثيلات خادم SQL على خوادم Arc الممكنة لتقييم أفضل الممارسات. تعرّف على المزيد من خلال https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists، معطل | 1.0.1 |
| اشترك في مثيلات SQL Servers المؤهلة التي تدعم Arc إلى التحديثات الأمان الموسع. | اشترك في مثيلات SQL Servers المؤهلة الممكنة بواسطة Arc مع تعيين نوع الترخيص إلى مدفوع أو PAYG إلى التحديثات الأمان الموسع. مزيد من المعلومات حول تحديثات الأمان الموسعة https://go.microsoft.com/fwlink/?linkid=2239401. | DeployIfNotExists، معطل | 1.0.0 |
Stack HCI
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب أن تفرض خوادم Azure Stack HCI نهج التحكم في التطبيق باستمرار | كحد أدنى، قم بتطبيق نهج Microsoft WDAC الأساسي في الوضع المفروض على جميع خوادم Azure Stack HCI. يجب أن تكون نهج التحكم في تطبيق Windows Defender (WDAC) المطبقة متسقة عبر الخوادم في نفس المجموعة. | Audit, Disabled, AuditIfNotExists | 1.0.0-المعاينة |
| [معاينة]: يجب أن تفي خوادم Azure Stack HCI بمتطلبات Secured-core | تأكد من أن جميع خوادم Azure Stack HCI تفي بمتطلبات Secured-core. لتمكين متطلبات خادم Secured-core: 1. من صفحة مجموعات Azure Stack HCI، انتقل إلى Windows مسؤول Center وحدد الاتصال. 2. انتقل إلى ملحق الأمان وحدد Secured-core. 3. حدد أي إعداد غير ممكن وانقر فوق تمكين. | Audit, Disabled, AuditIfNotExists | 1.0.0-المعاينة |
| [معاينة]: يجب أن تحتوي أنظمة Azure Stack HCI على وحدات تخزين مشفرة | استخدم BitLocker لتشفير نظام التشغيل ووحدات تخزين البيانات على أنظمة Azure Stack HCI. | Audit, Disabled, AuditIfNotExists | 1.0.0-المعاينة |
| [معاينة]: يجب حماية شبكات المضيف والأجهزة الظاهرية على أنظمة Azure Stack HCI | حماية البيانات على شبكة مضيفي Azure Stack HCI وعلى اتصالات شبكة الجهاز الظاهري. | Audit, Disabled, AuditIfNotExists | 1.0.0-المعاينة |
التخزين
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين | يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 3.1.0-المعاينة |
| يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا | يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة. | AuditIfNotExists، معطل | 1.0.0 |
| يتعين أن تستخدم وحدات تخزين SMB لملفات Azure NetApp تشفير SMB3 | عدم السماح بإنشاء وحدات تخزين SMB بدون تشفير SMB3 لضمان عملية تكامل البيانات وخصوصية البيانات. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يتعين أن تستخدم وحدات تخزين ملفات Azure NetApp من النوع NFSv4.1 تشفير بيانات Kerberos | السماح فحسب باستعمال وضع أمان خصوصية Kerberos (5p) لضمان تشفير البيانات. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يتعين أن تستخدم وحدات تخزين ملفات Azure NetApp من النوع NFSv4.1 تشفير بيانات Kerberos | تأكد من تحديد إما تكامل Kerberos (krb5i) أو خصوصية Kerberos (krb5p) على الأقل لضمان عملية تكامل البيانات وخصوصية البيانات. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يتعين ألا تستخدم وحدات تخزين ملفات Azure NetApp نوع بروتوكول NFSv3 | عدم السماح باستخدام نوع بروتوكول NFSv3 لمنع الوصول غير الآمن إلى الوحدات الخاصة بالتخزين. يتعين استخدام NFSv4.1 مع بروتوكول Kerberos للوصول إلى وحدات تخزين NFS لضمان تكامل البيانات وتشفيرها. | التدقيق، الرفض، التعطيل | 1.0.0 |
| تكوين معرف منطقة DNS خاص لمعرّف مجموعة الكائنات الثنائية كبيرة الحجم | تكوين مجموعة منطقة DNS الخاصة لتجاوز دقة DNS لنقطة نهاية خاصة بمعرّف مجموعة الكائنات الثنائية كبيرة الحجم. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين معرف منطقة DNS خاص للمعرّف مجموعة الكائنات الثنائية كبيرة الحجم الثانوية | تكوين مجموعة منطقة DNS الخاصة لتجاوز تحليل DNS لنقطة نهاية خاصة بمعرّف مجموعة الكائنات الثنائية كبيرة الحجم الثانوية. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين معرف منطقة DNS خاص لـ dfs groupID | تكوين مجموعة منطقة DNS الخاصة لتجاوز دقة DNS لنقطة نهاية خاصة بمعرّف مجموعة dfs. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين معرف منطقة DNS خاص لـ dfs groupID الثانوية | تكوين مجموعة منطقة DNS الخاصة لتجاوز دقة DNS لنقطة نهاية خاصة بمعرّف مجموعة dfs الثانوية. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين معرف منطقة DNS خاص لمعرّف مجموعة الملف | تكوين مجموعة منطقة DNS الخاصة لتجاوز دقة DNS لمعرّف مجموعة الملف الخاص بنقطة نهاية خاصة. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين معرف منطقة DNS خاص لمعرّف مجموعة قائمة انتظار | قم بتكوين مجموعة منطقة DNS الخاصة لتجاوز دقة DNS الخاصة بنقطة نهاية خاصة بمعرف مجموعة قائمة انتظار. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين معرف منطقة DNS خاص لمعرّف مجموعة قائمة انتظار ثانوية | تكوين مجموعة منطقة DNS الخاصة لتجاوز دقة DNS لنقطة نهاية خاصة بمعرّف مجموعة قائمة انتظار ثانوية. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين معرف منطقة DNS خاص لمعرّف مجموعة الجدول | تكوين مجموعة منطقة DNS الخاصة لتجاوز دقة DNS لنقطة نهاية خاصة بمعرّف مجموعة الجدول. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين معرف منطقة DNS خاص لمعرّف مجموعة الجداول الثانوية | تكوين مجموعة منطقة DNS الخاصة لتجاوز دقة DNS لنقطة نهاية خاصة بمعرّف مجموعة الجداول الثانوية. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين معرف منطقة DNS خاص لمعرّف مجموعة الويب | تكوين مجموعة منطقة DNS الخاصة لتجاوز دقة DNS لنقطة نهاية خاصة بمعرّف مجموعة الويب. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين معرف منطقة DNS خاص لمعرّف مجموعة الويب الثانوي | قم بتكوين مجموعة منطقة DNS الخاصة لتجاوز دقة DNS لنقطة نهاية خاصة بمعرّف مجموعة الويب الثانوي. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Azure File Sync لاستخدام مناطق نظام أسماء النطاقات الخاصة | للوصول إلى نقطة (نقاط) النهاية الخاصة لواجهات موارد خدمة Storage Sync Service من خادم مسجل، فإنك ستحتاج إلى تكوين نظام أسماء النطاقات "DNS" لديك لحل الأسماء الصحيحة لعناوين IP الخاصة بنقطة النهاية الخاصة لديك. وينشئ هذا النهج Azure Private DNS Zone المطلوبة وسجلات A لواجهات نقطة (نقاط) النهاية الخاصة لخدمة Storage Sync Service. | DeployIfNotExists، معطل | 1.1.0 |
| تكوين Azure File Sync باستخدام نقاط النهاية الخاصة | يتم نشر نقطة نهاية خاصة لمورد Storage Sync Service المشار إليه. ويمكنك ذلك من معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. ولا يؤدي وجود نقطة نهاية خاصة واحدة أو أكثر وحدها إلى تعطيل نقطة النهاية العامة. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين إعدادات التشخيص لـ Blob Services إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لـ Blob Services لبث سجلات الموارد إلى مساحة عمل Log Analytics عند إنشاء أو تحديث أي blob Service تفتقد إعدادات التشخيص هذه. | DeployIfNotExists، AuditIfNotExists، معطل | 4.0.0 |
| تكوين إعدادات التشخيص لـ File Services إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لـ File Services لبث سجلات الموارد إلى مساحة عمل Log Analytics عند إنشاء أو تحديث أي file Service تفتقد إعدادات التشخيص هذه. | DeployIfNotExists، AuditIfNotExists، معطل | 4.0.0 |
| تكوين إعدادات التشخيص لـ Queue Services إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لـ Queue Services لبث سجلات الموارد إلى مساحة عمل Log Analytics عند إنشاء أو تحديث أي queue Service تفتقد إعدادات التشخيص هذه. ملاحظة: لا يتم تشغيل هذا النهج عند إنشاء حساب التخزين ويتطلب إنشاء مهمة معالجة من أجل تحديث الحساب. | DeployIfNotExists، AuditIfNotExists، معطل | 4.0.1 |
| تكوين إعدادات التشخيص لحسابات التخزين إلى مساحة عمل Log Analytics | لنشر إعدادات التشخيص لحسابات التخزين من أجل بث سجلات الموارد إلى مساحة عمل Log Analytics عند إنشاء أي حسابات تخزين تفتقر لإعدادات التشخيص هذه أو تحديثها. | DeployIfNotExists، AuditIfNotExists، معطل | 4.0.0 |
| تكوين إعدادات التشخيص لـ Table Services إلى مساحة عمل Log Analytics | نشر إعدادات التشخيص لـ Table Services لبث سجلات الموارد إلى مساحة عمل Log Analytics عند إنشاء أو تحديث أي table Service تفتقد إعدادات التشخيص هذه. ملاحظة: لا يتم تشغيل هذا النهج عند إنشاء حساب التخزين ويتطلب إنشاء مهمة معالجة من أجل تحديث الحساب. | DeployIfNotExists، AuditIfNotExists، معطل | 4.0.1 |
| تكوين النقل الآمن للبيانات على حساب تخزين | النقل الآمن هو خيار الذي يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | تعديل، تعطيل | 1.0.0 |
| تكوين حساب التخزين لاستخدام اتصال برابط خاص | تقوم نقاط النهاية الخاصة بتوصيل الشبكة الظاهرية بخدمات Azure بدون العنوان العام لـ IP في المصدر أو الوجهة. ومن خلال تعيين نقاط النهاية الخاصة لحساب التخزين الخاص بك، يمكنك الحد من مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | DeployIfNotExists، معطل | 1.0.0 |
| تكوين حسابات التخزين لتعطيل الوصول إلى الشبكة العامة | لتحسين أمان حسابات التخزين، تأكد من عدم تعرضها للإنترنت العام وعدم إمكانية الوصول إليها إلا من نقطة نهاية خاصة. عطّل خاصية الوصول إلى الشبكة العامة كما هو موضح في https://aka.ms/storageaccountpublicnetworkaccess. يعمل هذا الخيار على تعطيل إمكانية الوصول من أي مساحة عنوان عام تقع خارج نطاق IP Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو عنوان IP. وذلك من شأنه أن يقلل من مخاطر تسرب البيانات. | تعديل، تعطيل | 1.0.1 |
| تكوين الوصول العام لحساب التخزين الخاص بك ليكون غير مسموح به | يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك. | تعديل، تعطيل | 1.0.0 |
| تكوين حساب التخزين لتمكين تعيين إصدار كائن ثنائي كبير الحجم | يمكنك تمكين تعيين إصدار تخزين كائن ثنائي كبير الحجم للحفاظ تلقائيًا على الإصدارات السابقة من عنصر. عند تمكين تعيين إصدار كائن ثنائي كبير الحجم، يمكنك الوصول إلى الإصدارات السابقة من كائن ثنائي كبير الحجم لاسترداد بياناتك إذا تم تعديلها أو حذفها. | التدقيق، الرفض، التعطيل | 1.0.0 |
| نشر Defender for Storage (كلاسيكي) على حسابات التخزين | يتيح هذا النهج Defender for Storage (كلاسيكي) على حسابات التخزين. | DeployIfNotExists، معطل | 1.0.1 |
| يجب تمكين التخزين الجغرافي المتكرر لحسابات التخزين | استخدام التكرار الجغرافي لإنشاء تطبيقات متوفرة بشكل كبير | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم حسابات HPC Cache مفتاحًا مدارًا من قبل العميل للتشفير | إدارة تشفير البيانات الثابتة ذاكرة التخزين المؤقت لـ Azure HPC باستخدام المفاتيح المدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | تدقيق، تعطيل، رفض | 2.0.0 |
| تعديل - تكوين Azure File Sync لتعطيل إمكانية الوصول إلى الشبكة العامة | يتم تعطيل نقطة النهاية العامة الخاصة بـ Azure File Sync والتي يمكن الوصول إليها عبر الإنترنت من خلال نهج المؤسسة الخاص بك. ولا يزال بإمكانك الوصول إلى خدمة Storage Sync Service عبر نقطة النهاية الخاصة بها. | تعديل، تعطيل | 1.0.0 |
| تعديل - تكوين حساب التخزين لتمكين تعيين إصدار كائن ثنائي كبير الحجم | يمكنك تمكين تعيين إصدار تخزين كائن ثنائي كبير الحجم للحفاظ تلقائيًا على الإصدارات السابقة من عنصر. عند تمكين تعيين إصدار كائن ثنائي كبير الحجم، يمكنك الوصول إلى الإصدارات السابقة من كائن ثنائي كبير الحجم لاسترداد بياناتك إذا تم تعديلها أو حذفها. يرجى ملاحظة أنه لن يتم تعديل حسابات التخزين الموجودة لتمكين تعيين إصدار تخزين Blob. سيتم تمكين تعيين إصدار تخزين Blob لحسابات التخزين التي تم إنشاؤها حديثا فقط | تعديل، تعطيل | 1.0.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لـ Azure File Sync | يتيح لك تعطيل نقطة النهاية العامة تقييد إمكانية الوصول إلى مورد خدمة Storage Sync Service على الطلبات الموجهة إلى نقاط النهاية الخاصة المعتمدة على شبكة مؤسستك. هذا ولا يوجد شيء غير آمن بطبيعته فيما يتعلق بالسماح للطلبات إلى نقطة النهاية العامة، ومع ذلك، قد ترغب في تعطيلها لتلبية متطلبات السياسة التنظيمية أو القانونية أو المؤسسية. يمكنك تعطيل نقطة النهاية العامة لخدمة Storage Sync Service عن طريق تعيين "incomingTrafficPolicy" على AllowVirtualNetworksOnly. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم حسابات التخزين مفتاحًا يديره العميل للتشفير | أمِّن حاوياتك بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم نطاقات تشفير حساب التخزين المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة نطاقات تشفير حساب التخزين. تتيح المفاتيح المدارة من قبل العميل تشفير البيانات باستخدام مفتاح Azure لمخزن البيانات السرية الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول نطاقات تشفير حساب التخزين في https://aka.ms/encryption-scopes-overview. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم نطاقات تشفير حساب التخزين التشفير المزدوج للبيانات الثابتة | مكّن تشفير البنية التحتية للتشفير في وضع السكون لنطاقات تشفير حساب التخزين لديك للحصول على مزيد من الأمان. يضمن تشفير البنية الأساسية تشفير بياناتك مرتين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب عدم انتهاء صلاحية مفاتيح حساب التخزين | تأكد من عدم انتهاء صلاحية مفاتيح حساب تخزين المستخدم عند تعيين نهج انتهاء صلاحية المفتاح، لتحسين أمان مفاتيح الحساب عن طريق اتخاذ إجراء عند انتهاء صلاحية المفاتيح. | التدقيق، الرفض، التعطيل | 3.0.0 |
| يجب أن تسمح حسابات التخزين بالوصول من خدمات Microsoft الموثوق بها | تعمل بعض خدمات Microsoft التي تتفاعل مع حسابات التخزين من شبكات لا يمكن منحها حق الوصول من خلال قواعد الشبكة. للمساعدة في هذا النوع من عمل الخدمة كما هو مقصود، اسمح لمجموعة خدمات Microsoft الموثوق بها بتجاوز قواعد الشبكة. وستستخدم هذه الخدمات بعد ذلك مصادقة قوية للوصول إلى حساب التخزين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تكون حسابات التخزين محدودة بوحدات SKU المسموح بها | قيّد مجموعة وحدات SKU الخاصة بحساب التخزين التي يمكن لمؤسستك نشرها. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب ترحيل حسابات التخزين إلى موارد Azure Resource Manager الجديدة | استخدم Azure Resource Manager الجديد لحسابات التخزين لتزويد تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، وتحسين التدقيق، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى مخزن البيانات السرية، والمصادقة المستندة إلى Microsoft Azure Active Directory ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل حسابات التخزين الوصول إلى الشبكة العامة | لتحسين أمان حسابات التخزين، تأكد من عدم تعرضها للإنترنت العام وعدم إمكانية الوصول إليها إلا من نقطة نهاية خاصة. عطّل خاصية الوصول إلى الشبكة العامة كما هو موضح في https://aka.ms/storageaccountpublicnetworkaccess. يعمل هذا الخيار على تعطيل إمكانية الوصول من أي مساحة عنوان عام تقع خارج نطاق IP Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو عنوان IP. وذلك من شأنه أن يقلل من مخاطر تسرب البيانات. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن يكون لدى حسابات التخزين تشفير البنية الأساسية | تمكين تشفير البنية الأساسية للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات في حساب تخزين مرتين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تحتوي حسابات التخزين على نهج توقيع الوصول المشترك (SAS) الذي تم تكوينه | تأكد من تمكين نهج انتهاء صلاحية توقيع الوصول المشترك (SAS) لحسابات التخزين. يستخدم المستخدمون توقيع وصول مشترك لتفويض الوصول إلى الموارد في حساب Azure Storage. ويوصي نهج انتهاء صلاحية توقيع الوصول المشترك بحد انتهاء الصلاحية الأعلى عندما يقوم المستخدم بإنشاء رمز مميز لتوقيع الوصول المشترك. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تحتوي حسابات التخزين على الحد الأدنى المحدد لإصدار TLS | يمكنك تكوين الحد الأدنى من إصدار TLS للاتصال الآمن بين تطبيق العميل وحساب التخزين. لتقليل مخاطر الأمان، الحد الأدنى الموصى به من إصدار TLS هو أحدث إصدار تم إصداره، وهو حاليًا TLS 1.2. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تمنع حسابات التخزين النسخ المتماثل للكائنات عبر المستأجرين | قم بتدقيق تقييد النسخ المتماثل للكائن لحساب التخزين الخاص بك. بشكل افتراضي، يمكن للمستخدمين تكوين النسخ المتماثل للكائنات باستخدام حساب تخزين مصدر في مستأجر Azure AD واحد وحساب وجهة في مستأجر مختلف. هذا مصدر قلق أمني لأنه يمكن نسخ بيانات العميل إلى حساب تخزين مملوك للعميل. من خلال تعيين allowCrossTenantReplication إلى خطأ، لا يمكن تكوين النسخ المتماثل للكائنات إلا إذا كان كل من حسابات المصدر والوجهة في نفس مستأجر Azure AD. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تمنع حسابات التخزين الوصول إلى المفتاح المشترك | راجع متطلبات Azure Active Directory (Azure AD) لتخويل طلبات حساب التخزين الخاص بك. بشكل افتراضي، يمكن تخويل الطلبات باستخدام بيانات اعتماد Azure Active Directory، أو باستخدام مفتاح الوصول إلى الحساب لمصادقة المفتاح المشترك. ومن بين نوعي التخويل هذين، يوفر Azure AD أمانًا فائقًا وسهولة أكثر في الاستخدام عبر المفتاح المشترك، وتوصي به Microsoft. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية | احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم حسابات التخزين مفتاحاً مداراً من قبل العميل للتشفير | أمّن الكائن الثنائي كبير الحجم وحساب تخزين الملفات بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | المراجعة، معطلة | 1.0.3 |
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تستخدم حسابات التخزين مفتاحًا يديره العميل للتشفير | أمِّن حاوياتك بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | التدقيق، الرفض، التعطيل | 1.0.0 |
Stream Analytics
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم مهام Azure Stream Analytics المفاتيح التي يديرها العملاء لتشفير البيانات | استخدم المفاتيح التي يديرها العملاء عندما تريد تخزين أي بيانات تعريف وأصول بيانات خاصة لوظائف Stream Analytics بأمان في حساب التخزين الخاص بك. وهذا يمنحك التحكم الكامل في كيفية تشفير بيانات Stream Analytics. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب تمكين سجلات الموارد في Azure Stream Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يتعين أن تتصل وظيفة Stream Analytics بالمدخلات والمخرجات الموثوق بها | تأكد من أن مهام Stream Analytics لا تحتوي على اتصالات إدخال أو إخراج عشوائية لم يتم تعريفها في قائمة السماح. يتحقق هذا من أن وظائف Stream Analytics لا تفرز البيانات عن طريق الاتصال بالمتلقيات العشوائية خارج مؤسستك. | الرفض، والتعطيل، والتدقيق | 1.1.0 |
| يتعين أن تستخدم مهمة Stream Analytics الهوية المدارة لمصادقة نقاط النهاية | تأكد من أن مهام Stream Analytics تتصل بنقاط النهاية باستخدام مصادقة الهوية المدارة فحسب. | الرفض، والتعطيل، والتدقيق | 1.0.0 |
Synapse
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين التدقيق على مساحة عمل Synapse | يجب تمكين التدقيق على مساحة عمل Synapse؛ لتعقب أنشطة قاعدة البيانات عبر كافة قواعد البيانات على مجموعات SQL المخصصة، وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تمكن تجمعات SQL المخصصة ل Azure Synapse Analytics التشفير | تمكين تشفير البيانات الشفاف لتجمعات SQL المخصصة ل Azure Synapse Analytics لحماية البيانات الثابتة وتلبية متطلبات التوافق. يرجى ملاحظة أن تمكين تشفير البيانات الشفاف للتجمع قد يؤثر على أداء الاستعلام. يمكن الرجوع إلى مزيد من التفاصيل https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists، معطل | 1.0.0 |
| Azure Synapse Workspace SQL Server يتعين أن تعمل على إصدار TLS 1.2 أو أحدث | يؤدي تعيين إصدار بروتوكول أمان طبقة النقل (TLS) إلى 1.2 أو إصدار أحدث إلى تحسين عملية الأمان من خلال التأكد من أنه لا يمكن الوصول إلى خادم SQL لمساحة عمل Azure Synapse إلا من العملاء الذين يستخدمون الإصدار TLS 1.2 أو إصداراً أحدث. ولا ينصح باستخدام إصدارات من TLS أقل من 1.2 نظراً لأنها تحتوي على ثغرات أمنية موثقة بشكل جيد. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تسمح مساحات عمل Azure Synapse بنسبة استخدام البيانات الصادرة فقط إلى الأهداف المعتمدة | قم بتعزيز الأمان لمساحة عمل Synapse الخاصة بك عن طريق السماح بنقل البيانات الصادرة فقط إلى الأهداف المعتمدة. يساعد هذا الأمر في منع تسرب البيانات عن طريق التحقق من الهدف قبل إرسال البيانات. | تدقيق، تعطيل، رفض | 1.0.0 |
| يجب أن تعطل مساحات عمل Azure Synapse الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم كشف مساحة عمل Synapse على شبكة الإنترنت العامة. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من كشف مساحات عمل Synapse الخاصة بك. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح المدارة من قبل العميل للتحكم في تشفير البيانات الثابتة المخزنة في مساحات عمل Azure Synapse. توفر المفاتيح المدارة من قبل العميل تشفيرا مزدوجا عن طريق إضافة طبقة ثانية من التشفير فوق التشفير الافتراضي باستخدام مفاتيح مدارة بواسطة الخدمة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
| تكوين مساحة عمل Azure Synapse الحد الأدنى المخصص لإصدار TLS من SQL | يمكن للعملاء رفع الحد الأدنى من إصدار TLS أو خفضه باستخدام واجهة برمجة التطبيقات، لكل من مساحات عمل Synapse الجديدة أو مساحات العمل الموجودة. لذلك يمكن للمستخدمين الذين يحتاجون إلى استخدام إصدار عميل أقل في مساحات العمل الاتصال بينما يمكن للمستخدمين الذين لديهم متطلبات أمان رفع الحد الأدنى من إصدار TLS. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | تعديل، تعطيل | 1.1.0 |
| تكوين مساحات عمل Azure Synapse لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة لمساحة العمل Synapse بحيث لا يمكن الوصول إليها عبر شبكة الإنترنت العامة. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | تعديل، تعطيل | 1.0.0 |
| تكوين مساحات عمل Azure Synapse لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة نظام أسماء نطاقات خاصة بالشبكة الظاهرية لديك للتصميم على مساحة عمل Azure Synapse. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists، معطل | 2.0.0 |
| تكوين مساحات عمل Azure Synapse مع نقاط النهاية الخاصة | تقوم نقاط النهاية الخاصة بتوصيل الشبكة الظاهرية بخدمات Azure بدون العنوان العام لـ IP في المصدر أو الوجهة. من خلال تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يمكنك تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مساحات عمل Synapse لتمكين التدقيق | لضمان رصد العمليات التي تتم لأصول SQL، يجب أن تقوم مساحات عمل Synapse بتمكين التدقيق. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية. | DeployIfNotExists، معطل | 2.0.0 |
| تكوين مساحات عمل Synapse لتمكين التدقيق إلى مساحة عمل Log Analytics | لضمان رصد العمليات التي تتم لأصول SQL، يجب أن تقوم مساحات عمل Synapse بتمكين التدقيق. إذا لم يتم تمكين التدقيق، سيقوم هذا النهج بتكوين أحداث التدقيق للتدفق إلى مساحة عمل Log Analytics المحددة. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين مساحات عمل Synapse لاستخدام هويات Microsoft Entra فقط للمصادقة | طلب وإعادة تكوين مساحات عمل Synapse لاستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إنشاء مساحات العمل مع تمكين المصادقة المحلية. يمنع تمكين المصادقة المحلية وإعادة تمكين مصادقة Microsoft Entra فقط على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/Synapse. | تعديل، تعطيل | 1.0.0 |
| تكوين مساحات عمل Synapse لاستخدام هويات Microsoft Entra فقط للمصادقة أثناء إنشاء مساحة العمل | طلب وإعادة تكوين مساحات عمل Synapse ليتم إنشاؤها باستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إعادة تمكين المصادقة المحلية على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/Synapse. | تعديل، تعطيل | 1.2.0 |
| يجب إزالة قواعد جدار حماية IP على مساحات عمل Azure Synapse | تساهم إزالة كافة قواعد جدار الحماية لـ IP في تحسين الأمان من خلال ضمان إمكانية الوصول إلى مساحة عمل Azure Synapse من نقطة نهاية خاصة فقط. تعمل هذه التهيئة على مراجعة إنشاء قواعد جدار الحماية التي تسمح بالوصول إلى الشبكة العامة على مساحة العمل. | المراجعة، معطلة | 1.0.0 |
| يجب تمكين الشبكة الظاهرية لمساحة العمل المدارة على مساحات عمل Azure Synapse | يضمن تمكين شبكة ظاهرية لمساحة عمل مُدارة عزل مساحة العمل الخاصة بك عن مساحات العمل الأخرى. كما يوفر تكامل البيانات وموارد Spark المنتشرة في هذه الشبكة الظاهرية عزل مستوى المستخدم لأنشطة Spark. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تتصل نقاط النهاية الخاصة المدارة من Synapse بالموارد في مستأجري Azure Active Directory المعتمدين فقط | قم بتوفير الحماية لمساحة عمل Synapse الخاص بك فقط من خلال السماح بالاتصالات إلى الموارد في مستأجري Azure Active Directory (Azure AD) المعتمدين. يمكن تحديد مستأجري Azure AD المعتمدين أثناء تعيين النهج. | تدقيق، تعطيل، رفض | 1.0.0 |
| يجب أن تحتوي إعدادات تدقيق مساحة عمل Synapse على مجموعات إجراءات تم تكوينها لالتقاط الأنشطة الهامة | لضمان دقة سجلات التدقيق الخاصة بك قدر الإمكان، يجب أن تتضمن عمليات التدقيق وخاصية المجموعات كافة المجموعات ذات الصلة. نوصي بإضافة SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP، وFAILED_DATABASE_AUTHENTICATION_GROUP، وBATCH_COMPLETED_GROUP. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين مصادقة Microsoft Entra فقط لمساحات عمل Synapse | طلب مساحات عمل Synapse لاستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إنشاء مساحات العمل مع تمكين المصادقة المحلية. يمنع تمكين المصادقة المحلية على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/Synapse. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم مساحات عمل Synapse هويات Microsoft Entra فقط للمصادقة أثناء إنشاء مساحة العمل | طلب إنشاء مساحات عمل Synapse باستخدام مصادقة Microsoft Entra فقط. لا يمنع هذا النهج إعادة تمكين المصادقة المحلية على الموارد بعد الإنشاء. ضع في اعتبارك استخدام مبادرة "مصادقة Microsoft Entra-only" بدلا من ذلك لطلب كليهما. تعرف على المزيد من خلال: https://aka.ms/Synapse. | التدقيق، الرفض، التعطيل | 1.2.0 |
| يجب تكوين مساحات عمل Synapse مع تدقيق SQL إلى وجهة حساب التخزين مع الاحتفاظ لمدة 90 يوما أو أعلى | لأغراض إجراء التحريات الخاصة بالحوادث، نوصي بتعيين استبقاء البيانات فيما يتعلق بالتدقيق من قبل مساحة عمل Synapse SQL إلى وجهة حساب التخزين لمدة 90 يومًا على الأقل. تأكد من الاستيفاء بقواعد الاحتفاظ الضرورية للمناطق التي تعمل فيها. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين تقييم الثغرات الأمنية على مساحات عمل Synapse | اكتشف الثغرات الأمنية المحتملة وتعقبها وصلحها عن طريق تكوين عمليات فحص تقييم الضعف المتكررة SQL على مساحات عمل Synapse. | AuditIfNotExists، معطل | 1.0.0 |
نهج النظام
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مناطق توزيع الموارد المسموح بها | يحافظ هذا النهج على مجموعة من أفضل المناطق المتاحة حيث يمكن لاشتراكك نشر الموارد. الهدف من هذا النهج هو التأكد من أن اشتراكك لديه حق الوصول الكامل إلى خدمات Azure مع الأداء الأمثل. إذا كنت بحاجة إلى مناطق إضافية أو مناطق مختلفة، اتصل بالدعم. | رفض | 1.0.0 |
علامات
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إضافة علامة إلى مجموعات الموارد | إضافة العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مجموعة موارد لا تحتوي على هذه العلامة. يمكن معالجة مجموعات الموارد الحالية من خلال تشغيل مهمة المعالجة. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. | تعديل | 1.0.0 |
| إضافة علامة إلى الموارد | إضافة العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مورد مفقود هذه العلامة. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. لا يتم تعديل العلامات على مجموعات الموارد. | تعديل | 1.0.0 |
| إضافة علامة إلى الاشتراكات | إضافة العلامة والقيمة المحددتين للاشتراكات عبر مهمة الإصلاح. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. انظر https://aka.ms/azurepolicyremediation لمزيد من المعلومات حول معالجة السياسات. | تعديل | 1.0.0 |
| إضافة أو استبدال علامة في مجموعات الموارد | إضافة أو استبدال العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مجموعة موارد. يمكن معالجة مجموعات الموارد الحالية من خلال تشغيل مهمة المعالجة. | تعديل | 1.0.0 |
| إضافة أو استبدال علامة على الموارد | إضافة أو استبدال العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مورد. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. لا يتم تعديل العلامات على مجموعات الموارد. | تعديل | 1.0.0 |
| إضافة علامة أو استبدالها في الاشتراكات | إضافة أو استبدال العلامة والقيمة المحددتين للاشتراكات عبر مهمة المعالجة. يمكن معالجة مجموعات الموارد الحالية من خلال تشغيل مهمة المعالجة. انظر https://aka.ms/azurepolicyremediation لمزيد من المعلومات حول معالجة السياسات. | تعديل | 1.0.0 |
| إرفاق علامة وقيمتها من مجموعة الموارد | لإرفاق العلامة المحددة بقيمتها من مجموعة الموارد عند إنشاء أو تحديث أي مورد يفتقد هذه العلامة. لا يتم تعديل علامات الموارد التي تم إنشاؤها قبل تطبيق هذه السياسة حتى يتم تغيير هذه الموارد. تتوفر سياسات تأثير "التعديل" الجديدة التي تدعم معالجة العلامات على الموارد الحالية (راجع https://aka.ms/modifydoc). | إرفاق | 1.0.0 |
| إرفاق علامة وقيمتها بمجموعات الموارد | لإرفاق العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مجموعة موارد تفتقد إلى هذه العلامة. لا يتم تعديل علامات مجموعات الموارد التي تم إنشاؤها قبل تطبيق هذه السياسة حتى يتم تغيير مجموعات الموارد هذه. تتوفر سياسات تأثير "التعديل" الجديدة التي تدعم معالجة العلامات على الموارد الحالية (راجع https://aka.ms/modifydoc). | إرفاق | 1.0.0 |
| إرفاق علامة وقيمتها بالموارد | لإرفاق العلامة والقيمة المحددتين عند إنشاء أو تحديث أي مورد يفتقد إلى هذه العلامة. لا يتم تعديل علامات الموارد التي تم إنشاؤها قبل تطبيق هذه السياسة حتى يتم تغيير هذه الموارد. لا ينطبق على مجموعات الموارد. تتوفر سياسات تأثير "التعديل" الجديدة التي تدعم معالجة العلامات على الموارد الحالية (راجع https://aka.ms/modifydoc). | إرفاق | 1.0.1 |
| استيراد علامة من مجموعة الموارد | إضافة أو استبدال العلامة والقيمة المحددتين من مجموعة الموارد الرئيسية عند إنشاء أي مورد أو تحديثه. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. | تعديل | 1.0.0 |
| استيراد علامة من مجموعة الموارد في حالة فقدها | إضافة العلامة المحددة بقيمتها من مجموعة الموارد الرئيسية عند إنشاء أو تحديث أي مورد مفقود هذه العلامة. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. | تعديل | 1.0.0 |
| استيراد علامة من الاشتراك | استيراد أو استبدال العلامة والقيمة المحددتين من الاشتراك المتضمن عند إنشاء أي مورد أو تحديثه. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. | تعديل | 1.0.0 |
| استيراد علامة من الاشتراك في حالة فقدها | إضافة العلامة المحددة بقيمتها من الاشتراك المتضمن عند إنشاء أو تحديث أي مورد لا يحتوي على هذه العلامة. يمكن معالجة الموارد الموجودة عن طريق بدء مهمة المعالجة. إذا كانت العلامة موجودة بقيمة مختلفة، فلن يتم تغييرها. | تعديل | 1.0.0 |
| طلب علامة وقيمتها في مجموعات الموارد | فرض علامة مطلوبة وقيمتها على مجموعات الموارد. | رفض | 1.0.0 |
| طلب علامة وقيمتها في الموارد | فرض العلامة المطلوبة وقيمتها. لا ينطبق على مجموعات الموارد. | رفض | 1.0.1 |
| طلب علامة في مجموعات الموارد | فرض وجود علامة على مجموعات الموارد. | رفض | 1.0.0 |
| طلب علامة على الموارد | فرض وجود علامة. لا ينطبق على مجموعات الموارد. | رفض | 1.0.1 |
| يتطلب عدم وجود علامة معينة للموارد. | رفض إنشاء مورد يحتوي على العلامة المحددة. لا ينطبق على مجموعات الموارد. | التدقيق، الرفض، التعطيل | 2.0.0 |
تشغيل موثوق
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تدعم الأقراص وصورة نظام التشغيل TrustedLaunch | يعمل TrustedLaunch على تحسين أمان الجهاز الظاهري الذي يتطلب قرص نظام التشغيل وصورة نظام التشغيل لدعمه (Gen 2). لمعرفة المزيد حول TrustedLaunch، تفضل بزيارة https://aka.ms/trustedlaunch | المراجعة، معطلة | 1.0.0 |
| يجب تمكين TrustedLaunch للجهاز الظاهري | تمكين TrustedLaunch على الجهاز الظاهري لتحسين الأمان، استخدم VM SKU (Gen 2) الذي يدعم TrustedLaunch. لمعرفة المزيد حول TrustedLaunch، تفضل بزيارة https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | المراجعة، معطلة | 1.0.0 |
VirtualEnclaves
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين حسابات التخزين لتقييد الوصول إلى الشبكة من خلال تكوين تجاوز ACL للشبكة فقط. | لتحسين أمان حسابات التخزين، قم بتمكين الوصول فقط من خلال تجاوز ACL للشبكة. يجب استخدام هذا النهج مع نقطة نهاية خاصة للوصول إلى حساب التخزين. | تعديل، تعطيل | 1.0.0 |
| عدم السماح بإنشاء أنواع الموارد خارج قائمة السماح | يمنع هذا النهج نشر أنواع الموارد خارج الأنواع المسموح بها صراحة، من أجل الحفاظ على الأمان في جيب ظاهري. https://aka.ms/VirtualEnclaves | التدقيق، الرفض، التعطيل | 1.0.0 |
| عدم السماح بإنشاء أنواع أو أنواع موارد محددة ضمن موفرين محددين | لا يسمح بإنشاء موفري الموارد والأنواع المحددة عبر قائمة المعلمات دون موافقة صريحة من فريق الأمان. إذا تم منح استثناء لتعيين النهج، يمكن الاستفادة من المورد داخل الجيب. https://aka.ms/VirtualEnclaves | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب توصيل واجهات الشبكة بشبكة فرعية معتمدة للشبكة الظاهرية المعتمدة | يمنع هذا النهج واجهات الشبكة من الاتصال بشبكة ظاهرية أو شبكة فرعية غير معتمدة. https://aka.ms/VirtualEnclaves | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة من خلال تكوين تجاوز ACL للشبكة فقط. | لتحسين أمان حسابات التخزين، قم بتمكين الوصول فقط من خلال تجاوز ACL للشبكة. يجب استخدام هذا النهج مع نقطة نهاية خاصة للوصول إلى حساب التخزين. | التدقيق، الرفض، التعطيل | 1.0.0 |
VM Image Builder
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | تدقيق، تعطيل، رفض | 1.1.0 |
Web PubSub
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تقوم خدمة Azure Web PubSub بتعطيل الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض خدمة Azure Web PubSub على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من التعرض لخدمة Azure Web PubSub. تعرف على المزيد من خلال: https://aka.ms/awps/networkacls. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يتعين تمكين خدمة Azure Web PubSub سجلات التشخيص | تمكين التدقيق في سجلات التشخيص. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يكون لدى خدمة Azure Web PubSub أساليب مصادقة محلية معطلة | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان من خلال التأكد من أن خدمة Azure Web PubSub تتطلب حصريا هويات Azure Active Directory للمصادقة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Web PubSub SKU الذي يدعم الارتباط الخاص | من خلال وحدة SKU، يتيح Azure Private Link لك توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك الحد من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة لحساب التخزين الخاص بك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/awps/privatelink. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Web PubSub رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. يمكنك تقليل مخاطر تسريب البيانات من خلال تعيين نقاط نهاية خاصة إلى Azure Web PubSub Service الخاصة بك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/awps/privatelink. | المراجعة، معطلة | 1.0.0 |
| تكوين خدمة Azure Web PubSub لتعطيل المصادقة المحلية | قم بتعطيل أساليب المصادقة المحلية بحيث تتطلب خدمة Azure Web PubSub حصريا هويات Azure Active Directory للمصادقة. | تعديل، تعطيل | 1.0.0 |
| تكوين Azure Web PubSub Service لتعطيل الوصول إلى الشبكة العامة | قم بتعطيل الوصول إلى الشبكة العامة لمورد Azure Web PubSub بحيث لا يمكن الوصول إليه عبر الإنترنت العام. وهذا يمكن أن يقلل من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/awps/networkacls. | تعديل، تعطيل | 1.0.0 |
| تكوين Azure Web PubSub Service لاستخدام مناطق DNS الخاصة | استخدم المناطق الخاصة لـDNS لتجاوز دقة DNS لنقطة نهاية خاصة. ترتبط منطقة DNS الخاصة بشبكتك الافتراضية لحل خدمة Azure Web PubSub. تعرف على المزيد من خلال: https://aka.ms/awps/privatelink. | DeployIfNotExists، معطل | 1.0.0 |
| تكوين Azure Web PubSub Service باستخدام نقاط نهاية خاصة | تعمل نقاط النهاية الخاصة على توصيل شبكاتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يمكنك الحد من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة لحساب التخزين الخاص بك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/awps/privatelink. | DeployIfNotExists، معطل | 1.0.0 |
الخطوات التالية
- راجع العناصر المضمنة في مستودع GitHub لنهج Azure.
- راجع بنية تعريف نهج Azure.
- راجع فهم تأثيرات النهج.