تفاصيل مبادرة الامتثال التنظيمي المضمنة ل CIS Microsoft Azure Foundations Benchmark 2.0.0
توضح المقالة التالية بالتفصيل كيفية تعيين تعريف المبادرة المضمنة للامتثال التنظيمي لنهج Azure إلى مجالات التوافق وعناصر التحكم في معيار CIS Microsoft Azure Foundations 2.0.0. لمزيد من المعلومات حول معيار التوافق هذا، راجع معيار CIS Microsoft Azure Foundations 2.0.0. لفهم الملكية، راجع تعريف نهج Azure و المسؤولية المشتركة في السحابة.
التعيينات التالية هي لعناصر تحكم CIS Microsoft Azure Foundations Benchmark 2.0.0 . يتم تنفيذ العديد من عناصر التحكم بتعريف مبادرة Azure Policy. لمراجعة تعريف المبادرة الكامل، افتح نهج في مدخل Microsoft Azure وحدد صفحة التعريفات. ثم ابحث عن تعريف مبادرة الامتثال التنظيمي المضمنة ل CIS Microsoft Azure Foundations Benchmark v2.0.0 وحدده.
هام
يرتبط كل عنصر تحكم أدناه بتعريف أو أكثر من تعريفات نهج Azure. قد تساعدك هذه السياسات على تقييم الامتثال بعنصر التحكم؛ ومع ذلك، غالباً ما لا يكون هناك تطابق أو تناظر كامل بين عنصر التحكم مع نهج واحد أو أكثر. على هذا النحو، تشير كلمة متوافق في Azure Policy فقط إلى تعريفات النهج ذاتها؛ وهذا لا يضمن أنك ممتثل تمامًا لكافة متطلبات عنصر التحكم. بالإضافة إلى ذلك، يتضمن معيار التوافق عناصر تحكم لا يتم تناولها بواسطة أي تعريفات خاصة بـ Azure Policy في هذا الوقت. لذلك، فإن التوافق في Azure Policy هو مجرد مظهر جزئي لحالة التوافق الكلي. قد تتغير الاقترانات بين مجالات الامتثال وعناصر التحكم وتعريفات Azure Policy لمعيار الامتثال المذكور بمرور الوقت. لعرض تاريخ التغييرات، راجع تاريخ امتثال شركة GitHub.
1.1
تأكد من تمكين إعدادات الأمان الافتراضية على Azure Active Directory
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.1.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| اعتماد آليات المصادقة البيومترية | CMA_0005 - اعتماد آليات المصادقة البيومترية | يدوي، معطل | 1.1.0 |
| المصادقة على وحدة التشفير | CMA_0021 - المصادقة على وحدة التشفير | يدوي، معطل | 1.1.0 |
| تخويل الوصول عن بعد | CMA_0024 - تخويل الوصول عن بُعد | يدوي، معطل | 1.1.0 |
| التدريب على التنقل في المستندات | CMA_0191 - تدريب على التنقل في المستندات | يدوي، معطل | 1.1.0 |
| توثيق إرشادات الوصول عن بعد | CMA_0196 - توثيق إرشادات الوصول عن بُعد | يدوي، معطل | 1.1.0 |
| تحديد أجهزة الشبكة ومصادقتها | CMA_0296 - تحديد أجهزة الشبكة ومصادقتها | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة | CMA_0315 - تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة | يدوي، معطل | 1.1.0 |
| توفير التدريب على الخصوصية | CMA_0415 - توفير التدريب على الخصوصية | يدوي، معطل | 1.1.0 |
| تلبية متطلبات جودة الرمز المميز | CMA_0487 - تلبية متطلبات جودة الرمز المميز | يدوي، معطل | 1.1.0 |
تأكد من أن "حالة المصادقة متعددة العوامل" "ممكنة" لجميع المستخدمين المميزين
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.1.2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| اعتماد آليات المصادقة البيومترية | CMA_0005 - اعتماد آليات المصادقة البيومترية | يدوي، معطل | 1.1.0 |
تأكد من أن "حالة المصادقة متعددة العوامل" "ممكنة" لجميع المستخدمين غير المميزين
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.1.3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| اعتماد آليات المصادقة البيومترية | CMA_0005 - اعتماد آليات المصادقة البيومترية | يدوي، معطل | 1.1.0 |
تأكد من تعطيل "السماح للمستخدمين بتذكر المصادقة متعددة العوامل على الأجهزة التي يثقون بها"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.1.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| اعتماد آليات المصادقة البيومترية | CMA_0005 - اعتماد آليات المصادقة البيومترية | يدوي، معطل | 1.1.0 |
| تحديد أجهزة الشبكة ومصادقتها | CMA_0296 - تحديد أجهزة الشبكة ومصادقتها | يدوي، معطل | 1.1.0 |
| تلبية متطلبات جودة الرمز المميز | CMA_0487 - تلبية متطلبات جودة الرمز المميز | يدوي، معطل | 1.1.0 |
1
تأكد من "إعلام جميع المسؤولين عند إعادة تعيين المسؤولين الآخرين لكلمة المرور الخاصة بهم؟" تم تعيين إلى 'نعم'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.10 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| أتمتة إدارة الحساب | CMA_0026 - أتمتة إدارة الحساب | يدوي، معطل | 1.1.0 |
| تنفيذ التدريب لحماية المصدقين | CMA_0329 - تنفيذ التدريب لحماية المصدقين | يدوي، معطل | 1.1.0 |
| إدارة حسابات النظام والمسؤول | CMA_0368 - إدارة حسابات النظام والمسؤول | يدوي، معطل | 1.1.0 |
| مراقبة الوصول عبر المؤسسة | CMA_0376 - مراقبة الوصول عبر المؤسسة | يدوي، معطل | 1.1.0 |
| مراقبة تعيين الدور المتميز | CMA_0378 - مراقبة تعيين الدور المتميز | يدوي، معطل | 1.1.0 |
| إعلام عندما لا تكون هناك حاجة إلى الحساب | CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى الحسابات المتميزة | CMA_0446 - تقييد الوصول إلى الحسابات المتميزة | يدوي، معطل | 1.1.0 |
| إبطال الأدوار المتميزة حسب الاقتضاء | CMA_0483 - إبطال الأدوار المتميزة حسب الاقتضاء | يدوي، معطل | 1.1.0 |
| استخدم إدارة الهويةَ المتميزة | CMA_0533 - استخدم إدارة الهويةَ المتميزة | يدوي، معطل | 1.1.0 |
تأكد من User consent for applications تعيين إلى Do not allow user consent
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.11 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
تأكد من تعيين "يمكن للمستخدمين إضافة تطبيقات المعرض إلى تطبيقاتي" إلى "لا"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.13 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
تأكد من تعيين "يمكن للمستخدمين تسجيل التطبيقات" على "لا"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.14 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
تأكد من تعيين "قيود وصول المستخدمين الضيوف" إلى "يقتصر وصول المستخدم الضيف على خصائص وعضوية عناصر الدليل الخاصة بهم"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.15 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| تصميم نموذج التحكم في الوصول | CMA_0129 - تصميم نموذج التحكم في الوصول | يدوي، معطل | 1.1.0 |
| استخدام الوصول الأقل امتيازًا | CMA_0212 - استخدام الوصول الأقل امتيازًا | يدوي، معطل | 1.1.0 |
| فرض الوصول المنطقي | CMA_0245 - Enforce logical access | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| طلب الموافقة لإنشاء الحساب | CMA_0431 - طلب الموافقة لإنشاء الحساب | يدوي، معطل | 1.1.0 |
| مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | يدوي، معطل | 1.1.0 |
تأكد من تعيين "قيود دعوة الضيف" إلى "يمكن فقط للمستخدمين المعينين لأدوار مسؤول معينة دعوة المستخدمين الضيوف"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.16 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| تصميم نموذج التحكم في الوصول | CMA_0129 - تصميم نموذج التحكم في الوصول | يدوي، معطل | 1.1.0 |
| استخدام الوصول الأقل امتيازًا | CMA_0212 - استخدام الوصول الأقل امتيازًا | يدوي، معطل | 1.1.0 |
| فرض الوصول المنطقي | CMA_0245 - Enforce logical access | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| طلب الموافقة لإنشاء الحساب | CMA_0431 - طلب الموافقة لإنشاء الحساب | يدوي، معطل | 1.1.0 |
| مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | يدوي، معطل | 1.1.0 |
تأكد من تعيين "تقييد الوصول إلى مدخل إدارة Azure AD" إلى "نعم"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.17 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض الوصول المنطقي | CMA_0245 - Enforce logical access | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| طلب الموافقة لإنشاء الحساب | CMA_0431 - طلب الموافقة لإنشاء الحساب | يدوي، معطل | 1.1.0 |
| مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | يدوي، معطل | 1.1.0 |
تأكد من تعيين "تقييد قدرة المستخدم على الوصول إلى ميزات المجموعات في جزء الوصول" إلى "نعم"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.18 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
تأكد من تعيين "يمكن للمستخدمين إنشاء مجموعات أمان في مداخل Azure أو واجهة برمجة التطبيقات أو PowerShell" إلى "لا"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.19 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
تأكد من تعيين 'المالكون يمكنهم إدارة طلبات عضوية المجموعة في لوحة الوصول' إلى 'لا'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.20 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
تأكد من تعيين "يمكن للمستخدمين إنشاء مجموعات Microsoft 365 في مداخل Azure أو واجهة برمجة التطبيقات أو PowerShell" إلى "لا"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.21 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
تأكد من تعيين "طلب مصادقة متعددة العوامل لتسجيل الأجهزة أو ضمها باستخدام Azure AD" إلى "نعم"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.22 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| اعتماد آليات المصادقة البيومترية | CMA_0005 - اعتماد آليات المصادقة البيومترية | يدوي، معطل | 1.1.0 |
| تخويل الوصول عن بعد | CMA_0024 - تخويل الوصول عن بُعد | يدوي، معطل | 1.1.0 |
| التدريب على التنقل في المستندات | CMA_0191 - تدريب على التنقل في المستندات | يدوي، معطل | 1.1.0 |
| توثيق إرشادات الوصول عن بعد | CMA_0196 - توثيق إرشادات الوصول عن بُعد | يدوي، معطل | 1.1.0 |
| تحديد أجهزة الشبكة ومصادقتها | CMA_0296 - تحديد أجهزة الشبكة ومصادقتها | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة | CMA_0315 - تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة | يدوي، معطل | 1.1.0 |
| توفير التدريب على الخصوصية | CMA_0415 - توفير التدريب على الخصوصية | يدوي، معطل | 1.1.0 |
| تلبية متطلبات جودة الرمز المميز | CMA_0487 - تلبية متطلبات جودة الرمز المميز | يدوي، معطل | 1.1.0 |
تأكد من عدم وجود أدوار مسؤول istrator للاشتراك المخصص
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.23 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| تصميم نموذج التحكم في الوصول | CMA_0129 - تصميم نموذج التحكم في الوصول | يدوي، معطل | 1.1.0 |
| استخدام الوصول الأقل امتيازًا | CMA_0212 - استخدام الوصول الأقل امتيازًا | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
تأكد من أن الدور المخصص هو أذونات معينة مسؤول تسجيل تأمين الموارد
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.24 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
تأكد من مراجعة المستخدمين الضيوف بشكل منتظم
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure | يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure | يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| إعادة تعيين امتيازات المستخدم أو إزالتها حسب الحاجة | CMA_C1040 - إعادة تعيين امتيازات المستخدم أو إزالتها حسب الحاجة | يدوي، معطل | 1.1.0 |
| مراجعة سجلات توفير الحساب | CMA_0460 - مراجعة سجلات توفير الحساب | يدوي، معطل | 1.1.0 |
| مراجعة حسابات المستخدمين | CMA_0480 - مراجعة حسابات المستخدم | يدوي، معطل | 1.1.0 |
| مراجعة أمتيازات المستخدم | CMA_C1039 - مراجعة امتيازات المستخدم | يدوي، معطل | 1.1.0 |
تأكد من عدم تعيين "عدد الأيام قبل مطالبة المستخدمين بإعادة تأكيد معلومات المصادقة" على "0"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.8 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| أتمتة إدارة الحساب | CMA_0026 - أتمتة إدارة الحساب | يدوي، معطل | 1.1.0 |
| إدارة حسابات النظام والمسؤول | CMA_0368 - إدارة حسابات النظام والمسؤول | يدوي، معطل | 1.1.0 |
| مراقبة الوصول عبر المؤسسة | CMA_0376 - مراقبة الوصول عبر المؤسسة | يدوي، معطل | 1.1.0 |
| إعلام عندما لا تكون هناك حاجة إلى الحساب | CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب | يدوي، معطل | 1.1.0 |
تأكد من أن 'إعلام المستخدمين عند إعادة تعيين كلمة المرور؟' تم تعيين إلى 'نعم'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 1.9 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| أتمتة إدارة الحساب | CMA_0026 - أتمتة إدارة الحساب | يدوي، معطل | 1.1.0 |
| تنفيذ التدريب لحماية المصدقين | CMA_0329 - تنفيذ التدريب لحماية المصدقين | يدوي، معطل | 1.1.0 |
| إدارة حسابات النظام والمسؤول | CMA_0368 - إدارة حسابات النظام والمسؤول | يدوي، معطل | 1.1.0 |
| مراقبة الوصول عبر المؤسسة | CMA_0376 - مراقبة الوصول عبر المؤسسة | يدوي، معطل | 1.1.0 |
| إعلام عندما لا تكون هناك حاجة إلى الحساب | CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب | يدوي، معطل | 1.1.0 |
10
تأكد من تعيين تأمين الموارد لموارد Azure المهمة الحرجة
المعرف: توصيات معيار CIS Microsoft Azure Foundations 10.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
2.1
تأكد من تعيين Microsoft Defender للخوادم إلى "تشغيل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | يدوي، معطل | 1.1.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| مراجعة حالة الحماية من التهديدات أسبوعيًا | CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
تأكد من تعيين Microsoft Defender for Key Vault إلى "تشغيل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.10 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | يدوي، معطل | 1.1.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| مراجعة حالة الحماية من التهديدات أسبوعيًا | CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
تأكد من تعيين Microsoft Defender for DNS إلى "تشغيل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.11 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [مهمل]: يجب تمكين Azure Defender for DNS | لم يعد تعريف النهج هذا هو الطريقة الموصى بها لتحقيق هدفه، لأنه يتم إهمال مجموعة DNS. بدلا من الاستمرار في استخدام هذا النهج، نوصي بتعيين نهج الاستبدال هذا بمعرف النهج 4da35fc9-c9e7-4960-aec9-797fe7d9051d. تعرف على المزيد حول إهمال تعريف النهج في aka.ms/policydefdeprecation | AuditIfNotExists، معطل | 1.1.0 مهمل |
تأكد من تعيين Microsoft Defender for Resource Manager إلى "تشغيل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.12 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
تأكد من أن توصية Microsoft Defender لحالة "تطبيق تحديثات النظام" "مكتملة"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.13 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تكوين الأجهزة للتحقق بشكل دوري من وجود تحديثات نظام مفقودة | لضمان تشغيل التقييمات الدورية لتحديثات النظام المفقودة تلقائياً كل 24 ساعة، يجب تعيين خاصية "AssessmentMode" على "AutomaticByPlatform". تعرف على المزيد حول خاصية "AssessmentMode" لنظام التشغيل Windows: https://aka.ms/computevm-windowspatchassessmentmode، لنظام التشغيل Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | التدقيق، الرفض، التعطيل | 3.7.0 |
تأكد من عدم تعيين أي من الإعدادات النهج الافتراضي ل ASC إلى "معطل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.14 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين الإجراءات للأجهزة غير المتوافقة | CMA_0062 - تكوين الإجراءات للأجهزة غير المتوافقة | يدوي، معطل | 1.1.0 |
| تطوير التكوينات الأساسية وصيانتها | CMA_0153 - تطوير التكوينات الأساسية وصيانتها | يدوي، معطل | 1.1.0 |
| فرض إعدادات تكوين الأمان | CMA_0249 - فرض إعدادات تكوين الأمان | يدوي، معطل | 1.1.0 |
| إنشاء لوحة تحكم التكوين | CMA_0254 - إنشاء لوحة تحكم التكوين | يدوي، معطل | 1.1.0 |
| إنشاء خطة إدارة تكوين وتوثيقها | CMA_0264 - إنشاء خطة إدارة تكوين وتوثيقها | يدوي، معطل | 1.1.0 |
| تنفيذ أداة إدارة تكوين تلقائية | CMA_0311 - تنفيذ أداة إدارة تكوين تلقائية | يدوي، معطل | 1.1.0 |
تأكد من تعيين التوفير التلقائي ل "عامل تحليلات السجل لأجهزة Azure الظاهرية" إلى "تشغيل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.15 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك | لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها. | AuditIfNotExists، معطل | 1.0.1 |
| عمليات أمان المستند | CMA_0202 - عمليات أمان المستندات | يدوي، معطل | 1.1.0 |
| تشغيل أجهزة الاستشعار لحل أمان نقطة النهاية | CMA_0514 - تشغيل أدوات الاستشعار لحل أمان نقطة النهاية | يدوي، معطل | 1.1.0 |
تأكد من تعيين التوفير التلقائي لمكونات "Microsoft Defender for Containers" إلى "تشغيل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.17 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | يدوي، معطل | 1.1.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| مراجعة حالة الحماية من التهديدات أسبوعيًا | CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
تأكد من تكوين "عناوين بريد إلكتروني إضافية" باستخدام البريد الإلكتروني لجهة اتصال الأمان
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.19 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
تأكد من تعيين Microsoft Defender for App Services إلى "تشغيل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | يدوي، معطل | 1.1.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| مراجعة حالة الحماية من التهديدات أسبوعيًا | CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
تأكد من تعيين "الإعلام بالتنبيهات ذات الخطورة التالية" إلى "عالي"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.20 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.1.0 |
تأكد من تحديد تكامل Microsoft Defender for Cloud Apps مع Microsoft Defender for Cloud
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.21 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | يدوي، معطل | 1.1.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| مراجعة حالة الحماية من التهديدات أسبوعيًا | CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
تأكد من تحديد تكامل Microsoft Defender لنقطة النهاية مع Microsoft Defender for Cloud
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.22 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | يدوي، معطل | 1.1.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| مراجعة حالة الحماية من التهديدات أسبوعيًا | CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
تأكد من تعيين Microsoft Defender لقواعد البيانات إلى "تشغيل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر | يكتشف Azure Defender لقواعد البيانات العلائقية مفتوحة المصدر الأنشطة الشاذة التي تشير إلى محاولات غير عادية، وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. تعرف على المزيد حول قدرات Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر في https://aka.ms/AzDforOpenSourceDBsDocu. مهم: سيؤدي تمكين هذه الخطة إلى فرض رسوم على حماية قواعد البيانات العلائقية مفتوحة المصدر. تعرف على الأسعار في صفحة التسعير الخاصة بمركز الأمان: https://aka.ms/pricing-security-center | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Microsoft Defender لـ Azure Cosmos DB | يعد Microsoft Defender لـ Azure Cosmos DB طبقة أمان أصلية من Azure تكتشف محاولات استغلال قواعد البيانات في حسابات Azure Cosmos DB الخاصة بك. يكتشف Defender for Azure Cosmos DB عمليات إدخال SQL المحتملة والعناصر السيئة المعروفة استناداً إلى Microsoft Threat Intelligence وأنماط الوصول المشبوهة والاستغلال المحتمل لقاعدة البيانات الخاصة بك من خلال الهويات المخترقة أو المطلعين الضارين. | AuditIfNotExists، معطل | 1.0.0 |
تأكد من تعيين Microsoft Defender لقواعد بيانات Azure SQL إلى "تشغيل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | يدوي، معطل | 1.1.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| مراجعة حالة الحماية من التهديدات أسبوعيًا | CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
تأكد من تعيين Microsoft Defender لخوادم SQL على الأجهزة إلى "تشغيل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | يدوي، معطل | 1.1.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| مراجعة حالة الحماية من التهديدات أسبوعيًا | CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
تأكد من تعيين Microsoft Defender لقواعد البيانات الارتباطية مفتوحة المصدر إلى "تشغيل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.6 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر | يكتشف Azure Defender لقواعد البيانات العلائقية مفتوحة المصدر الأنشطة الشاذة التي تشير إلى محاولات غير عادية، وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. تعرف على المزيد حول قدرات Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر في https://aka.ms/AzDforOpenSourceDBsDocu. مهم: سيؤدي تمكين هذه الخطة إلى فرض رسوم على حماية قواعد البيانات العلائقية مفتوحة المصدر. تعرف على الأسعار في صفحة التسعير الخاصة بمركز الأمان: https://aka.ms/pricing-security-center | AuditIfNotExists، معطل | 1.0.0 |
تأكد من تعيين Microsoft Defender for Storage إلى "تشغيل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | يدوي، معطل | 1.1.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| مراجعة حالة الحماية من التهديدات أسبوعيًا | CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
تأكد من تعيين Microsoft Defender للحاويات إلى "تشغيل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.8 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | يدوي، معطل | 1.1.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| مراجعة حالة الحماية من التهديدات أسبوعيًا | CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
تأكد من تعيين Microsoft Defender ل Azure Cosmos DB إلى "تشغيل"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 2.1.9 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Microsoft Defender لـ Azure Cosmos DB | يعد Microsoft Defender لـ Azure Cosmos DB طبقة أمان أصلية من Azure تكتشف محاولات استغلال قواعد البيانات في حسابات Azure Cosmos DB الخاصة بك. يكتشف Defender for Azure Cosmos DB عمليات إدخال SQL المحتملة والعناصر السيئة المعروفة استناداً إلى Microsoft Threat Intelligence وأنماط الوصول المشبوهة والاستغلال المحتمل لقاعدة البيانات الخاصة بك من خلال الهويات المخترقة أو المطلعين الضارين. | AuditIfNotExists، معطل | 1.0.0 |
3
تأكد من تعيين "Secure transfer required" إلى وضع "Enabled"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين محطات العمل للتحقق من وجود شهادات رقمية | CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية كلمات المرور باستخدام التشفير | CMA_0408 - حماية كلمات المرور باستخدام التشفير | يدوي، معطل | 1.1.0 |
| يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
تأكد من استخدام نقاط النهاية الخاصة للوصول إلى حسابات التخزين
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.10 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
تأكد من تشفير التخزين للبيانات الهامة باستخدام المفاتيح المدارة من قبل العملاء
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.12 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء إجراء إدارة تسرب البيانات | CMA_0255 - إنشاء إجراء إدارة تسرب البيانات | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
| يجب أن تستخدم حسابات التخزين مفتاحاً مداراً من قبل العميل للتشفير | أمّن الكائن الثنائي كبير الحجم وحساب تخزين الملفات بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | المراجعة، معطلة | 1.0.3 |
تأكد من تمكين تسجيل التخزين لخدمة Blob لطلبات "القراءة" و"الكتابة" و"الحذف"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.13 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| تكوين قدرات Azure Audit | CMA_C1108 - تكوين قدرات Azure Audit | يدوي، معطل | 1.1.1 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من تمكين تسجيل التخزين لخدمة الجدول لطلبات "القراءة" و"الكتابة" و"الحذف"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.14 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| تكوين قدرات Azure Audit | CMA_C1108 - تكوين قدرات Azure Audit | يدوي، معطل | 1.1.1 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من تعيين "الحد الأدنى لإصدار TLS" لحسابات التخزين إلى "الإصدار 1.2"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.15 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين محطات العمل للتحقق من وجود شهادات رقمية | CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية كلمات المرور باستخدام التشفير | CMA_0408 - حماية كلمات المرور باستخدام التشفير | يدوي، معطل | 1.1.0 |
| يجب أن تحتوي حسابات التخزين على الحد الأدنى المحدد لإصدار TLS | يمكنك تكوين الحد الأدنى من إصدار TLS للاتصال الآمن بين تطبيق العميل وحساب التخزين. لتقليل مخاطر الأمان، الحد الأدنى الموصى به من إصدار TLS هو أحدث إصدار تم إصداره، وهو حاليًا TLS 1.2. | التدقيق، الرفض، التعطيل | 1.0.0 |
تأكد من تعيين "تمكين تشفير البنية الأساسية" لكل حساب تخزين في Azure Storage إلى "ممكن"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يكون لدى حسابات التخزين تشفير البنية الأساسية | تمكين تشفير البنية الأساسية للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات في حساب تخزين مرتين. | التدقيق، الرفض، التعطيل | 1.0.0 |
تأكد من إعادة إنشاء مفاتيح الوصول إلى حساب التخزين بشكل دوري
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعريف عملية إدارة المفاتيح الفعلية | CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية | يدوي، معطل | 1.1.0 |
| تعريف استخدام التشفير | CMA_0120 - تعريف استخدام التشفير | يدوي، معطل | 1.1.0 |
| تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | CMA_0123 - تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | يدوي، معطل | 1.1.0 |
| تحديد متطلبات التأكيد | CMA_0136 - تحديد متطلبات التأكيد | يدوي، معطل | 1.1.0 |
| إصدار شهادات المفتاح العام | CMA_0347 - إصدار شهادات المفتاح العام | يدوي، معطل | 1.1.0 |
| إدارة مفاتيح التشفير المتماثلة | CMA_0367 - إدارة مفاتيح التشفير المتماثلة | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى المفاتيح الخاصة | CMA_0445 - تقييد الوصول إلى المفاتيح الخاصة | يدوي، معطل | 1.1.0 |
تأكد من تمكين تسجيل التخزين لخدمة قائمة الانتظار لطلبات "القراءة" و"الكتابة" و"الحذف"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| تكوين قدرات Azure Audit | CMA_C1108 - تكوين قدرات Azure Audit | يدوي، معطل | 1.1.1 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من انتهاء صلاحية الرموز المميزة لتوقيع الوصول المشترك في غضون ساعة
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعطيل المصدقين عند الإنهاء | CMA_0169 - تعطيل المصدقين عند الإنهاء | يدوي، معطل | 1.1.0 |
| إبطال الأدوار المتميزة حسب الاقتضاء | CMA_0483 - إبطال الأدوار المتميزة حسب الاقتضاء | يدوي، معطل | 1.1.0 |
| إنهاء جلسة عمل المستخدم تلقائيًا | CMA_C1054 - إنهاء جلسة عمل المستخدم تلقائيًا | يدوي، معطل | 1.1.0 |
تأكد من تعطيل "مستوى الوصول العام" لحسابات التخزين مع حاويات الكائن الثنائي كبير الحجم
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين | يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 3.1.0-المعاينة |
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض الوصول المنطقي | CMA_0245 - Enforce logical access | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| طلب الموافقة لإنشاء الحساب | CMA_0431 - طلب الموافقة لإنشاء الحساب | يدوي، معطل | 1.1.0 |
| مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | يدوي، معطل | 1.1.0 |
تأكد من تعيين قاعدة الوصول إلى الشبكة الافتراضية لحسابات التخزين إلى رفض
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.8 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية | احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك. | التدقيق، الرفض، التعطيل | 1.0.1 |
تأكد من تمكين "السماح لخدمات Azure في قائمة الخدمات الموثوق بها بالوصول إلى حساب التخزين هذا" للوصول إلى حساب التخزين
المعرف: توصيات معيار CIS Microsoft Azure Foundations 3.9 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في تدفق المعلومات | CMA_0079 - التحكم في تدفق المعلومات | يدوي، معطل | 1.1.0 |
| استخدام آليات التحكم في التدفق للمعلومات المشفرة | CMA_0211 - استخدام آليات التحكم في التدفق للمعلومات المشفرة | يدوي، معطل | 1.1.0 |
| قم بإنشاء وتنفيذ جدار الحماية ومعايير تكوين جهاز التوجيه | CMA_0272 - إنشاء معايير تكوين جدار الحماية والموجه | يدوي، معطل | 1.1.0 |
| إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة | CMA_0273 - إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة | يدوي، معطل | 1.1.0 |
| تحديد وإدارة عمليات تبادل المعلومات في المراحل النهائية | CMA_0298 - تحديد وإدارة تبادل المعلومات في المراحل النهائية | يدوي، معطل | 1.1.0 |
| يجب أن تسمح حسابات التخزين بالوصول من خدمات Microsoft الموثوق بها | تعمل بعض خدمات Microsoft التي تتفاعل مع حسابات التخزين من شبكات لا يمكن منحها حق الوصول من خلال قواعد الشبكة. للمساعدة في هذا النوع من عمل الخدمة كما هو مقصود، اسمح لمجموعة خدمات Microsoft الموثوق بها بتجاوز قواعد الشبكة. وستستخدم هذه الخدمات بعد ذلك مصادقة قوية للوصول إلى حساب التخزين. | التدقيق، الرفض، التعطيل | 1.0.0 |
4.1
تأكد من تعيين "Auditing" إلى "ON"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.1.1 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من عدم السماح بأي قواعد بيانات Azure SQL للدخول من 0.0.0.0/0 (أي IP)
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.1.2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في تدفق المعلومات | CMA_0079 - التحكم في تدفق المعلومات | يدوي، معطل | 1.1.0 |
| استخدام آليات التحكم في التدفق للمعلومات المشفرة | CMA_0211 - استخدام آليات التحكم في التدفق للمعلومات المشفرة | يدوي، معطل | 1.1.0 |
| يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.1.0 |
تأكد من تشفير أداة حماية تشفير البيانات الشفافة (TDE) لخادم SQL باستخدام مفتاح مدار من قبل العميل
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.1.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء إجراء إدارة تسرب البيانات | CMA_0255 - إنشاء إجراء إدارة تسرب البيانات | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
| يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.1 |
تأكد من تكوين مسؤول Azure Active Directory لخوادم SQL
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.1.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| أتمتة إدارة الحساب | CMA_0026 - أتمتة إدارة الحساب | يدوي، معطل | 1.1.0 |
| إدارة حسابات النظام والمسؤول | CMA_0368 - إدارة حسابات النظام والمسؤول | يدوي، معطل | 1.1.0 |
| مراقبة الوصول عبر المؤسسة | CMA_0376 - مراقبة الوصول عبر المؤسسة | يدوي، معطل | 1.1.0 |
| إعلام عندما لا تكون هناك حاجة إلى الحساب | CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب | يدوي، معطل | 1.1.0 |
تأكد من تعيين "Data encryption" إلى "On" على قاعدة بيانات SQL
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.1.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء إجراء إدارة تسرب البيانات | CMA_0255 - إنشاء إجراء إدارة تسرب البيانات | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
| ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
تأكَّد من أن مدة الاحتفاظ بسجلات "التدقيق" "أكبر من 90 يومًا"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.1.6 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الالتزام بفترات الاستبقاء المحددة | CMA_0004 - الالتزام بفترات الاستبقاء المحددة | يدوي، معطل | 1.1.0 |
| إدارة ومراقبة أنشطة معالجة التدقيق | CMA_0289 - إدارة ومراقبة أنشطة معالجة التدقيق | يدوي، معطل | 1.1.0 |
| الاحتفاظ بسياسات وإجراءات الأمان | CMA_0454 - الاحتفاظ بسياسات وإجراءات الأمان | يدوي، معطل | 1.1.0 |
| الاحتفاظ ببيانات المستخدم التي تم إنهاؤها | CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية | يدوي، معطل | 1.1.0 |
| ينبغي تكوين خوادم SQL لاستخدام التدقيق لوجهة حساب التخزين مع الاحتفاظ بهذه السجلات لمدة 90 يومًا أو أكثر | لأغراض التحقيق في الحوادث، نوصي بتعيين الاحتفاظ بالبيانات لمراجعة SQL Server إلى وجهة حساب التخزين لمدة 90 يومًا على الأقل. تأكد من الاستيفاء بقواعد الاحتفاظ الضرورية للمناطق التي تعمل فيها. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية. | AuditIfNotExists، معطل | 3.0.0 |
4.2
تأكد من تعيين Microsoft Defender for SQL إلى "تشغيل" لخوادم SQL الهامة
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.2.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
تأكَّد من تمكين تقييم الثغرات الأمنية (VA) على خادم SQL عن طريق تعيين حساب تخزين
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.2.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
| ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار | مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.1 |
| ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك | تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 3.0.0 |
تأكد من تعيين إعداد تقييم الثغرات الأمنية (VA) "عمليات الفحص الدورية المتكررة" على "تشغيل" لكل خادم SQL
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.2.3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
| ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار | مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.1 |
تأكد من تكوين إعداد تقييم الثغرات الأمنية (VA) "إرسال تقارير الفحص إلى" لخادم SQL
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.2.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ربط معلومات فحص الثغرات الأمنية | CMA_C1558 - ربط معلومات فحص الثغرات الأمنية | يدوي، معطل | 1.1.1 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
| ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك | تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 3.0.0 |
تأكد من تعيين إعداد تقييم الثغرات الأمنية (VA) "إرسال إشعارات البريد الإلكتروني أيضا إلى المسؤولين ومالكي الاشتراكات" لكل SQL Server
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.2.5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ربط معلومات فحص الثغرات الأمنية | CMA_C1558 - ربط معلومات فحص الثغرات الأمنية | يدوي، معطل | 1.1.1 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
| ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية | رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات. | AuditIfNotExists، معطل | 4.1.0 |
| ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك | تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 3.0.0 |
4.3
تأكد من إعداد 'فرض اتصال SSL' لخادم قاعدة بيانات PostgreSQL إلى 'ممكّن'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.3.1 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين محطات العمل للتحقق من وجود شهادات رقمية | CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية | يدوي، معطل | 1.1.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية كلمات المرور باستخدام التشفير | CMA_0408 - حماية كلمات المرور باستخدام التشفير | يدوي، معطل | 1.1.0 |
تأكد من تعيين معلمة الخادم "log_checkpoints" إلى "ON" لخادم قاعدة بيانات PostgreSQL
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.3.2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| يجب تمكين نقاط فحص السجل لخوادم قاعدة بيانات PostgreSQL | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين إعداد "log_checkpoints". | AuditIfNotExists، معطل | 1.0.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من تعيين معلمة خادم "log_connections" إلى "ON" لخادم قاعدة بيانات PostgreSQL
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.3.3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| يجب تمكين سجل الاتصالات لخوادم قاعدة بيانات PostgreSQL | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين إعداد "log_connections". | AuditIfNotExists، معطل | 1.0.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من تعيين معلمة خادم "log_disconnections" إلى "ON" لخادم قاعدة بيانات PostgreSQL
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.3.4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| يجب تسجيل حالات قطع الاتصال لخوادم قاعدة بيانات PostgreSQL. | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين "log_disconnections". | AuditIfNotExists، معطل | 1.0.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من تعيين معلمة خادم "connection_throttling" إلى "ON" لخادم قاعدة بيانات PostgreSQL
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.3.5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| يجب تمكين تقييد الاتصال "Connection throttling" لخوادم قاعدة بيانات PostgreSQL | يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين "Connection Throttling". يتيح هذا الإعداد تقييد الاتصال المؤقت لكل عنوان IP للعديد من حالات فشل تسجيل الدخول غير الصالحة لكلمة المرور. | AuditIfNotExists، معطل | 1.0.0 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من أن معلمة الخادم "log_retention_days" أكبر من 3 أيام لخادم قاعدة بيانات PostgreSQL
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.3.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الالتزام بفترات الاستبقاء المحددة | CMA_0004 - الالتزام بفترات الاستبقاء المحددة | يدوي، معطل | 1.1.0 |
| إدارة ومراقبة أنشطة معالجة التدقيق | CMA_0289 - إدارة ومراقبة أنشطة معالجة التدقيق | يدوي، معطل | 1.1.0 |
| الاحتفاظ بسياسات وإجراءات الأمان | CMA_0454 - الاحتفاظ بسياسات وإجراءات الأمان | يدوي، معطل | 1.1.0 |
| الاحتفاظ ببيانات المستخدم التي تم إنهاؤها | CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية | يدوي، معطل | 1.1.0 |
تأكد من تعطيل "السماح بالوصول إلى خدمات Azure" لخادم قاعدة بيانات PostgreSQL
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.3.7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في تدفق المعلومات | CMA_0079 - التحكم في تدفق المعلومات | يدوي، معطل | 1.1.0 |
| استخدام آليات التحكم في التدفق للمعلومات المشفرة | CMA_0211 - استخدام آليات التحكم في التدفق للمعلومات المشفرة | يدوي، معطل | 1.1.0 |
| قم بإنشاء وتنفيذ جدار الحماية ومعايير تكوين جهاز التوجيه | CMA_0272 - إنشاء معايير تكوين جدار الحماية والموجه | يدوي، معطل | 1.1.0 |
| إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة | CMA_0273 - إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة | يدوي، معطل | 1.1.0 |
| تحديد وإدارة عمليات تبادل المعلومات في المراحل النهائية | CMA_0298 - تحديد وإدارة تبادل المعلومات في المراحل النهائية | يدوي، معطل | 1.1.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL المرنة | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم PostgreSQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 3.0.1 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP. | التدقيق، الرفض، التعطيل | 2.0.1 |
تأكد من أن "التشفير المزدوج للبنية الأساسية" لخادم قاعدة بيانات PostgreSQL "ممكن"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.3.8 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء إجراء إدارة تسرب البيانات | CMA_0255 - إنشاء إجراء إدارة تسرب البيانات | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| يجب تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL | تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2 | التدقيق، الرفض، التعطيل | 1.0.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
4.4
تأكد من تعيين "فرض اتصال SSL" إلى "ممكن" لخادم قاعدة بيانات MySQL القياسي
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.4.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين محطات العمل للتحقق من وجود شهادات رقمية | CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية | يدوي، معطل | 1.1.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL | قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية كلمات المرور باستخدام التشفير | CMA_0408 - حماية كلمات المرور باستخدام التشفير | يدوي، معطل | 1.1.0 |
تأكد من تعيين "إصدار TLS" إلى "TLSV1.2" لخادم قاعدة بيانات MySQL المرن
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.4.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين محطات العمل للتحقق من وجود شهادات رقمية | CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية كلمات المرور باستخدام التشفير | CMA_0408 - حماية كلمات المرور باستخدام التشفير | يدوي، معطل | 1.1.0 |
4.5
تأكد من أن "جدران الحماية والشبكات" تقتصر على استخدام الشبكات المحددة بدلا من كافة الشبكات
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.5.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية | يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة. | التدقيق، الرفض، التعطيل | 2.0.0 |
تأكد من استخدام نقاط النهاية الخاصة حيثما أمكن
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.5.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
استخدم مصادقة عميل Azure Active Directory (AAD (دليل Azure النشط)) وAzure RBAC حيثما أمكن ذلك.
المعرف: توصيات معيار CIS Microsoft Azure Foundations 4.5.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تعطيل أساليب المصادقة لحسابات قاعدة بيانات Cosmos DB | يؤدي تعطيل أساليب المصادقة المحلية إلى تحسين الأمان عن طريق ضمان أن تتطلب حسابات قاعدة بيانات Cosmos DB هويات Azure Active Directory على وجه الحصر للمصادقة. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | التدقيق، الرفض، التعطيل | 1.1.0 |
5.1
تأكد من وجود "إعداد تشخيصي"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
تأكد من أن Diagnostic Setting يلتقط الفئات المناسبة
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة | يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن يوجد تنبيه سجل النشاط لعمليات معينة تتعلق بالنهج | يقوم هذا النهج بتدقيق عمليات نهج معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن يكون ثمة تنبيه لسجل النشاط الخاص بعمليات أمان معينة | يقوم هذا النهج بتدقيق عمليات أمان معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| تكوين قدرات Azure Audit | CMA_C1108 - تكوين قدرات Azure Audit | يدوي، معطل | 1.1.1 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من أن تخزين حاوية التخزين لسجلات النشاط غير قابل للوصول بشكل عام
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين | يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 3.1.0-المعاينة |
| تمكين التخويل المزدوج أو المشترك | CMA_0226 - تمكين التخويل المزدوج أو المشترك | يدوي، معطل | 1.1.0 |
| حماية معلومات التدقيق | CMA_0401 - حماية معلومات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من تشفير حساب التخزين الذي يحتوي على الحاوية مع سجلات النشاط باستخدام المفتاح المدار من قبل العميل
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تمكين التخويل المزدوج أو المشترك | CMA_0226 - تمكين التخويل المزدوج أو المشترك | يدوي، معطل | 1.1.0 |
| الحفاظ على تكامل نظام التدقيق | CMA_C1133 - الحفاظ على سلامة نظام التدقيق | يدوي، معطل | 1.1.0 |
| حماية معلومات التدقيق | CMA_0401 - حماية معلومات التدقيق | يدوي، معطل | 1.1.0 |
| يجب تشفير حساب التخزين الذي يحتوي على الحاوية مع سجلات الأنشطة باستخدام BYOK | يقوم هذا النهج بتدقيق ما إذا تم تشفير حساب التخزين الذي يحتوي على الحاوية مع سجلات النشاط باستخدام خدمة BYOK. لا يعمل النهج إلا إذا كان حساب التخزين يقع في الاشتراك نفسه كسجلات النشاط حسب التصميم. يمكن العثور على مزيد من المعلومات حول تشفير Azure Storage غير نشط هنا https://aka.ms/azurestoragebyok. | AuditIfNotExists، معطل | 1.0.0 |
تأكد من أن تسجيل الدخول إلى Azure Key Vault "ممكن"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
تأكد من تسجيل سجلات تدفق مجموعة أمان الشبكة وإرسالها إلى Log Analytics
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.1.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تكون جميع موارد سجل التدفق في حالة التمكين | تدقيق موارد سجل التدفق للتحقق من تمكين سجل التدفق. يتيح تمكين سجلات التدفق تسجيل معلومات حول تدفق حركة مرور IP. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | المراجعة، معطلة | 1.0.1 |
| تدقيق تكوين سجلات التدفق لكل شبكة ظاهرية | تدقيق الشبكة الظاهرية للتحقق مما إذا تم تكوين سجلات التدفق. يتيح تمكين سجلات التدفق تسجيل معلومات حول حركة مرور IP المتدفقة عبر الشبكة الظاهرية. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | المراجعة، معطلة | 1.0.1 |
| يجب تكوين سجلات Flow لكل مجموعة أمان شبكة | تدقيق مجموعات أمان الشبكة للتحقق من تهيئة سجلات التدفق. يُتيح تمكين سجلات التدفق تسجيل معلومات حول حركة استخدام IP التي تتدفق عبر مجموعة أمان الشبكة. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره. | المراجعة، معطلة | 1.1.0 |
5.2
تأكد من وجود تنبيه سجل النشاط لإنشاء تعيين نهج
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن يوجد تنبيه سجل النشاط لعمليات معينة تتعلق بالنهج | يقوم هذا النهج بتدقيق عمليات نهج معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 3.0.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
تأكد من وجود تنبيه سجل النشاط لحذف تعيين النهج
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن يوجد تنبيه سجل النشاط لعمليات معينة تتعلق بالنهج | يقوم هذا النهج بتدقيق عمليات نهج معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 3.0.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
تأكد من وجود تنبيه سجل النشاط لإنشاء مجموعة أمان الشبكة أو تحديثها
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة | يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
تأكد من وجود تنبيه سجل النشاط لحذف مجموعة أمان الشبكة
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة | يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
تأكد من وجود تنبيه سجل النشاط لإنشاء أو تحديث حل الأمان
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة | يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
تأكد من وجود تنبيه سجل النشاط لـ "حذف حل الأمان"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة | يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
تأكد من وجود تنبيه سجل النشاط لإنشاء قاعدة جدار حماية SQL Server أو تحديثها
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة | يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
تأكد من وجود تنبيه سجل النشاط لحذف قاعدة جدار حماية SQL Server
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.2.8 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة | يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط. | AuditIfNotExists، معطل | 1.0.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
5
تأكد من تمكين تسجيل موارد Azure Monitor لجميع الخدمات التي تدعمه
المعرف: توصيات معيار CIS Microsoft Azure Foundations 5.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الالتزام بفترات الاستبقاء المحددة | CMA_0004 - الالتزام بفترات الاستبقاء المحددة | يدوي، معطل | 1.1.0 |
| يجب تمكين سجلات الموارد لتطبيقات App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 2.0.1 |
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| تكوين قدرات Azure Audit | CMA_C1108 - تكوين قدرات Azure Audit | يدوي، معطل | 1.1.1 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| إدارة ومراقبة أنشطة معالجة التدقيق | CMA_0289 - إدارة ومراقبة أنشطة معالجة التدقيق | يدوي، معطل | 1.1.0 |
| يجب تمكين سجلات الموارد في Azure Data Lake Store | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Azure Stream Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في حسابات Batch | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Data Lake Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Event Hub | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في مركز IoT | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 3.1.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Logic Apps | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.1.0 |
| يجب تمكين سجلات الموارد في خدمات البحث | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Service Bus | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| الاحتفاظ بسياسات وإجراءات الأمان | CMA_0454 - الاحتفاظ بسياسات وإجراءات الأمان | يدوي، معطل | 1.1.0 |
| الاحتفاظ ببيانات المستخدم التي تم إنهاؤها | CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية | يدوي، معطل | 1.1.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
6
تأكد من تقييم وصول RDP من الإنترنت وتقييده
المعرف: توصيات معيار CIS Microsoft Azure Foundations 6.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
تأكد من تقييم وصول SSH من الإنترنت وتقييده
المعرف: توصيات معيار CIS Microsoft Azure Foundations 6.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
تأكد من أن فترة استبقاء سجل تدفق مجموعة أمان الشبكة 'أكبر من 90 يومًا'
المعرف: توصيات معيار CIS Microsoft Azure Foundations 6.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الالتزام بفترات الاستبقاء المحددة | CMA_0004 - الالتزام بفترات الاستبقاء المحددة | يدوي، معطل | 1.1.0 |
| الاحتفاظ بسياسات وإجراءات الأمان | CMA_0454 - الاحتفاظ بسياسات وإجراءات الأمان | يدوي، معطل | 1.1.0 |
| الاحتفاظ ببيانات المستخدم التي تم إنهاؤها | CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية | يدوي، معطل | 1.1.0 |
تأكد من أن خدمة Network Watcher في وضع "Enabled"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 6.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| التحقق من وظائف الأمان | CMA_C1708 - التحقق من وظائف الأمان | يدوي، معطل | 1.1.0 |
7
تأكد من استخدام الأجهزة الظاهرية للأقراص المُدارة
المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | يعمل هذا النهج على تدقيق الأجهزة الظاهرية التي لا تستخدم الأقراص المُدارة | تحقق | 1.0.0 |
| التحكم في الوصول الفعلي | CMA_0081 - التحكم في الوصول الفعلي | يدوي، معطل | 1.1.0 |
| إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | CMA_0369 - إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | يدوي، معطل | 1.1.0 |
| مراجعة نشاط التسمية والتحليلات | CMA_0474 - مراجعة نشاط التسمية والتحليلات | يدوي، معطل | 1.1.0 |
تأكد من تشفير أقراص "نظام التشغيل والبيانات" باستخدام المفتاح المدار من قبل العميل (CMK)
المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء إجراء إدارة تسرب البيانات | CMA_0255 - إنشاء إجراء إدارة تسرب البيانات | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
| يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين | بشكل افتراضي، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة عدم استخدام مفاتيح تُدار بواسطة النظام الأساسي. لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين الحوسبة والتخزين. تجاهل هذه التوصية إذا: 1. باستخدام التشفير في المضيف، أو 2. التشفير من جانب الخادم على الأقراص المُدارة يفي بمتطلبات الأمان. تعرف على المزيد في: تشفير Azure Disk Storage من جانب الخادم: https://aka.ms/disksse، العروض المختلفة لتشفير القرص: https://aka.ms/diskencryptioncomparison | AuditIfNotExists، معطل | 2.0.3 |
تأكد من تشفير "الأقراص غير المرفقة" باستخدام "المفتاح المدار بواسطة العميل" (CMK)
المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء إجراء إدارة تسرب البيانات | CMA_0255 - إنشاء إجراء إدارة تسرب البيانات | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| يجب تشفير الأقراص المدارة مرتين باستخدام كل من المفاتيح المدارة من النظام الأساسي والمفاتيح التي يديرها العملاء | يمكن للعملاء ذوي الحساسية الأمنية العالية الذين يشعرون بالقلق من المخاطر المرتبطة بأي خوارزمية تشفير معينة أو تنفيذ أو مفتاح يتم اختراقه اختيار طبقة إضافية من التشفير باستخدام خوارزمية /وضع تشفير مختلف في طبقة البنية التحتية باستخدام مفاتيح التشفير المدارة من النظام الأساسي. مجموعات تشفير القرص مطلوبة لاستخدام التشفير المزدوج. تعرّف على المزيد من خلال https://aka.ms/disks-doubleEncryption. | التدقيق، الرفض، التعطيل | 1.0.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
تأكد من تثبيت الملحقات المعتمدة فقط
المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تثبيت امتدادات الجهاز الظاهري المعتمدة فقط | يحكم هذا النهج ملحقات الجهاز الظاهري غير المعتمدة. | التدقيق، الرفض، التعطيل | 1.0.0 |
تأكد من تثبيت Endpoint Protection لجميع الأجهزة الظاهرية
المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| عمليات أمان المستند | CMA_0202 - عمليات أمان المستندات | يدوي، معطل | 1.1.0 |
| يجب تثبيت حماية نقطة النهاية على أجهزتك | لحماية أجهزتك من التهديدات والثغرات، قم بتثبيت حل مدعوم لحماية نقطة النهاية. | AuditIfNotExists، معطل | 1.0.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| مراجعة حالة الحماية من التهديدات أسبوعيًا | CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا | يدوي، معطل | 1.1.0 |
| تشغيل أجهزة الاستشعار لحل أمان نقطة النهاية | CMA_0514 - تشغيل أدوات الاستشعار لحل أمان نقطة النهاية | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
| التحقق من سلامة البرامج والبرامج الثابتة والمعلومات | CMA_0542 - التحقق من سلامة البرامج والبرامج الثابتة والمعلومات | يدوي، معطل | 1.1.0 |
[قديم] تأكد من تشفير VHDs
المعرف: توصيات معيار CIS Microsoft Azure Foundations 7.7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء إجراء إدارة تسرب البيانات | CMA_0255 - إنشاء إجراء إدارة تسرب البيانات | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
8
تأكد من تعيين تاريخ انتهاء الصلاحية لجميع المفاتيح في خزائن مفاتيح RBAC
المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعريف عملية إدارة المفاتيح الفعلية | CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية | يدوي، معطل | 1.1.0 |
| تعريف استخدام التشفير | CMA_0120 - تعريف استخدام التشفير | يدوي، معطل | 1.1.0 |
| تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | CMA_0123 - تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | يدوي، معطل | 1.1.0 |
| تحديد متطلبات التأكيد | CMA_0136 - تحديد متطلبات التأكيد | يدوي، معطل | 1.1.0 |
| إصدار شهادات المفتاح العام | CMA_0347 - إصدار شهادات المفتاح العام | يدوي، معطل | 1.1.0 |
| يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية | يجب أن يكون لمفاتيح التشفير تاريخ انتهاء صلاحية محدد وألا تكون دائمة. توفر المفاتيح الصالحة إلى الأبد للمهاجم المحتمل المزيد من الوقت لاختراق المفتاح. من المستحسن أن يتم تعيين تواريخ انتهاء الصلاحية على مفاتيح التشفير. | التدقيق، الرفض، التعطيل | 1.0.2 |
| إدارة مفاتيح التشفير المتماثلة | CMA_0367 - إدارة مفاتيح التشفير المتماثلة | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى المفاتيح الخاصة | CMA_0445 - تقييد الوصول إلى المفاتيح الخاصة | يدوي، معطل | 1.1.0 |
تأكد من تعيين تاريخ انتهاء الصلاحية لجميع المفاتيح في خزائن مفاتيح غير RBAC.
المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعريف عملية إدارة المفاتيح الفعلية | CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية | يدوي، معطل | 1.1.0 |
| تعريف استخدام التشفير | CMA_0120 - تعريف استخدام التشفير | يدوي، معطل | 1.1.0 |
| تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | CMA_0123 - تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | يدوي، معطل | 1.1.0 |
| تحديد متطلبات التأكيد | CMA_0136 - تحديد متطلبات التأكيد | يدوي، معطل | 1.1.0 |
| إصدار شهادات المفتاح العام | CMA_0347 - إصدار شهادات المفتاح العام | يدوي، معطل | 1.1.0 |
| يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية | يجب أن يكون لمفاتيح التشفير تاريخ انتهاء صلاحية محدد وألا تكون دائمة. توفر المفاتيح الصالحة إلى الأبد للمهاجم المحتمل المزيد من الوقت لاختراق المفتاح. من المستحسن أن يتم تعيين تواريخ انتهاء الصلاحية على مفاتيح التشفير. | التدقيق، الرفض، التعطيل | 1.0.2 |
| إدارة مفاتيح التشفير المتماثلة | CMA_0367 - إدارة مفاتيح التشفير المتماثلة | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى المفاتيح الخاصة | CMA_0445 - تقييد الوصول إلى المفاتيح الخاصة | يدوي، معطل | 1.1.0 |
تأكد من تعيين تاريخ انتهاء الصلاحية لجميع الأسرار في RBAC Key Vaults
المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعريف عملية إدارة المفاتيح الفعلية | CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية | يدوي، معطل | 1.1.0 |
| تعريف استخدام التشفير | CMA_0120 - تعريف استخدام التشفير | يدوي، معطل | 1.1.0 |
| تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | CMA_0123 - تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | يدوي، معطل | 1.1.0 |
| تحديد متطلبات التأكيد | CMA_0136 - تحديد متطلبات التأكيد | يدوي، معطل | 1.1.0 |
| إصدار شهادات المفتاح العام | CMA_0347 - إصدار شهادات المفتاح العام | يدوي، معطل | 1.1.0 |
| يجب أن يكون لأسرار Key Vault تاريخ انتهاء صلاحية | يجب أن يكون للأسرار تاريخ انتهاء صلاحية محدد وألا تكون دائمة. الأسرار التي هي صالحة إلى الأبد توفر للمهاجم المحتمل مع المزيد من الوقت للتنازل عنها. من الممارسات الأمنية الموصى بها تعيين تواريخ انتهاء الصلاحية على الأسرار. | التدقيق، الرفض، التعطيل | 1.0.2 |
| إدارة مفاتيح التشفير المتماثلة | CMA_0367 - إدارة مفاتيح التشفير المتماثلة | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى المفاتيح الخاصة | CMA_0445 - تقييد الوصول إلى المفاتيح الخاصة | يدوي، معطل | 1.1.0 |
تأكد من تعيين تاريخ انتهاء الصلاحية لجميع الأسرار في Key Vaults غير RBAC
المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعريف عملية إدارة المفاتيح الفعلية | CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية | يدوي، معطل | 1.1.0 |
| تعريف استخدام التشفير | CMA_0120 - تعريف استخدام التشفير | يدوي، معطل | 1.1.0 |
| تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | CMA_0123 - تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | يدوي، معطل | 1.1.0 |
| تحديد متطلبات التأكيد | CMA_0136 - تحديد متطلبات التأكيد | يدوي، معطل | 1.1.0 |
| إصدار شهادات المفتاح العام | CMA_0347 - إصدار شهادات المفتاح العام | يدوي، معطل | 1.1.0 |
| يجب أن يكون لأسرار Key Vault تاريخ انتهاء صلاحية | يجب أن يكون للأسرار تاريخ انتهاء صلاحية محدد وألا تكون دائمة. الأسرار التي هي صالحة إلى الأبد توفر للمهاجم المحتمل مع المزيد من الوقت للتنازل عنها. من الممارسات الأمنية الموصى بها تعيين تواريخ انتهاء الصلاحية على الأسرار. | التدقيق، الرفض، التعطيل | 1.0.2 |
| إدارة مفاتيح التشفير المتماثلة | CMA_0367 - إدارة مفاتيح التشفير المتماثلة | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى المفاتيح الخاصة | CMA_0445 - تقييد الوصول إلى المفاتيح الخاصة | يدوي، معطل | 1.1.0 |
تأكد من أن Key Vault قابل للاسترداد
المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين حماية الحذف في خزائن المفاتيح | يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب تمكين الحذف المبدئي في Key vaults | يؤدي حذف key vault من دون حذف مبدئي ممكن إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في key vault نهائيًا. يمكن أن يؤدي الحذف العرضي لمخزن البيانات السرية إلى فقدان دائم للبيانات. يتيح لك الحذف الناعم استرداد مخزن مفاتيح تم حذفها عن طريق الخطأ لفترة استبقاء قابلة للتكوين. | التدقيق، الرفض، التعطيل | 3.0.0 |
تمكين التحكم في الوصول المستند إلى الدور ل Azure Key Vault
المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يستخدم Azure Key Vault نموذج إذن التحكم في الوصول استنادا إلى الدور | تمكين نموذج إذن التحكم في الوصول استنادا إلى الدور عبر Key Vaults. تعرّف على المزيد من خلال: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | التدقيق، الرفض، التعطيل | 1.0.1 |
تأكد من استخدام نقاط النهاية الخاصة ل Azure Key Vault
المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم Azure Key Vaults رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
تأكد من تمكين التدوير التلقائي للمفتاح داخل Azure Key Vault للخدمات المدعومة
المعرف: توصيات معيار CIS Microsoft Azure Foundations 8.8 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يكون للمفاتيح نهج تدوير يضمن جدولة دورانها خلال عدد الأيام المحدد بعد الإنشاء. | قم بإدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد الحد الأقصى لعدد الأيام بعد إنشاء المفتاح حتى يجب تدويره. | المراجعة، معطلة | 1.0.0 |
9
تأكد من إعداد App Service Authentication للتطبيقات في Azure App Service
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين المصادقة لتطبيقات App Service | تُعد "App Service Authentication" من Azure ميزة يمكنها منع طلبات HTTP المجهولة من الوصول إلى تطبيق واجهة برمجة التطبيقات، أو مصادقة تلك التي تحتوي على رموز مميزة قبل وصولها إلى تطبيق الويب. | AuditIfNotExists، معطل | 2.0.1 |
| المصادقة على وحدة التشفير | CMA_0021 - المصادقة على وحدة التشفير | يدوي، معطل | 1.1.0 |
| فرض تفرد المستخدم | CMA_0250 - فرض تفرد المستخدم | يدوي، معطل | 1.1.0 |
| يجب تمكين المصادقة لتطبيقات الوظائف | تُعد Azure App Service Authentication ميزة يمكنها منع طلبات HTTP المجهولة من الوصول إلى Function App أو مصادقة تلك التي تحتوي على رموز مميزة قبل وصولها إلى Function App. | AuditIfNotExists، معطل | 3.0.0 |
| دعم بيانات اعتماد التحقق الشخصي الصادرة عن السلطات القانونية | CMA_0507 - دعم بيانات اعتماد التحقق الشخصي الصادرة عن السلطات القانونية | يدوي، معطل | 1.1.0 |
تأكد من تعطيل عمليات نشر FTP
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.10 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تتطلب تطبيقات App Service FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| تكوين محطات العمل للتحقق من وجود شهادات رقمية | CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية | يدوي، معطل | 1.1.0 |
| يجب أن تتطلب تطبيقات الوظائف FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية كلمات المرور باستخدام التشفير | CMA_0408 - حماية كلمات المرور باستخدام التشفير | يدوي، معطل | 1.1.0 |
تأكد من استخدام Azure Key Vaults لتخزين الأسرار
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.11 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعريف عملية إدارة المفاتيح الفعلية | CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية | يدوي، معطل | 1.1.0 |
| تعريف استخدام التشفير | CMA_0120 - تعريف استخدام التشفير | يدوي، معطل | 1.1.0 |
| تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | CMA_0123 - تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | يدوي، معطل | 1.1.0 |
| تحديد متطلبات التأكيد | CMA_0136 - تحديد متطلبات التأكيد | يدوي، معطل | 1.1.0 |
| تأكد من أن آليات التشفير تحت إدارة التكوين | CMA_C1199 - تأكد من أن آليات التشفير تحت إدارة التكوين | يدوي، معطل | 1.1.0 |
| إصدار شهادات المفتاح العام | CMA_0347 - إصدار شهادات المفتاح العام | يدوي، معطل | 1.1.0 |
| الحفاظ على توفر المعلومات | CMA_C1644 - الحفاظ على توفر المعلومات | يدوي، معطل | 1.1.0 |
| إدارة مفاتيح التشفير المتماثلة | CMA_0367 - إدارة مفاتيح التشفير المتماثلة | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى المفاتيح الخاصة | CMA_0445 - تقييد الوصول إلى المفاتيح الخاصة | يدوي، معطل | 1.1.0 |
تأكد من أن تطبيق الويب يعيد توجيه جميع حركة مرور HTTP إلى HTTPS في Azure App Service
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
| تكوين محطات العمل للتحقق من وجود شهادات رقمية | CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية كلمات المرور باستخدام التشفير | CMA_0408 - حماية كلمات المرور باستخدام التشفير | يدوي، معطل | 1.1.0 |
تأكد من أن تطبيق الويب يستخدم أحدث إصدار من تشفير TLS
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS" | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. | AuditIfNotExists، معطل | 2.0.1 |
| تكوين محطات العمل للتحقق من وجود شهادات رقمية | CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية | يدوي، معطل | 1.1.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 2.0.1 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية كلمات المرور باستخدام التشفير | CMA_0408 - حماية كلمات المرور باستخدام التشفير | يدوي، معطل | 1.1.0 |
تأكد من أن تطبيق الويب يحتوي على "شهادات العميل (شهادات العميل الواردة)" التي عُينت إلى "On"
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [مهمل]: يجب أن يكون لتطبيقات App Service "شهادات العميل (شهادات العميل الواردة)" ممكنة | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. تم استبدال هذا النهج بنهج جديد بنفس الاسم لأن Http 2.0 لا يدعم شهادات العميل. | المراجعة، معطلة | 3.1.0 مهمل |
| [مهمل]: يجب أن يكون لتطبيقات الوظائف "شهادات العميل (شهادات العميل الواردة)" ممكنة | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين يحملون شهادات صالحة فقط من الوصول إلى التطبيق. تم استبدال هذا النهج بنهج جديد بنفس الاسم لأن Http 2.0 لا يدعم شهادات العميل. | المراجعة، معطلة | 3.1.0 مهمل |
| المصادقة على وحدة التشفير | CMA_0021 - المصادقة على وحدة التشفير | يدوي، معطل | 1.1.0 |
تأكد من تمكين التسجيل باستخدام Azure Active Directory في خدمات التطبيق
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| أتمتة إدارة الحساب | CMA_0026 - أتمتة إدارة الحساب | يدوي، معطل | 1.1.0 |
| يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| إدارة حسابات النظام والمسؤول | CMA_0368 - إدارة حسابات النظام والمسؤول | يدوي، معطل | 1.1.0 |
| مراقبة الوصول عبر المؤسسة | CMA_0376 - مراقبة الوصول عبر المؤسسة | يدوي، معطل | 1.1.0 |
| إعلام عندما لا تكون هناك حاجة إلى الحساب | CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب | يدوي، معطل | 1.1.0 |
تأكد من أن "إصدار PHP" هو الأحدث، إذا تم استخدامه لتشغيل تطبيق الويب
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم فتحات تطبيق App Service التي تستخدم PHP "إصدار PHP" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج PHP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من PHP لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار PHP الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تطبيقات App Service التي تستخدم PHP "إصدار PHP" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج PHP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من PHP لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار PHP الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 3.2.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
تأكد من أن "إصدار Python" هو أحدث إصدار مستقر، إذا تم استخدامه لتشغيل تطبيق الويب
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم فتحات تطبيق App Service التي تستخدم Python "إصدار Python" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج Python إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Python لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Python الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تطبيقات App Service التي تستخدم Python "إصدار Python" محددا | بشكل دوري، يتم إصدار إصدارات أحدث لبرنامج Python إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Python لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Python الذي يلبي متطلباتك. | AuditIfNotExists، معطل | 4.1.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
تأكد من أن "إصدار Java" هو الأحدث، إذا تم استخدامه لتشغيل تطبيق الويب
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.8 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم فتحات تطبيق الوظائف التي تستخدم Java "إصدار Java" محددا | إذ يتم إطلاق إصدارات أحدث لبرنامج Java بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Java لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Java يلبي متطلباتك. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تطبيقات الوظائف التي تستخدم Java "إصدار Java" محددا | إذ يتم إطلاق إصدارات أحدث لبرنامج Java بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Java لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. لا ينطبق هذا النهج إلا على تطبيقات نظام Linux. يتطلب منك هذا النهج تحديد إصدار Java يلبي متطلباتك. | AuditIfNotExists، معطل | 3.1.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
تأكد من أن "إصدار HTTP" هو الأحدث، إذا تم استخدامه لتشغيل تطبيق الويب
المعرف: توصيات معيار CIS Microsoft Azure Foundations 9.9 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تستخدم تطبيقات App Service أحدث "إصدار من HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث "إصدار HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
الخطوات التالية
مقالات إضافية حول Azure Policy:
- نظرة عامة على التوافق التنظيمي.
- راجع بنية تعريف المبادرة.
- مراجعة أمثلة أخرى في نماذج Azure Policy.
- راجع فهم تأثيرات النهج.
- تعرف على كيفية إصلاح الموارد غير المتوافقة.