تفاصيل مبادرة التوافق التنظيمي المضمنة لمعيار الامتثال التنظيمي لـ CIS Microsoft Azure Foundations 1.3.0

مقالة
04/17/2024

توضح المقالة التالية كيفية تعيين تعريف مبادرة الامتثال التنظيمي المدمج وفقًا لـ Azure Policy إلى مجالات الامتثال وعناصر التحكم في معيار أسس CIS Microsoft Azure 1.3.0. لمزيد من المعلومات حول معيار التوافق هذا، راجع CIS Microsoft Azure Foundations Benchmark 1.3.0. لفهم الملكية، راجع تعريف نهج Azure و المسؤولية المشتركة في السحابة.

التعيينات التالية هي لعناصر تحكم CIS Microsoft Azure Foundations Benchmark 1.3.0. يتم تنفيذ العديد من عناصر التحكم بتعريف مبادرة ⁧Azure Policy⁧. لمراجعة تعريف المبادرة الكامل، افتح نهج في مدخل Microsoft Azure وحدد صفحة التعريفات. بعد ذلك، ابحث عن وحدد تعريف مبادرة التوافق التنظيمي المضمنة CIS Microsoft Azure Foundations Benchmark v1.3.0.

هام

يرتبط كل عنصر تحكم أدناه بتعريف أو أكثر من تعريفات نهج Azure. قد تساعدك هذه السياسات على تقييم الامتثال بعنصر التحكم؛ ومع ذلك، غالباً ما لا يكون هناك تطابق أو تناظر كامل بين عنصر التحكم مع نهج واحد أو أكثر. على هذا النحو، تشير كلمة ⁧متوافق في Azure Policy فقط إلى تعريفات النهج ذاتها؛ وهذا لا يضمن أنك ممتثل تمامًا لكافة متطلبات عنصر التحكم. بالإضافة إلى ذلك، يتضمن معيار التوافق عناصر تحكم لا يتم تناولها بواسطة أي تعريفات خاصة بـ Azure Policy في هذا الوقت. لذلك، فإن التوافق في Azure Policy هو مجرد مظهر جزئي لحالة التوافق الكلي. قد تتغير الاقترانات بين مجالات الامتثال وعناصر التحكم وتعريفات Azure Policy لمعيار الامتثال المذكور بمرور الوقت. لعرض تاريخ التغييرات، راجع تاريخ امتثال شركة GitHub.

1 إدارة الوصول والهوية

تأكد من تمكين المصادقة متعددة العوامل لجميع المستخدمين المميزين

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.1 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
اعتماد آليات المصادقة البيومترية	CMA_0005 - اعتماد آليات المصادقة البيومترية	يدوي، معطل	1.1.0

تأكد من تعيين أنه 'يمكن للمستخدمين إضافة تطبيقات المعرض إلى لوحة الوصول' إلى 'لا'

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.10 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
السماح بالوصول إلى وظائف الأمان والمعلومات	CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات	يدوي، معطل	1.1.0
تخويل الوصول وإدارته	CMA_0023 - تخويل الوصول وإدارته	يدوي، معطل	1.1.0
فرض نهج التحكم في الوصول الإلزامية والاختيارية	CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية	يدوي، معطل	1.1.0

تأكد من تعيين أنه "يمكن للمستخدمين تسجيل التطبيقات" على 'لا'

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.11 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
السماح بالوصول إلى وظائف الأمان والمعلومات	CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات	يدوي، معطل	1.1.0
تخويل الوصول وإدارته	CMA_0023 - تخويل الوصول وإدارته	يدوي، معطل	1.1.0
فرض نهج التحكم في الوصول الإلزامية والاختيارية	CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية	يدوي، معطل	1.1.0

تأكد من تعيين "أذونات المستخدم الضيف محدودة" إلى "نعم"

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.12 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
السماح بالوصول إلى وظائف الأمان والمعلومات	CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات	يدوي، معطل	1.1.0
تخويل الوصول وإدارته	CMA_0023 - تخويل الوصول وإدارته	يدوي، معطل	1.1.0
تصميم نموذج التحكم في الوصول	CMA_0129 - تصميم نموذج التحكم في الوصول	يدوي، معطل	1.1.0
استخدام الوصول الأقل امتيازًا	CMA_0212 - استخدام الوصول الأقل امتيازًا	يدوي، معطل	1.1.0
فرض الوصول المنطقي	CMA_0245 - Enforce logical access	يدوي، معطل	1.1.0
فرض نهج التحكم في الوصول الإلزامية والاختيارية	CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية	يدوي، معطل	1.1.0
طلب الموافقة لإنشاء الحساب	CMA_0431 - طلب الموافقة لإنشاء الحساب	يدوي، معطل	1.1.0
مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة	CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة	يدوي، معطل	1.1.0

احرص أن يكون '⁧⁩يمكن للأعضاء الدعوة'⁧⁩ تم تعيينها إلى '⁧⁩لا'⁧⁩

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.13 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
السماح بالوصول إلى وظائف الأمان والمعلومات	CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات	يدوي، معطل	1.1.0
تخويل الوصول وإدارته	CMA_0023 - تخويل الوصول وإدارته	يدوي، معطل	1.1.0
تصميم نموذج التحكم في الوصول	CMA_0129 - تصميم نموذج التحكم في الوصول	يدوي، معطل	1.1.0
استخدام الوصول الأقل امتيازًا	CMA_0212 - استخدام الوصول الأقل امتيازًا	يدوي، معطل	1.1.0
فرض الوصول المنطقي	CMA_0245 - Enforce logical access	يدوي، معطل	1.1.0
فرض نهج التحكم في الوصول الإلزامية والاختيارية	CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية	يدوي، معطل	1.1.0
طلب الموافقة لإنشاء الحساب	CMA_0431 - طلب الموافقة لإنشاء الحساب	يدوي، معطل	1.1.0
مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة	CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة	يدوي، معطل	1.1.0

تأكد من تعيين "يمكن للضيوف الدعوة" على 'لا'

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.14 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
السماح بالوصول إلى وظائف الأمان والمعلومات	CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات	يدوي، معطل	1.1.0
تخويل الوصول وإدارته	CMA_0023 - تخويل الوصول وإدارته	يدوي، معطل	1.1.0
تصميم نموذج التحكم في الوصول	CMA_0129 - تصميم نموذج التحكم في الوصول	يدوي، معطل	1.1.0
استخدام الوصول الأقل امتيازًا	CMA_0212 - استخدام الوصول الأقل امتيازًا	يدوي، معطل	1.1.0
فرض الوصول المنطقي	CMA_0245 - Enforce logical access	يدوي، معطل	1.1.0
فرض نهج التحكم في الوصول الإلزامية والاختيارية	CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية	يدوي، معطل	1.1.0
طلب الموافقة لإنشاء الحساب	CMA_0431 - طلب الموافقة لإنشاء الحساب	يدوي، معطل	1.1.0
مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة	CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة	يدوي، معطل	1.1.0

تأكد من تعيين 'تقييد الوصول إلى مدخل إدارة Azure AD⁧⁩' على⁧ '⁩Yes⁧⁩'

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.15 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
السماح بالوصول إلى وظائف الأمان والمعلومات	CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات	يدوي، معطل	1.1.0
تخويل الوصول وإدارته	CMA_0023 - تخويل الوصول وإدارته	يدوي، معطل	1.1.0
فرض الوصول المنطقي	CMA_0245 - Enforce logical access	يدوي، معطل	1.1.0
فرض نهج التحكم في الوصول الإلزامية والاختيارية	CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية	يدوي، معطل	1.1.0
طلب الموافقة لإنشاء الحساب	CMA_0431 - طلب الموافقة لإنشاء الحساب	يدوي، معطل	1.1.0
مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة	CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة	يدوي، معطل	1.1.0

تعيين 'تقييد قدرة المستخدم على الوصول إلى ميزات المجموعات في لوحة الوصول' على 'لا'

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.16 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
السماح بالوصول إلى وظائف الأمان والمعلومات	CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات	يدوي، معطل	1.1.0
تخويل الوصول وإدارته	CMA_0023 - تخويل الوصول وإدارته	يدوي، معطل	1.1.0
فرض نهج التحكم في الوصول الإلزامية والاختيارية	CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية	يدوي، معطل	1.1.0
إنشاء عمليات التحكم في التغيير وتوثيقها	CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها	يدوي، معطل	1.1.0

تأكد من تعيين 'يمكن للمستخدمين إنشاء مجموعات أمان في مداخل Azure' على 'لا'

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.17 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
السماح بالوصول إلى وظائف الأمان والمعلومات	CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات	يدوي، معطل	1.1.0
تخويل الوصول وإدارته	CMA_0023 - تخويل الوصول وإدارته	يدوي، معطل	1.1.0
فرض نهج التحكم في الوصول الإلزامية والاختيارية	CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية	يدوي، معطل	1.1.0
إنشاء عمليات التحكم في التغيير وتوثيقها	CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها	يدوي، معطل	1.1.0

تأكد من تعيين 'المالكون يمكنهم إدارة طلبات عضوية المجموعة في لوحة الوصول' إلى 'لا'

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.18 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
السماح بالوصول إلى وظائف الأمان والمعلومات	CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات	يدوي، معطل	1.1.0
تخويل الوصول وإدارته	CMA_0023 - تخويل الوصول وإدارته	يدوي، معطل	1.1.0
فرض نهج التحكم في الوصول الإلزامية والاختيارية	CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية	يدوي، معطل	1.1.0
إنشاء عمليات التحكم في التغيير وتوثيقها	CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها	يدوي، معطل	1.1.0

تأكد من تعيين 'يمكن للمستخدمين إنشاء مجموعات Microsoft 365 في مداخل Azure' إلى 'لا'

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.19 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
السماح بالوصول إلى وظائف الأمان والمعلومات	CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات	يدوي، معطل	1.1.0
تخويل الوصول وإدارته	CMA_0023 - تخويل الوصول وإدارته	يدوي، معطل	1.1.0
فرض نهج التحكم في الوصول الإلزامية والاختيارية	CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية	يدوي، معطل	1.1.0
إنشاء عمليات التحكم في التغيير وتوثيقها	CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها	يدوي، معطل	1.1.0

تأكد من تمكين المصادقة متعددة العوامل لجميع المستخدمين غير المميزين

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.2 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA)	يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
اعتماد آليات المصادقة البيومترية	CMA_0005 - اعتماد آليات المصادقة البيومترية	يدوي، معطل	1.1.0

تأكد من تعيين 'طلب المصادقة متعددة العوامل للانضمام إلى الأجهزة' على 'نعم'

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.20 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
اعتماد آليات المصادقة البيومترية	CMA_0005 - اعتماد آليات المصادقة البيومترية	يدوي، معطل	1.1.0
تخويل الوصول عن بعد	CMA_0024 - تخويل الوصول عن بُعد	يدوي، معطل	1.1.0
التدريب على التنقل في المستندات	CMA_0191 - تدريب على التنقل في المستندات	يدوي، معطل	1.1.0
توثيق إرشادات الوصول عن بعد	CMA_0196 - توثيق إرشادات الوصول عن بُعد	يدوي، معطل	1.1.0
تحديد أجهزة الشبكة ومصادقتها	CMA_0296 - تحديد أجهزة الشبكة ومصادقتها	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة	CMA_0315 - تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة	يدوي، معطل	1.1.0
توفير التدريب على الخصوصية	CMA_0415 - توفير التدريب على الخصوصية	يدوي، معطل	1.1.0
تلبية متطلبات جودة الرمز المميز	CMA_0487 - تلبية متطلبات جودة الرمز المميز	يدوي، معطل	1.1.0

تأكد من عدم إنشاء أدوار مخصصة لمالك الاشتراك

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.21 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
السماح بالوصول إلى وظائف الأمان والمعلومات	CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات	يدوي، معطل	1.1.0
تخويل الوصول وإدارته	CMA_0023 - تخويل الوصول وإدارته	يدوي، معطل	1.1.0
تصميم نموذج التحكم في الوصول	CMA_0129 - تصميم نموذج التحكم في الوصول	يدوي، معطل	1.1.0
استخدام الوصول الأقل امتيازًا	CMA_0212 - استخدام الوصول الأقل امتيازًا	يدوي، معطل	1.1.0
فرض نهج التحكم في الوصول الإلزامية والاختيارية	CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية	يدوي، معطل	1.1.0
إنشاء عمليات التحكم في التغيير وتوثيقها	CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها	يدوي، معطل	1.1.0

تأكد من تمكين إعدادات الأمان الافتراضية على Azure Active Directory

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.22 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
اعتماد آليات المصادقة البيومترية	CMA_0005 - اعتماد آليات المصادقة البيومترية	يدوي، معطل	1.1.0
المصادقة على وحدة التشفير	CMA_0021 - المصادقة على وحدة التشفير	يدوي، معطل	1.1.0
تخويل الوصول عن بعد	CMA_0024 - تخويل الوصول عن بُعد	يدوي، معطل	1.1.0
التدريب على التنقل في المستندات	CMA_0191 - تدريب على التنقل في المستندات	يدوي، معطل	1.1.0
توثيق إرشادات الوصول عن بعد	CMA_0196 - توثيق إرشادات الوصول عن بُعد	يدوي، معطل	1.1.0
تحديد أجهزة الشبكة ومصادقتها	CMA_0296 - تحديد أجهزة الشبكة ومصادقتها	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة	CMA_0315 - تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة	يدوي، معطل	1.1.0
توفير التدريب على الخصوصية	CMA_0415 - توفير التدريب على الخصوصية	يدوي، معطل	1.1.0
تلبية متطلبات جودة الرمز المميز	CMA_0487 - تلبية متطلبات جودة الرمز المميز	يدوي، معطل	1.1.0

تأكد من تعيين دور مخصص لإدارة تأمين الموارد

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.23 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
السماح بالوصول إلى وظائف الأمان والمعلومات	CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات	يدوي، معطل	1.1.0
تخويل الوصول وإدارته	CMA_0023 - تخويل الوصول وإدارته	يدوي، معطل	1.1.0
فرض نهج التحكم في الوصول الإلزامية والاختيارية	CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية	يدوي، معطل	1.1.0
إنشاء عمليات التحكم في التغيير وتوثيقها	CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها	يدوي، معطل	1.1.0

التأكد من مراجعة المستخدمين الضيوف على أساس شهري

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.3 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تدقيق حالة حساب المستخدم	CMA_0020 - تدقيق حالة حساب المستخدم	يدوي، معطل	1.1.0
يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure	يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure	يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
إعادة تعيين امتيازات المستخدم أو إزالتها حسب الحاجة	CMA_C1040 - إعادة تعيين امتيازات المستخدم أو إزالتها حسب الحاجة	يدوي، معطل	1.1.0
مراجعة سجلات توفير الحساب	CMA_0460 - مراجعة سجلات توفير الحساب	يدوي، معطل	1.1.0
مراجعة حسابات المستخدمين	CMA_0480 - مراجعة حسابات المستخدم	يدوي، معطل	1.1.0
مراجعة أمتيازات المستخدم	CMA_C1039 - مراجعة امتيازات المستخدم	يدوي، معطل	1.1.0

تأكد من أن 'السماح للمستخدمين بتذكر المصادقة متعددة العوامل على الأجهزة التي يثقون بها' 'معطل'

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.4 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
اعتماد آليات المصادقة البيومترية	CMA_0005 - اعتماد آليات المصادقة البيومترية	يدوي، معطل	1.1.0
تحديد أجهزة الشبكة ومصادقتها	CMA_0296 - تحديد أجهزة الشبكة ومصادقتها	يدوي، معطل	1.1.0
تلبية متطلبات جودة الرمز المميز	CMA_0487 - تلبية متطلبات جودة الرمز المميز	يدوي، معطل	1.1.0

تأكد من عدم تعيين 'عدد الأيام قبل مطالبة المستخدمين بإعادة تأكيد معلومات المصادقة الخاصة بهم' على '0'

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.6 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
أتمتة إدارة الحساب	CMA_0026 - أتمتة إدارة الحساب	يدوي، معطل	1.1.0
إدارة حسابات النظام والمسؤول	CMA_0368 - إدارة حسابات النظام والمسؤول	يدوي، معطل	1.1.0
مراقبة الوصول عبر المؤسسة	CMA_0376 - مراقبة الوصول عبر المؤسسة	يدوي، معطل	1.1.0
إعلام عندما لا تكون هناك حاجة إلى الحساب	CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب	يدوي، معطل	1.1.0

تأكد من أن 'إعلام المستخدمين عند إعادة تعيين كلمة المرور؟' تم تعيين إلى 'نعم'

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.7 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
أتمتة إدارة الحساب	CMA_0026 - أتمتة إدارة الحساب	يدوي، معطل	1.1.0
تنفيذ التدريب لحماية المصدقين	CMA_0329 - تنفيذ التدريب لحماية المصدقين	يدوي، معطل	1.1.0
إدارة حسابات النظام والمسؤول	CMA_0368 - إدارة حسابات النظام والمسؤول	يدوي، معطل	1.1.0
مراقبة الوصول عبر المؤسسة	CMA_0376 - مراقبة الوصول عبر المؤسسة	يدوي، معطل	1.1.0
إعلام عندما لا تكون هناك حاجة إلى الحساب	CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب	يدوي، معطل	1.1.0

تأكد من 'إعلام جميع المسؤولين عند إعادة تعيين المسؤولين الآخرين لكلمة المرور الخاصة بهم؟' تم تعيين إلى 'نعم'

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.8 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تدقيق الدوال المميزة	CMA_0019 - تدقيق الوظائف المتميزة	يدوي، معطل	1.1.0
أتمتة إدارة الحساب	CMA_0026 - أتمتة إدارة الحساب	يدوي، معطل	1.1.0
تنفيذ التدريب لحماية المصدقين	CMA_0329 - تنفيذ التدريب لحماية المصدقين	يدوي، معطل	1.1.0
إدارة حسابات النظام والمسؤول	CMA_0368 - إدارة حسابات النظام والمسؤول	يدوي، معطل	1.1.0
مراقبة الوصول عبر المؤسسة	CMA_0376 - مراقبة الوصول عبر المؤسسة	يدوي، معطل	1.1.0
مراقبة تعيين الدور المتميز	CMA_0378 - مراقبة تعيين الدور المتميز	يدوي، معطل	1.1.0
إعلام عندما لا تكون هناك حاجة إلى الحساب	CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب	يدوي، معطل	1.1.0
تقييد الوصول إلى الحسابات المتميزة	CMA_0446 - تقييد الوصول إلى الحسابات المتميزة	يدوي، معطل	1.1.0
إبطال الأدوار المتميزة حسب الاقتضاء	CMA_0483 - إبطال الأدوار المتميزة حسب الاقتضاء	يدوي، معطل	1.1.0
استخدم إدارة الهويةَ المتميزة	CMA_0533 - استخدم إدارة الهويةَ المتميزة	يدوي، معطل	1.1.0

المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.9 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
السماح بالوصول إلى وظائف الأمان والمعلومات	CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات	يدوي، معطل	1.1.0
تخويل الوصول وإدارته	CMA_0023 - تخويل الوصول وإدارته	يدوي، معطل	1.1.0
فرض نهج التحكم في الوصول الإلزامية والاختيارية	CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية	يدوي، معطل	1.1.0

2 مركز الأمان

تأكد من تعيين Azure Defender على التشغيل للخوادم "On for Servers"

المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	يدوي، معطل	1.1.0
الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	يدوي، معطل	1.1.0
إدارة البوابات	CMA_0363 - Manage gateways	يدوي، معطل	1.1.0
إجراء تحليل للاتجاهات على التهديدات	CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات	يدوي، معطل	1.1.0
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	يدوي، معطل	1.1.0
مراجعة حالة الحماية من التهديدات أسبوعيًا	CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا	يدوي، معطل	1.1.0
تحديث تعريفات مكافحة الفيروسات	CMA_0517 - تحديث تعريفات مكافحة الفيروسات	يدوي، معطل	1.1.0

تأكد من تحديد تكامل Microsoft Cloud App Security (MCAS) مع Security Center

المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.10 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	يدوي، معطل	1.1.0
الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	يدوي، معطل	1.1.0
إدارة البوابات	CMA_0363 - Manage gateways	يدوي، معطل	1.1.0
إجراء تحليل للاتجاهات على التهديدات	CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات	يدوي، معطل	1.1.0
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	يدوي، معطل	1.1.0
مراجعة حالة الحماية من التهديدات أسبوعيًا	CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا	يدوي، معطل	1.1.0
تحديث تعريفات مكافحة الفيروسات	CMA_0517 - تحديث تعريفات مكافحة الفيروسات	يدوي، معطل	1.1.0

تأكد من تعيين "التوفير التلقائي لوكيل المراقبة" إلى "تشغيل"

المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.11 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك	لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها.	AuditIfNotExists، معطل	1.0.1
عمليات أمان المستند	CMA_0202 - عمليات أمان المستندات	يدوي، معطل	1.1.0
تشغيل أجهزة الاستشعار لحل أمان نقطة النهاية	CMA_0514 - تشغيل أدوات الاستشعار لحل أمان نقطة النهاية	يدوي، معطل	1.1.0

تأكد من عدم تعيين أي من إعداد النهج الافتراضي ASC إلى "معطل"

المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.12 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تكوين الإجراءات للأجهزة غير المتوافقة	CMA_0062 - تكوين الإجراءات للأجهزة غير المتوافقة	يدوي، معطل	1.1.0
تطوير التكوينات الأساسية وصيانتها	CMA_0153 - تطوير التكوينات الأساسية وصيانتها	يدوي، معطل	1.1.0
فرض إعدادات تكوين الأمان	CMA_0249 - فرض إعدادات تكوين الأمان	يدوي، معطل	1.1.0
إنشاء لوحة تحكم التكوين	CMA_0254 - إنشاء لوحة تحكم التكوين	يدوي، معطل	1.1.0
إنشاء خطة إدارة تكوين وتوثيقها	CMA_0264 - إنشاء خطة إدارة تكوين وتوثيقها	يدوي، معطل	1.1.0
تنفيذ أداة إدارة تكوين تلقائية	CMA_0311 - تنفيذ أداة إدارة تكوين تلقائية	يدوي، معطل	1.1.0

تأكد من تكوين "Additional email addresses" باستخدام بريد إلكتروني لجهة اتصال أمان

المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.13 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center.	AuditIfNotExists، معطل	1.0.1

تأكد من تعيين 'Notify about alerts with the following severity' إلى 'High'

المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.14 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	1.1.0

تأكد من تعيين Azure Defender إلى On لخدمة التطبيقات

المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.2 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	يدوي، معطل	1.1.0
الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	يدوي، معطل	1.1.0
إدارة البوابات	CMA_0363 - Manage gateways	يدوي، معطل	1.1.0
إجراء تحليل للاتجاهات على التهديدات	CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات	يدوي، معطل	1.1.0
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	يدوي، معطل	1.1.0
مراجعة حالة الحماية من التهديدات أسبوعيًا	CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا	يدوي، معطل	1.1.0
تحديث تعريفات مكافحة الفيروسات	CMA_0517 - تحديث تعريفات مكافحة الفيروسات	يدوي، معطل	1.1.0

تأكد من تعيين Azure Defender إلى On لخوادم قاعدة بيانات Azure SQL

المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.3 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	يدوي، معطل	1.1.0
الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	يدوي، معطل	1.1.0
إدارة البوابات	CMA_0363 - Manage gateways	يدوي، معطل	1.1.0
إجراء تحليل للاتجاهات على التهديدات	CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات	يدوي، معطل	1.1.0
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	يدوي، معطل	1.1.0
مراجعة حالة الحماية من التهديدات أسبوعيًا	CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا	يدوي، معطل	1.1.0
تحديث تعريفات مكافحة الفيروسات	CMA_0517 - تحديث تعريفات مكافحة الفيروسات	يدوي، معطل	1.1.0

تأكد من تعيين Azure Defender إلى تشغيل SQL الخوادم على الأجهزة

المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.4 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	يدوي، معطل	1.1.0
الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	يدوي، معطل	1.1.0
إدارة البوابات	CMA_0363 - Manage gateways	يدوي، معطل	1.1.0
إجراء تحليل للاتجاهات على التهديدات	CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات	يدوي، معطل	1.1.0
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	يدوي، معطل	1.1.0
مراجعة حالة الحماية من التهديدات أسبوعيًا	CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا	يدوي، معطل	1.1.0
تحديث تعريفات مكافحة الفيروسات	CMA_0517 - تحديث تعريفات مكافحة الفيروسات	يدوي، معطل	1.1.0

تأكد من تعيين Azure Defender إلى On للتخزين

المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.5 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	يدوي، معطل	1.1.0
الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	يدوي، معطل	1.1.0
إدارة البوابات	CMA_0363 - Manage gateways	يدوي، معطل	1.1.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
إجراء تحليل للاتجاهات على التهديدات	CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات	يدوي، معطل	1.1.0
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	يدوي، معطل	1.1.0
مراجعة حالة الحماية من التهديدات أسبوعيًا	CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا	يدوي، معطل	1.1.0
تحديث تعريفات مكافحة الفيروسات	CMA_0517 - تحديث تعريفات مكافحة الفيروسات	يدوي، معطل	1.1.0

تأكد من تعيين Azure Defender إلى On لـ Kubernetes

المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.6 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	يدوي، معطل	1.1.0
الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	يدوي، معطل	1.1.0
إدارة البوابات	CMA_0363 - Manage gateways	يدوي، معطل	1.1.0
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
إجراء تحليل للاتجاهات على التهديدات	CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات	يدوي، معطل	1.1.0
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	يدوي، معطل	1.1.0
مراجعة حالة الحماية من التهديدات أسبوعيًا	CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا	يدوي، معطل	1.1.0
تحديث تعريفات مكافحة الفيروسات	CMA_0517 - تحديث تعريفات مكافحة الفيروسات	يدوي، معطل	1.1.0

تأكد من تعيين Azure Defender إلى On لسجلات الحاويات

المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.7 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	يدوي، معطل	1.1.0
الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	يدوي، معطل	1.1.0
إدارة البوابات	CMA_0363 - Manage gateways	يدوي، معطل	1.1.0
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
إجراء تحليل للاتجاهات على التهديدات	CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات	يدوي، معطل	1.1.0
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	يدوي، معطل	1.1.0
مراجعة حالة الحماية من التهديدات أسبوعيًا	CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا	يدوي، معطل	1.1.0
تحديث تعريفات مكافحة الفيروسات	CMA_0517 - تحديث تعريفات مكافحة الفيروسات	يدوي، معطل	1.1.0

تأكد من تعيين Azure Defender إلى On لـ Key Vault

المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.8 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	يدوي، معطل	1.1.0
الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	يدوي، معطل	1.1.0
إدارة البوابات	CMA_0363 - Manage gateways	يدوي، معطل	1.1.0
إجراء تحليل للاتجاهات على التهديدات	CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات	يدوي، معطل	1.1.0
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	يدوي، معطل	1.1.0
مراجعة حالة الحماية من التهديدات أسبوعيًا	CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا	يدوي، معطل	1.1.0
تحديث تعريفات مكافحة الفيروسات	CMA_0517 - تحديث تعريفات مكافحة الفيروسات	يدوي، معطل	1.1.0

تأكد من تحديد تكامل Windows Defender ATP (WDATP) مع Security Center

المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.9 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	يدوي، معطل	1.1.0
الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	يدوي، معطل	1.1.0
إدارة البوابات	CMA_0363 - Manage gateways	يدوي، معطل	1.1.0
إجراء تحليل للاتجاهات على التهديدات	CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات	يدوي، معطل	1.1.0
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	يدوي، معطل	1.1.0
مراجعة حالة الحماية من التهديدات أسبوعيًا	CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا	يدوي، معطل	1.1.0
تحديث تعريفات مكافحة الفيروسات	CMA_0517 - تحديث تعريفات مكافحة الفيروسات	يدوي، معطل	1.1.0

3 حساب تخزين

تأكد من تعيين "Secure transfer required" إلى وضع "Enabled"

المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.1 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تكوين محطات العمل للتحقق من وجود شهادات رقمية	CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية	يدوي، معطل	1.1.0
حماية البيانات أثناء النقل باستخدام التشفير	CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير	يدوي، معطل	1.1.0
حماية كلمات المرور باستخدام التشفير	CMA_0408 - حماية كلمات المرور باستخدام التشفير	يدوي، معطل	1.1.0
يجب تمكين النقل الآمن إلى حسابات التخزين	متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة	التدقيق، الرفض، التعطيل	2.0.0

تأكد من تمكين تسجيل التخزين لخدمة Blob لطلبات القراءة والكتابة والحذف

المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.10 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تدقيق الدوال المميزة	CMA_0019 - تدقيق الوظائف المتميزة	يدوي، معطل	1.1.0
تدقيق حالة حساب المستخدم	CMA_0020 - تدقيق حالة حساب المستخدم	يدوي، معطل	1.1.0
تكوين قدرات Azure Audit	CMA_C1108 - تكوين قدرات Azure Audit	يدوي، معطل	1.1.1
تحديد الأحداث القابلة للتدقيق	CMA_0137 - تحديد الأحداث القابلة للتدقيق	يدوي، معطل	1.1.0
مراجعة بيانات التدقيق	CMA_0466 - مراجعة بيانات التدقيق	يدوي، معطل	1.1.0

تأكد من تمكين تسجيل التخزين لخدمة Table لطلبات القراءة والكتابة والحذف

المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.11 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تدقيق الدوال المميزة	CMA_0019 - تدقيق الوظائف المتميزة	يدوي، معطل	1.1.0
تدقيق حالة حساب المستخدم	CMA_0020 - تدقيق حالة حساب المستخدم	يدوي، معطل	1.1.0
تكوين قدرات Azure Audit	CMA_C1108 - تكوين قدرات Azure Audit	يدوي، معطل	1.1.1
تحديد الأحداث القابلة للتدقيق	CMA_0137 - تحديد الأحداث القابلة للتدقيق	يدوي، معطل	1.1.0
مراجعة بيانات التدقيق	CMA_0466 - مراجعة بيانات التدقيق	يدوي، معطل	1.1.0

تأكد من إعادة إنشاء مفاتيح الوصول إلى حساب التخزين بشكل دوري

المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.2 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تعريف عملية إدارة المفاتيح الفعلية	CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية	يدوي، معطل	1.1.0
تعريف استخدام التشفير	CMA_0120 - تعريف استخدام التشفير	يدوي، معطل	1.1.0
تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير	CMA_0123 - تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير	يدوي، معطل	1.1.0
تحديد متطلبات التأكيد	CMA_0136 - تحديد متطلبات التأكيد	يدوي، معطل	1.1.0
إصدار شهادات المفتاح العام	CMA_0347 - إصدار شهادات المفتاح العام	يدوي، معطل	1.1.0
إدارة مفاتيح التشفير المتماثلة	CMA_0367 - إدارة مفاتيح التشفير المتماثلة	يدوي، معطل	1.1.0
تقييد الوصول إلى المفاتيح الخاصة	CMA_0445 - تقييد الوصول إلى المفاتيح الخاصة	يدوي، معطل	1.1.0

تأكد من تمكين تسجيل التخزين لخدمة قائمة الانتظار لطلبات القراءة والكتابة والحذف

المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.3 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تدقيق الدوال المميزة	CMA_0019 - تدقيق الوظائف المتميزة	يدوي، معطل	1.1.0
تدقيق حالة حساب المستخدم	CMA_0020 - تدقيق حالة حساب المستخدم	يدوي، معطل	1.1.0
تكوين قدرات Azure Audit	CMA_C1108 - تكوين قدرات Azure Audit	يدوي، معطل	1.1.1
تحديد الأحداث القابلة للتدقيق	CMA_0137 - تحديد الأحداث القابلة للتدقيق	يدوي، معطل	1.1.0
مراجعة بيانات التدقيق	CMA_0466 - مراجعة بيانات التدقيق	يدوي، معطل	1.1.0

يتطلب انتهاء صلاحية الرموز المميزة لتوقيع الوصول المشترك في غضون ساعة

المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.4 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تعطيل المصدقين عند الإنهاء	CMA_0169 - تعطيل المصدقين عند الإنهاء	يدوي، معطل	1.1.0
إبطال الأدوار المتميزة حسب الاقتضاء	CMA_0483 - إبطال الأدوار المتميزة حسب الاقتضاء	يدوي، معطل	1.1.0
إنهاء جلسة عمل المستخدم تلقائيًا	CMA_C1054 - إنهاء جلسة عمل المستخدم تلقائيًا	يدوي، معطل	1.1.0

تأكد من تعيين "Public access level" إلى "Private" لحاويات الكائنات الثنائية كبيرة الحجم

المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.5 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
[معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين	يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك.	تدقيق، Audit، رفض، Deny، معطل، Disabled	3.1.0-المعاينة
السماح بالوصول إلى وظائف الأمان والمعلومات	CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات	يدوي، معطل	1.1.0
تخويل الوصول وإدارته	CMA_0023 - تخويل الوصول وإدارته	يدوي، معطل	1.1.0
فرض الوصول المنطقي	CMA_0245 - Enforce logical access	يدوي، معطل	1.1.0
فرض نهج التحكم في الوصول الإلزامية والاختيارية	CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية	يدوي، معطل	1.1.0
طلب الموافقة لإنشاء الحساب	CMA_0431 - طلب الموافقة لإنشاء الحساب	يدوي، معطل	1.1.0
مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة	CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة	يدوي، معطل	1.1.0

تأكد من تعيين قاعدة الوصول إلى الشبكة الافتراضية لحسابات التخزين إلى "Deny"

المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.6 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية	احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك.	التدقيق، الرفض، التعطيل	1.0.1

تأكد من تمكين "خدمات Microsoft الموثوقة" للوصول إلى حساب Storage Account

المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.7 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
التحكم في تدفق المعلومات	CMA_0079 - التحكم في تدفق المعلومات	يدوي، معطل	1.1.0
استخدام آليات التحكم في التدفق للمعلومات المشفرة	CMA_0211 - استخدام آليات التحكم في التدفق للمعلومات المشفرة	يدوي، معطل	1.1.0
قم بإنشاء وتنفيذ جدار الحماية ومعايير تكوين جهاز التوجيه	CMA_0272 - إنشاء معايير تكوين جدار الحماية والموجه	يدوي، معطل	1.1.0
إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة	CMA_0273 - إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة	يدوي، معطل	1.1.0
تحديد وإدارة عمليات تبادل المعلومات في المراحل النهائية	CMA_0298 - تحديد وإدارة تبادل المعلومات في المراحل النهائية	يدوي، معطل	1.1.0
يجب أن تسمح حسابات التخزين بالوصول من خدمات Microsoft الموثوق بها	تعمل بعض خدمات Microsoft التي تتفاعل مع حسابات التخزين من شبكات لا يمكن منحها حق الوصول من خلال قواعد الشبكة. للمساعدة في هذا النوع من عمل الخدمة كما هو مقصود، اسمح لمجموعة خدمات Microsoft الموثوق بها بتجاوز قواعد الشبكة. وستستخدم هذه الخدمات بعد ذلك مصادقة قوية للوصول إلى حساب التخزين.	التدقيق، الرفض، التعطيل	1.0.0

تأكد من تشفير تخزين البيانات المهمة باستخدام المفتاح المُدار من قِبل العميل

المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.9 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
إنشاء إجراء إدارة تسرب البيانات	CMA_0255 - إنشاء إجراء إدارة تسرب البيانات	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0
حماية البيانات أثناء النقل باستخدام التشفير	CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير	يدوي، معطل	1.1.0
حماية المعلومات الخاصة	CMA_0409 - حماية المعلومات الخاصة	يدوي، معطل	1.1.0
يجب أن تستخدم حسابات التخزين مفتاحاً مداراً من قبل العميل للتشفير	أمّن الكائن الثنائي كبير الحجم وحساب تخزين الملفات بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر.	المراجعة، معطلة	1.0.3

4 خدمات قاعدة البيانات

تأكد من تعيين "Auditing" إلى "ON"

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.1.1 الملكية: مشتركة

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تدقيق الدوال المميزة	CMA_0019 - تدقيق الوظائف المتميزة	يدوي، معطل	1.1.0
تدقيق حالة حساب المستخدم	CMA_0020 - تدقيق حالة حساب المستخدم	يدوي، معطل	1.1.0
ينبغي تمكين التدقيق على خادم SQL	يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق.	AuditIfNotExists، معطل	2.0.0
تحديد الأحداث القابلة للتدقيق	CMA_0137 - تحديد الأحداث القابلة للتدقيق	يدوي، معطل	1.1.0
مراجعة بيانات التدقيق	CMA_0466 - مراجعة بيانات التدقيق	يدوي، معطل	1.1.0

تأكد من تعيين "Data encryption" إلى "On" على قاعدة بيانات SQL

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.1.2 الملكية: مشتركة

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
إنشاء إجراء إدارة تسرب البيانات	CMA_0255 - إنشاء إجراء إدارة تسرب البيانات	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0
حماية البيانات أثناء النقل باستخدام التشفير	CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير	يدوي، معطل	1.1.0
حماية المعلومات الخاصة	CMA_0409 - حماية المعلومات الخاصة	يدوي، معطل	1.1.0
ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL	يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال	AuditIfNotExists، معطل	2.0.0

تأكَّد من أن مدة الاحتفاظ بسجلات "التدقيق" "أكبر من 90 يومًا"

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.1.3 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
الالتزام بفترات الاستبقاء المحددة	CMA_0004 - الالتزام بفترات الاستبقاء المحددة	يدوي، معطل	1.1.0
إدارة ومراقبة أنشطة معالجة التدقيق	CMA_0289 - إدارة ومراقبة أنشطة معالجة التدقيق	يدوي، معطل	1.1.0
الاحتفاظ بسياسات وإجراءات الأمان	CMA_0454 - الاحتفاظ بسياسات وإجراءات الأمان	يدوي، معطل	1.1.0
الاحتفاظ ببيانات المستخدم التي تم إنهاؤها	CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية	يدوي، معطل	1.1.0
ينبغي تكوين خوادم SQL لاستخدام التدقيق لوجهة حساب التخزين مع الاحتفاظ بهذه السجلات لمدة 90 يومًا أو أكثر	لأغراض التحقيق في الحوادث، نوصي بتعيين الاحتفاظ بالبيانات لمراجعة SQL Server إلى وجهة حساب التخزين لمدة 90 يومًا على الأقل. تأكد من الاستيفاء بقواعد الاحتفاظ الضرورية للمناطق التي تعمل فيها. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية.	AuditIfNotExists، معطل	3.0.0

تأكد من تعيين الحماية المتقدمة من التهديدات (ATP) في Microsoft SQL Server إلى "Enabled"

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.2.1 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
إجراء تحليل للاتجاهات على التهديدات	CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات	يدوي، معطل	1.1.0

تأكَّد من تمكين تقييم الثغرات الأمنية (VA) على خادم SQL عن طريق تعيين حساب تخزين

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.2.2 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
معالجة عيوب نظام المعلومات	CMA_0427 - معالجة عيوب نظام المعلومات	يدوي، معطل	1.1.0
ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار	مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	1.0.1
ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك	تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	3.0.0

تأكد من تمكين إعداد VA عمليات الفحص المتكررة الدورية على خادم SQL

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.2.3 الملكية: مشتركة

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
معالجة عيوب نظام المعلومات	CMA_0427 - معالجة عيوب نظام المعلومات	يدوي، معطل	1.1.0

تأكَّد من تكوين إعداد تقييم الثغرات الأمنية على إرسال تقارير المسح الضوئي إلى لخادم SQL

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.2.4 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
ربط معلومات فحص الثغرات الأمنية	CMA_C1558 - ربط معلومات فحص الثغرات الأمنية	يدوي، معطل	1.1.1
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
معالجة عيوب نظام المعلومات	CMA_0427 - معالجة عيوب نظام المعلومات	يدوي، معطل	1.1.0

تأكد من تعيين إعداد VA "إرسال إشعارات البريد الإلكتروني أيضًا إلى المسؤولين ومالكي الاشتراكات" لخادم SQL

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.2.5 الملكية: مشتركة

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
ربط معلومات فحص الثغرات الأمنية	CMA_C1558 - ربط معلومات فحص الثغرات الأمنية	يدوي، معطل	1.1.1
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
معالجة عيوب نظام المعلومات	CMA_0427 - معالجة عيوب نظام المعلومات	يدوي، معطل	1.1.0

تأكد من إعداد 'فرض اتصال SSL' لخادم قاعدة بيانات PostgreSQL إلى 'ممكّن'

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.3.1 الملكية: مشتركة

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تكوين محطات العمل للتحقق من وجود شهادات رقمية	CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية	يدوي، معطل	1.1.0
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL	تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات.	المراجعة، معطلة	1.0.1
حماية البيانات أثناء النقل باستخدام التشفير	CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير	يدوي، معطل	1.1.0
حماية كلمات المرور باستخدام التشفير	CMA_0408 - حماية كلمات المرور باستخدام التشفير	يدوي، معطل	1.1.0

تأكد من تعيين "Enforce SSL connection" لخادم قاعدة بيانات MySQL إلى "ENABLED"

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.3.2 الملكية: مشتركة

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تكوين محطات العمل للتحقق من وجود شهادات رقمية	CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية	يدوي، معطل	1.1.0
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL	قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات.	المراجعة، معطلة	1.0.1
حماية البيانات أثناء النقل باستخدام التشفير	CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير	يدوي، معطل	1.1.0
حماية كلمات المرور باستخدام التشفير	CMA_0408 - حماية كلمات المرور باستخدام التشفير	يدوي، معطل	1.1.0

تأكد من تعيين معلمة خادم "log_checkpoints" إلى "ON" لخادم قاعدة بيانات PostgreSQL

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.3.3 الملكية: مشتركة

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تدقيق الدوال المميزة	CMA_0019 - تدقيق الوظائف المتميزة	يدوي، معطل	1.1.0
تدقيق حالة حساب المستخدم	CMA_0020 - تدقيق حالة حساب المستخدم	يدوي، معطل	1.1.0
تحديد الأحداث القابلة للتدقيق	CMA_0137 - تحديد الأحداث القابلة للتدقيق	يدوي، معطل	1.1.0
يجب تمكين نقاط فحص السجل لخوادم قاعدة بيانات PostgreSQL	يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين إعداد "log_checkpoints".	AuditIfNotExists، معطل	1.0.0
مراجعة بيانات التدقيق	CMA_0466 - مراجعة بيانات التدقيق	يدوي، معطل	1.1.0

تأكد من تعيين معلمة خادم "log_connections" إلى "ON" لخادم قاعدة بيانات PostgreSQL

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.3.4 الملكية: مشتركة

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تدقيق الدوال المميزة	CMA_0019 - تدقيق الوظائف المتميزة	يدوي، معطل	1.1.0
تدقيق حالة حساب المستخدم	CMA_0020 - تدقيق حالة حساب المستخدم	يدوي، معطل	1.1.0
تحديد الأحداث القابلة للتدقيق	CMA_0137 - تحديد الأحداث القابلة للتدقيق	يدوي، معطل	1.1.0
يجب تمكين سجل الاتصالات لخوادم قاعدة بيانات PostgreSQL	يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين إعداد "log_connections".	AuditIfNotExists، معطل	1.0.0
مراجعة بيانات التدقيق	CMA_0466 - مراجعة بيانات التدقيق	يدوي، معطل	1.1.0

تأكد من تعيين معلمة خادم "log_disconnections" إلى "ON" لخادم قاعدة بيانات PostgreSQL

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.3.5 الملكية: مشتركة

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تدقيق الدوال المميزة	CMA_0019 - تدقيق الوظائف المتميزة	يدوي، معطل	1.1.0
تدقيق حالة حساب المستخدم	CMA_0020 - تدقيق حالة حساب المستخدم	يدوي، معطل	1.1.0
تحديد الأحداث القابلة للتدقيق	CMA_0137 - تحديد الأحداث القابلة للتدقيق	يدوي، معطل	1.1.0
يجب تسجيل حالات قطع الاتصال لخوادم قاعدة بيانات PostgreSQL.	يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين "log_disconnections".	AuditIfNotExists، معطل	1.0.0
مراجعة بيانات التدقيق	CMA_0466 - مراجعة بيانات التدقيق	يدوي، معطل	1.1.0

تأكد من تعيين معلمة خادم "connection_throttling" إلى "ON" لخادم قاعدة بيانات PostgreSQL

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.3.6 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تدقيق الدوال المميزة	CMA_0019 - تدقيق الوظائف المتميزة	يدوي، معطل	1.1.0
تدقيق حالة حساب المستخدم	CMA_0020 - تدقيق حالة حساب المستخدم	يدوي، معطل	1.1.0
يجب تمكين تقييد الاتصال "Connection throttling" لخوادم قاعدة بيانات PostgreSQL	يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين "Connection Throttling". يتيح هذا الإعداد تقييد الاتصال المؤقت لكل عنوان IP للعديد من حالات فشل تسجيل الدخول غير الصالحة لكلمة المرور.	AuditIfNotExists، معطل	1.0.0
تحديد الأحداث القابلة للتدقيق	CMA_0137 - تحديد الأحداث القابلة للتدقيق	يدوي، معطل	1.1.0
مراجعة بيانات التدقيق	CMA_0466 - مراجعة بيانات التدقيق	يدوي، معطل	1.1.0

تأكد من أن معلمة الخادم "log_retention_days" أكبر من 3 أيام لخادم قاعدة بيانات PostgreSQL

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.3.7 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
الالتزام بفترات الاستبقاء المحددة	CMA_0004 - الالتزام بفترات الاستبقاء المحددة	يدوي، معطل	1.1.0
إدارة ومراقبة أنشطة معالجة التدقيق	CMA_0289 - إدارة ومراقبة أنشطة معالجة التدقيق	يدوي، معطل	1.1.0
الاحتفاظ بسياسات وإجراءات الأمان	CMA_0454 - الاحتفاظ بسياسات وإجراءات الأمان	يدوي، معطل	1.1.0
الاحتفاظ ببيانات المستخدم التي تم إنهاؤها	CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية	يدوي، معطل	1.1.0

تأكد من تعطيل "السماح بالوصول إلى خدمات Azure" لخادم قاعدة بيانات PostgreSQL

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.3.8 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
التحكم في تدفق المعلومات	CMA_0079 - التحكم في تدفق المعلومات	يدوي، معطل	1.1.0
استخدام آليات التحكم في التدفق للمعلومات المشفرة	CMA_0211 - استخدام آليات التحكم في التدفق للمعلومات المشفرة	يدوي، معطل	1.1.0
قم بإنشاء وتنفيذ جدار الحماية ومعايير تكوين جهاز التوجيه	CMA_0272 - إنشاء معايير تكوين جدار الحماية والموجه	يدوي، معطل	1.1.0
إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة	CMA_0273 - إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة	يدوي، معطل	1.1.0
تحديد وإدارة عمليات تبادل المعلومات في المراحل النهائية	CMA_0298 - تحديد وإدارة تبادل المعلومات في المراحل النهائية	يدوي، معطل	1.1.0

تأكَّد من تكوين مسؤول Azure Active Directory

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.4 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL	راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft	AuditIfNotExists، معطل	1.0.0
أتمتة إدارة الحساب	CMA_0026 - أتمتة إدارة الحساب	يدوي، معطل	1.1.0
إدارة حسابات النظام والمسؤول	CMA_0368 - إدارة حسابات النظام والمسؤول	يدوي، معطل	1.1.0
مراقبة الوصول عبر المؤسسة	CMA_0376 - مراقبة الوصول عبر المؤسسة	يدوي، معطل	1.1.0
إعلام عندما لا تكون هناك حاجة إلى الحساب	CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب	يدوي، معطل	1.1.0

تأكَّد من تشفير حامي تشفير البيانات الشفاف الخاص بخادم SQL باستخدام مفتاح مُدار بواسطة العميل

المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.5 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
إنشاء إجراء إدارة تسرب البيانات	CMA_0255 - إنشاء إجراء إدارة تسرب البيانات	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0
حماية البيانات أثناء النقل باستخدام التشفير	CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير	يدوي، معطل	1.1.0
حماية المعلومات الخاصة	CMA_0409 - حماية المعلومات الخاصة	يدوي، معطل	1.1.0
يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة.	التدقيق، الرفض، التعطيل	2.0.1

5 التسجيل والمراقبة

تأكد من وجود "إعداد التشخيص"

المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.1 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تحديد الأحداث القابلة للتدقيق	CMA_0137 - تحديد الأحداث القابلة للتدقيق	يدوي، معطل	1.1.0

تأكد من أن Diagnostic Setting يلتقط الفئات المناسبة

المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.2 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تدقيق الدوال المميزة	CMA_0019 - تدقيق الوظائف المتميزة	يدوي، معطل	1.1.0
تدقيق حالة حساب المستخدم	CMA_0020 - تدقيق حالة حساب المستخدم	يدوي، معطل	1.1.0
تكوين قدرات Azure Audit	CMA_C1108 - تكوين قدرات Azure Audit	يدوي، معطل	1.1.1
تحديد الأحداث القابلة للتدقيق	CMA_0137 - تحديد الأحداث القابلة للتدقيق	يدوي، معطل	1.1.0
مراجعة بيانات التدقيق	CMA_0466 - مراجعة بيانات التدقيق	يدوي، معطل	1.1.0

تأكد من أن حاوية التخزين التي تخزن سجلات النشاط غير متاحة للجمهور

المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.3 الملكية: مشتركة

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
[معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين	يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك.	تدقيق، Audit، رفض، Deny، معطل، Disabled	3.1.0-المعاينة
تمكين التخويل المزدوج أو المشترك	CMA_0226 - تمكين التخويل المزدوج أو المشترك	يدوي، معطل	1.1.0
حماية معلومات التدقيق	CMA_0401 - حماية معلومات التدقيق	يدوي، معطل	1.1.0

تأكد من تشفير حساب التخزين الذي يحتوي على الحاوية مع سجلات النشاط باستخدام خدمة BYOK (استخدم مفتاحك الخاص)

المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.4 الملكية: مشتركة

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تمكين التخويل المزدوج أو المشترك	CMA_0226 - تمكين التخويل المزدوج أو المشترك	يدوي، معطل	1.1.0
الحفاظ على تكامل نظام التدقيق	CMA_C1133 - الحفاظ على سلامة نظام التدقيق	يدوي، معطل	1.1.0
حماية معلومات التدقيق	CMA_0401 - حماية معلومات التدقيق	يدوي، معطل	1.1.0
يجب تشفير حساب التخزين الذي يحتوي على الحاوية مع سجلات الأنشطة باستخدام BYOK	يقوم هذا النهج بتدقيق ما إذا تم تشفير حساب التخزين الذي يحتوي على الحاوية مع سجلات النشاط باستخدام خدمة BYOK. لا يعمل النهج إلا إذا كان حساب التخزين يقع في الاشتراك نفسه كسجلات النشاط حسب التصميم. يمكن العثور على مزيد من المعلومات حول تشفير Azure Storage غير نشط هنا https://aka.ms/azurestoragebyok.	AuditIfNotExists، معطل	1.0.0

تأكد من أن "تسجيل الدخول إلى Azure KeyVault" في وضع التمكين "Enabled"

المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.5 الملكية: مشتركة

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تدقيق الدوال المميزة	CMA_0019 - تدقيق الوظائف المتميزة	يدوي، معطل	1.1.0
تدقيق حالة حساب المستخدم	CMA_0020 - تدقيق حالة حساب المستخدم	يدوي، معطل	1.1.0
تحديد الأحداث القابلة للتدقيق	CMA_0137 - تحديد الأحداث القابلة للتدقيق	يدوي، معطل	1.1.0
⁧يجب تمكين سجلات الموارد في Key Vault⁧	مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة	AuditIfNotExists، معطل	⁧5.0.0⁧
مراجعة بيانات التدقيق	CMA_0466 - مراجعة بيانات التدقيق	يدوي، معطل	1.1.0

تأكد من وجود تنبيه سجل النشاط لإنشاء تعيين نهج

المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.1 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تنبيه موظفي تسرب المعلومات	CMA_0007 - تنبيه موظفي تسرب المعلومات	يدوي، معطل	1.1.0
يجب أن يوجد تنبيه سجل النشاط لعمليات معينة تتعلق بالنهج	يقوم هذا النهج بتدقيق عمليات نهج معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	3.0.0
تطوير خطة استجابة للحوادث	CMA_0145 - تطوير خطة الاستجابة للحوادث	يدوي، معطل	1.1.0
تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك	CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك	يدوي، معطل	1.1.0

تأكد من وجود تنبيه سجل النشاط لحذف تعيين النهج

المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.2 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تنبيه موظفي تسرب المعلومات	CMA_0007 - تنبيه موظفي تسرب المعلومات	يدوي، معطل	1.1.0
يجب أن يوجد تنبيه سجل النشاط لعمليات معينة تتعلق بالنهج	يقوم هذا النهج بتدقيق عمليات نهج معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	3.0.0
تطوير خطة استجابة للحوادث	CMA_0145 - تطوير خطة الاستجابة للحوادث	يدوي، معطل	1.1.0
تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك	CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك	يدوي، معطل	1.1.0

تأكد من وجود تنبيه سجل النشاط لإنشاء مجموعة أمان الشبكة أو تحديثها

المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.3 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تنبيه موظفي تسرب المعلومات	CMA_0007 - تنبيه موظفي تسرب المعلومات	يدوي، معطل	1.1.0
⁧يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة⁧	يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
تطوير خطة استجابة للحوادث	CMA_0145 - تطوير خطة الاستجابة للحوادث	يدوي، معطل	1.1.0
تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك	CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك	يدوي، معطل	1.1.0

تأكد من وجود تنبيه سجل النشاط لحذف مجموعة أمان الشبكة

المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.4 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تنبيه موظفي تسرب المعلومات	CMA_0007 - تنبيه موظفي تسرب المعلومات	يدوي، معطل	1.1.0
⁧يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة⁧	يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
تطوير خطة استجابة للحوادث	CMA_0145 - تطوير خطة الاستجابة للحوادث	يدوي، معطل	1.1.0
تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك	CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك	يدوي، معطل	1.1.0

تأكد من وجود تنبيه سجل النشاط لإنشاء قاعدة مجموعة أمان الشبكة أو تحديثها

المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.5 الملكية: مشتركة

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تنبيه موظفي تسرب المعلومات	CMA_0007 - تنبيه موظفي تسرب المعلومات	يدوي، معطل	1.1.0
⁧يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة⁧	يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
تطوير خطة استجابة للحوادث	CMA_0145 - تطوير خطة الاستجابة للحوادث	يدوي، معطل	1.1.0
تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك	CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك	يدوي، معطل	1.1.0

تأكد من وجود تنبيه سجل النشاط لقاعدة حذف مجموعة أمان الشبكة

المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.6 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تنبيه موظفي تسرب المعلومات	CMA_0007 - تنبيه موظفي تسرب المعلومات	يدوي، معطل	1.1.0
⁧يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة⁧	يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
تطوير خطة استجابة للحوادث	CMA_0145 - تطوير خطة الاستجابة للحوادث	يدوي، معطل	1.1.0
تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك	CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك	يدوي، معطل	1.1.0

تأكد من وجود تنبيه سجل النشاط لإنشاء أو تحديث حل الأمان

المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.7 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تنبيه موظفي تسرب المعلومات	CMA_0007 - تنبيه موظفي تسرب المعلومات	يدوي، معطل	1.1.0
يجب أن يكون ثمة تنبيه لسجل النشاط الخاص بعمليات أمان معينة	يقوم هذا النهج بتدقيق عمليات أمان معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
تطوير خطة استجابة للحوادث	CMA_0145 - تطوير خطة الاستجابة للحوادث	يدوي، معطل	1.1.0
تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك	CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك	يدوي، معطل	1.1.0

تأكد من وجود تنبيه سجل النشاط لـ "حذف حل الأمان"

المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.8 الملكية: مشتركة

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تنبيه موظفي تسرب المعلومات	CMA_0007 - تنبيه موظفي تسرب المعلومات	يدوي، معطل	1.1.0
يجب أن يكون ثمة تنبيه لسجل النشاط الخاص بعمليات أمان معينة	يقوم هذا النهج بتدقيق عمليات أمان معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
تطوير خطة استجابة للحوادث	CMA_0145 - تطوير خطة الاستجابة للحوادث	يدوي، معطل	1.1.0
تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك	CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك	يدوي، معطل	1.1.0

تأكد من وجود تنبيه لسجل النشاط الخاص بإنشاء قاعدة جدار حماية Microsoft SQL Server أو تحديثها أو حذفها

المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.9 الملكية: مشتركة

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تنبيه موظفي تسرب المعلومات	CMA_0007 - تنبيه موظفي تسرب المعلومات	يدوي، معطل	1.1.0
⁧يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة⁧	يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
تطوير خطة استجابة للحوادث	CMA_0145 - تطوير خطة الاستجابة للحوادث	يدوي، معطل	1.1.0
تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك	CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك	يدوي، معطل	1.1.0

تأكد من تمكين سجلات التشخيص لكافة الخدمات التي تدعمها.

المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.3 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
الالتزام بفترات الاستبقاء المحددة	CMA_0004 - الالتزام بفترات الاستبقاء المحددة	يدوي، معطل	1.1.0
يجب تمكين سجلات الموارد لتطبيقات App Service	قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر.	AuditIfNotExists، معطل	2.0.1
تدقيق الدوال المميزة	CMA_0019 - تدقيق الوظائف المتميزة	يدوي، معطل	1.1.0
تدقيق حالة حساب المستخدم	CMA_0020 - تدقيق حالة حساب المستخدم	يدوي، معطل	1.1.0
تكوين قدرات Azure Audit	CMA_C1108 - تكوين قدرات Azure Audit	يدوي، معطل	1.1.1
تحديد الأحداث القابلة للتدقيق	CMA_0137 - تحديد الأحداث القابلة للتدقيق	يدوي، معطل	1.1.0
إدارة ومراقبة أنشطة معالجة التدقيق	CMA_0289 - إدارة ومراقبة أنشطة معالجة التدقيق	يدوي، معطل	1.1.0
⁧يجب تمكين سجلات الموارد في Azure Data Lake Store⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Azure Stream Analytics⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في حسابات Batch	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Data Lake Analytics⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Event Hub⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في مركز IoT⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	3.1.0
⁧يجب تمكين سجلات الموارد في Key Vault⁧	مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Logic Apps⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	5.1.0
⁧يجب تمكين سجلات الموارد في خدمات البحث⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Service Bus⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
الاحتفاظ بسياسات وإجراءات الأمان	CMA_0454 - الاحتفاظ بسياسات وإجراءات الأمان	يدوي، معطل	1.1.0
الاحتفاظ ببيانات المستخدم التي تم إنهاؤها	CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية	يدوي، معطل	1.1.0
مراجعة بيانات التدقيق	CMA_0466 - مراجعة بيانات التدقيق	يدوي، معطل	1.1.0

6 شبكات

تأكد من عدم وجود SQL Databases تسمح بإدخال 0.0.0.0/0 (أي عنوان IP)

المعرف: توصيات معيار CIS Microsoft Azure Foundations 6.3 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
التحكم في تدفق المعلومات	CMA_0079 - التحكم في تدفق المعلومات	يدوي، معطل	1.1.0
استخدام آليات التحكم في التدفق للمعلومات المشفرة	CMA_0211 - استخدام آليات التحكم في التدفق للمعلومات المشفرة	يدوي، معطل	1.1.0

تأكد من أن فترة استبقاء سجل تدفق مجموعة أمان الشبكة 'أكبر من 90 يومًا'

المعرف: توصيات معيار CIS Microsoft Azure Foundations 6.4 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
الالتزام بفترات الاستبقاء المحددة	CMA_0004 - الالتزام بفترات الاستبقاء المحددة	يدوي، معطل	1.1.0
الاحتفاظ بسياسات وإجراءات الأمان	CMA_0454 - الاحتفاظ بسياسات وإجراءات الأمان	يدوي، معطل	1.1.0
الاحتفاظ ببيانات المستخدم التي تم إنهاؤها	CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية	يدوي، معطل	1.1.0

تأكد من أن خدمة Network Watcher في وضع "Enabled"

المعرف: توصيات معيار CIS Microsoft Azure Foundations 6.5 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين Network Watcher	تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة.	AuditIfNotExists، معطل	3.0.0
التحقق من وظائف الأمان	CMA_C1708 - التحقق من وظائف الأمان	يدوي، معطل	1.1.0

7 أجهزة ظاهرية

تأكد من استخدام الأجهزة الظاهرية للأقراص المُدارة

المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.1 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة	يعمل هذا النهج على تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة	تحقق	1.0.0
التحكم في الوصول الفعلي	CMA_0081 - التحكم في الوصول الفعلي	يدوي، معطل	1.1.0
إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها	CMA_0369 - إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها	يدوي، معطل	1.1.0
مراجعة نشاط التسمية والتحليلات	CMA_0474 - مراجعة نشاط التسمية والتحليلات	يدوي، معطل	1.1.0

تأكد من تشفير أقراص 'نظام التشغيل والبيانات' باستخدام CMK

المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.2 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
إنشاء إجراء إدارة تسرب البيانات	CMA_0255 - إنشاء إجراء إدارة تسرب البيانات	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0
حماية البيانات أثناء النقل باستخدام التشفير	CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير	يدوي، معطل	1.1.0
حماية المعلومات الخاصة	CMA_0409 - حماية المعلومات الخاصة	يدوي، معطل	1.1.0
يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين	بشكل افتراضي، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة عدم استخدام مفاتيح تُدار بواسطة النظام الأساسي. لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين الحوسبة والتخزين. تجاهل هذه التوصية إذا: 1. باستخدام التشفير في المضيف، أو 2. التشفير من جانب الخادم على الأقراص المُدارة يفي بمتطلبات الأمان. تعرف على المزيد في: تشفير Azure Disk Storage من جانب الخادم: https://aka.ms/disksse، العروض المختلفة لتشفير القرص: https://aka.ms/diskencryptioncomparison	AuditIfNotExists، معطل	2.0.3

تأكد من تشفير "الأقراص غير المُرفقة" باستخدام CMK

المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.3 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
إنشاء إجراء إدارة تسرب البيانات	CMA_0255 - إنشاء إجراء إدارة تسرب البيانات	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0
حماية البيانات أثناء النقل باستخدام التشفير	CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير	يدوي، معطل	1.1.0
حماية المعلومات الخاصة	CMA_0409 - حماية المعلومات الخاصة	يدوي، معطل	1.1.0

تأكد من تثبيت الملحقات المُعتمدة فقط

المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.4 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تثبيت امتدادات الجهاز الظاهري المعتمدة فقط	يحكم هذا النهج ملحقات الجهاز الظاهري غير المعتمدة.	التدقيق، الرفض، التعطيل	1.0.0

ضمان تطبيق أحدث تصحيحات نظام التشغيل لجميع الأجهزة الظاهرية

المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.5 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
معالجة عيوب نظام المعلومات	CMA_0427 - معالجة عيوب نظام المعلومات	يدوي، معطل	1.1.0
ينبغي تثبيت تحديثات النظام على أجهزتك	سيراقب Azure Security Center تحديثات نظام الأمان المفقودة على خوادمك من قبيل التوصيات	AuditIfNotExists، معطل	4.0.0

تأكد من تثبيت حماية نقطة النهاية لجميع الأجهزة الظاهرية

المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.6 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	يدوي، معطل	1.1.0
عمليات أمان المستند	CMA_0202 - عمليات أمان المستندات	يدوي، معطل	1.1.0
إدارة البوابات	CMA_0363 - Manage gateways	يدوي، معطل	1.1.0
مراقبة حماية نقطة النهاية المفقودة في Azure Security Center	ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات	AuditIfNotExists، معطل	3.0.0
إجراء تحليل للاتجاهات على التهديدات	CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات	يدوي، معطل	1.1.0
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	يدوي، معطل	1.1.0
مراجعة حالة الحماية من التهديدات أسبوعيًا	CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا	يدوي، معطل	1.1.0
تشغيل أجهزة الاستشعار لحل أمان نقطة النهاية	CMA_0514 - تشغيل أدوات الاستشعار لحل أمان نقطة النهاية	يدوي، معطل	1.1.0
تحديث تعريفات مكافحة الفيروسات	CMA_0517 - تحديث تعريفات مكافحة الفيروسات	يدوي، معطل	1.1.0
التحقق من سلامة البرامج والبرامج الثابتة والمعلومات	CMA_0542 - التحقق من سلامة البرامج والبرامج الثابتة والمعلومات	يدوي، معطل	1.1.0

تأكد من تشفير VHD

المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.7 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
إنشاء إجراء إدارة تسرب البيانات	CMA_0255 - إنشاء إجراء إدارة تسرب البيانات	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0
حماية البيانات أثناء النقل باستخدام التشفير	CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير	يدوي، معطل	1.1.0
حماية المعلومات الخاصة	CMA_0409 - حماية المعلومات الخاصة	يدوي، معطل	1.1.0

8 اعتبارات أمنية أخرى

تأكد من تعيين تاريخ انتهاء الصلاحية على كل المفاتيح

المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.1 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تعريف عملية إدارة المفاتيح الفعلية	CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية	يدوي، معطل	1.1.0
تعريف استخدام التشفير	CMA_0120 - تعريف استخدام التشفير	يدوي، معطل	1.1.0
تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير	CMA_0123 - تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير	يدوي، معطل	1.1.0
تحديد متطلبات التأكيد	CMA_0136 - تحديد متطلبات التأكيد	يدوي، معطل	1.1.0
إصدار شهادات المفتاح العام	CMA_0347 - إصدار شهادات المفتاح العام	يدوي، معطل	1.1.0
يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية	يجب أن يكون لمفاتيح التشفير تاريخ انتهاء صلاحية محدد وألا تكون دائمة. توفر المفاتيح الصالحة إلى الأبد للمهاجم المحتمل المزيد من الوقت لاختراق المفتاح. من المستحسن أن يتم تعيين تواريخ انتهاء الصلاحية على مفاتيح التشفير.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
إدارة مفاتيح التشفير المتماثلة	CMA_0367 - إدارة مفاتيح التشفير المتماثلة	يدوي، معطل	1.1.0
تقييد الوصول إلى المفاتيح الخاصة	CMA_0445 - تقييد الوصول إلى المفاتيح الخاصة	يدوي، معطل	1.1.0

تأكد من تعيين تاريخ انتهاء الصلاحية على كل الأسرار

المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.2 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تعريف عملية إدارة المفاتيح الفعلية	CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية	يدوي، معطل	1.1.0
تعريف استخدام التشفير	CMA_0120 - تعريف استخدام التشفير	يدوي، معطل	1.1.0
تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير	CMA_0123 - تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير	يدوي، معطل	1.1.0
تحديد متطلبات التأكيد	CMA_0136 - تحديد متطلبات التأكيد	يدوي، معطل	1.1.0
إصدار شهادات المفتاح العام	CMA_0347 - إصدار شهادات المفتاح العام	يدوي، معطل	1.1.0
يجب أن يكون لأسرار Key Vault تاريخ انتهاء صلاحية	يجب أن يكون للأسرار تاريخ انتهاء صلاحية محدد وألا تكون دائمة. الأسرار التي هي صالحة إلى الأبد توفر للمهاجم المحتمل مع المزيد من الوقت للتنازل عنها. من الممارسات الأمنية الموصى بها تعيين تواريخ انتهاء الصلاحية على الأسرار.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
إدارة مفاتيح التشفير المتماثلة	CMA_0367 - إدارة مفاتيح التشفير المتماثلة	يدوي، معطل	1.1.0
تقييد الوصول إلى المفاتيح الخاصة	CMA_0445 - تقييد الوصول إلى المفاتيح الخاصة	يدوي، معطل	1.1.0

تأكد من تعيين Resource Locks لموارد Azure الهامة للمهمة

المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.3 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
إنشاء عمليات التحكم في التغيير وتوثيقها	CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها	يدوي، معطل	1.1.0

تأكد من إمكانية استرداد Key Vault

المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.4 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين حماية الحذف في خزائن المفاتيح	يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي.	التدقيق، الرفض، التعطيل	2.1.0
الحفاظ على توفر المعلومات	CMA_C1644 - الحفاظ على توفر المعلومات	يدوي، معطل	1.1.0

قم بتمكين التحكم في الوصول استنادًا إلى الدور (RBAC) ضمن خدمات Azure Kubernetes

المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.5 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
السماح بالوصول إلى وظائف الأمان والمعلومات	CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات	يدوي، معطل	1.1.0
تخويل الوصول وإدارته	CMA_0023 - تخويل الوصول وإدارته	يدوي، معطل	1.1.0
يجب استخدام Azure Role-Based Access Control (RBAC) على خدمات Kubernetes	لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم Azure Role-Based Access Control (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة.	المراجعة، معطلة	1.0.3
فرض الوصول المنطقي	CMA_0245 - Enforce logical access	يدوي، معطل	1.1.0
فرض نهج التحكم في الوصول الإلزامية والاختيارية	CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية	يدوي، معطل	1.1.0
طلب الموافقة لإنشاء الحساب	CMA_0431 - طلب الموافقة لإنشاء الحساب	يدوي، معطل	1.1.0
مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة	CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة	يدوي، معطل	1.1.0

9 AppService

تأكد من تعيين ميزة "مصادقة خدمة التطبيقات" إلى خدمة تطبيق Azure

المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.1 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين المصادقة لتطبيقات App Service	تُعد "App Service Authentication" من Azure ميزة يمكنها منع طلبات HTTP المجهولة من الوصول إلى تطبيق واجهة برمجة التطبيقات، أو مصادقة تلك التي تحتوي على رموز مميزة قبل وصولها إلى تطبيق الويب.	AuditIfNotExists، معطل	2.0.1
المصادقة على وحدة التشفير	CMA_0021 - المصادقة على وحدة التشفير	يدوي، معطل	1.1.0
فرض تفرد المستخدم	CMA_0250 - فرض تفرد المستخدم	يدوي، معطل	1.1.0
يجب تمكين المصادقة لتطبيقات الوظائف	تُعد Azure App Service Authentication ميزة يمكنها منع طلبات HTTP المجهولة من الوصول إلى Function App أو مصادقة تلك التي تحتوي على رموز مميزة قبل وصولها إلى Function App.	AuditIfNotExists، معطل	3.0.0
دعم بيانات اعتماد التحقق الشخصي الصادرة عن السلطات القانونية	CMA_0507 - دعم بيانات اعتماد التحقق الشخصي الصادرة عن السلطات القانونية	يدوي، معطل	1.1.0

تأكد من تعطيل عمليات توزيع FTP

المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.10 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب أن تتطلب تطبيقات App Service FTPS فقط	مكن تطبيق FTPS من أجل تعزيز الأمان.	AuditIfNotExists، معطل	3.0.0
تكوين محطات العمل للتحقق من وجود شهادات رقمية	CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية	يدوي، معطل	1.1.0
يجب أن تتطلب تطبيقات الوظائف FTPS فقط	مكن تطبيق FTPS من أجل تعزيز الأمان.	AuditIfNotExists، معطل	3.0.0
حماية البيانات أثناء النقل باستخدام التشفير	CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير	يدوي، معطل	1.1.0
حماية كلمات المرور باستخدام التشفير	CMA_0408 - حماية كلمات المرور باستخدام التشفير	يدوي، معطل	1.1.0

تأكد من استخدام Azure Keyvaults لتخزين الأسرار

المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.11 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تعريف عملية إدارة المفاتيح الفعلية	CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية	يدوي، معطل	1.1.0
تعريف استخدام التشفير	CMA_0120 - تعريف استخدام التشفير	يدوي، معطل	1.1.0
تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير	CMA_0123 - تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير	يدوي، معطل	1.1.0
تحديد متطلبات التأكيد	CMA_0136 - تحديد متطلبات التأكيد	يدوي، معطل	1.1.0
تأكد من أن آليات التشفير تحت إدارة التكوين	CMA_C1199 - تأكد من أن آليات التشفير تحت إدارة التكوين	يدوي، معطل	1.1.0
إصدار شهادات المفتاح العام	CMA_0347 - إصدار شهادات المفتاح العام	يدوي، معطل	1.1.0
الحفاظ على توفر المعلومات	CMA_C1644 - الحفاظ على توفر المعلومات	يدوي، معطل	1.1.0
إدارة مفاتيح التشفير المتماثلة	CMA_0367 - إدارة مفاتيح التشفير المتماثلة	يدوي، معطل	1.1.0
تقييد الوصول إلى المفاتيح الخاصة	CMA_0445 - تقييد الوصول إلى المفاتيح الخاصة	يدوي، معطل	1.1.0

تأكد من إعادة توجيه تطبيق الويب لكل نسب استخدام HTTP إلى HTTPS في خدمة تطبيق Azure

المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.2 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	4.0.0
تكوين محطات العمل للتحقق من وجود شهادات رقمية	CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية	يدوي، معطل	1.1.0
حماية البيانات أثناء النقل باستخدام التشفير	CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير	يدوي، معطل	1.1.0
حماية كلمات المرور باستخدام التشفير	CMA_0408 - حماية كلمات المرور باستخدام التشفير	يدوي، معطل	1.1.0

تأكد من استخدام تطبيق الويب لأحدث إصدار من تشفير أمان طبقة النقل (TLS)

المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.3 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS"	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير.	AuditIfNotExists، معطل	2.0.1
تكوين محطات العمل للتحقق من وجود شهادات رقمية	CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية	يدوي، معطل	1.1.0
يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار.	AuditIfNotExists، معطل	2.0.1
حماية البيانات أثناء النقل باستخدام التشفير	CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير	يدوي، معطل	1.1.0
حماية كلمات المرور باستخدام التشفير	CMA_0408 - حماية كلمات المرور باستخدام التشفير	يدوي، معطل	1.1.0

تأكد من أن تطبيق الويب يحتوي على "شهادات العميل (شهادات العميل الواردة)" التي عُينت إلى "On"

المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.4 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
[مهمل]: يجب أن يكون لتطبيقات الوظائف "شهادات العميل (شهادات العميل الواردة)" ممكنة	تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين يحملون شهادات صالحة فقط من الوصول إلى التطبيق. تم استبدال هذا النهج بنهج جديد بنفس الاسم لأن Http 2.0 لا يدعم شهادات العميل.	المراجعة، معطلة	3.1.0 مهمل
يجب تمكين شهادات العميل (شهادات العميل الواردة) لتطبيقات App Service	تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1.	AuditIfNotExists، معطل	1.0.0
المصادقة على وحدة التشفير	CMA_0021 - المصادقة على وحدة التشفير	يدوي، معطل	1.1.0

تأكد من تمكين التسجيل باستخدام Azure Active Directory في خدمات التطبيق

المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.5 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب أن تستخدم تطبيقات App Service الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
أتمتة إدارة الحساب	CMA_0026 - أتمتة إدارة الحساب	يدوي، معطل	1.1.0
يجب أن تستخدم تطبيقات الوظائف الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
إدارة حسابات النظام والمسؤول	CMA_0368 - إدارة حسابات النظام والمسؤول	يدوي، معطل	1.1.0
مراقبة الوصول عبر المؤسسة	CMA_0376 - مراقبة الوصول عبر المؤسسة	يدوي، معطل	1.1.0
إعلام عندما لا تكون هناك حاجة إلى الحساب	CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب	يدوي، معطل	1.1.0

تأكد من أن "إصدار PHP" هو الأحدث، في حالة استخدامه لتشغيل تطبيق الويب

المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.6 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
معالجة عيوب نظام المعلومات	CMA_0427 - معالجة عيوب نظام المعلومات	يدوي، معطل	1.1.0

تأكد من أن "إصدار Python" هو الأحدث، في حالة استخدامه لتشغيل تطبيق الويب

المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.7 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
معالجة عيوب نظام المعلومات	CMA_0427 - معالجة عيوب نظام المعلومات	يدوي، معطل	1.1.0

تأكد من أن "إصدار Java" هو الأحدث، في حالة استخدامه لتشغيل تطبيق الويب

المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.8 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
معالجة عيوب نظام المعلومات	CMA_0427 - معالجة عيوب نظام المعلومات	يدوي، معطل	1.1.0

تأكد من أن "إصدار HTTP" هو الأحدث، في حالة استخدامه لتشغيل تطبيق الويب

المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.9 الملكية: مشترك

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب أن تستخدم تطبيقات App Service أحدث "إصدار من HTTP"	بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث.	AuditIfNotExists، معطل	4.0.0
يجب أن تستخدم تطبيقات الوظائف أحدث "إصدار HTTP"	بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث.	AuditIfNotExists، معطل	4.0.0
معالجة عيوب نظام المعلومات	CMA_0427 - معالجة عيوب نظام المعلومات	يدوي، معطل	1.1.0

الخطوات التالية

مقالات إضافية حول Azure Policy:

نظرة عامة على التوافق التنظيمي.
راجع ⁧بنية تعريف المبادرة⁧.
مراجعة أمثلة أخرى في ⁧نماذج Azure Policy.
راجع فهم تأثيرات النهج.
تعرف على كيفية إصلاح الموارد غير المتوافقة.