تفاصيل مبادرة التوافق التنظيمي للمستوى رقم 3 لشهادة نموذج نضج الأمن السيبراني المضمنة

توضح المقالة التالية كيفية تعيين تعريف مبادرة التوافق التنظيمي في Azure Policy إلى مجالات التوافقوعناصر التحكم في المستوى رقم 3 لشهادة نموذج نضج الأمن السيبراني. لمزيد من المعلومات المتعقلة بمعيار الامتثال المذكور، راجع المستوى رقم 3 لشهادة نموذج نضج الأمن السيبراني. لفهم الملكية، راجع تعريف نهج Azure و المسؤولية المشتركة في السحابة.

التعيينات التالية إلى عناصر تحكم المستوى رقم 3 لشهادة نموذج نضج الأمن السيبراني. يتم تنفيذ العديد من عناصر التحكم بتعريف مبادرة ⁧Azure Policy⁧. لمراجعة تعريف المبادرة الكامل، افتح نهج في مدخل Microsoft Azure وحدد صفحة التعريفات. ثم ابحث عن تعريف مبادرة التوافق التنظيمي للمستوى رقم 3 لشهادة نموذج نضج الأمن السيبراني المضمنة وحدّده.

هام

يرتبط كل عنصر تحكم أدناه بتعريف أو أكثر من تعريفات نهج Azure. قد تساعدك هذه السياسات على تقييم الامتثال بعنصر التحكم؛ ومع ذلك، غالباً ما لا يكون هناك تطابق أو تناظر كامل بين عنصر التحكم مع نهج واحد أو أكثر. على هذا النحو، تشير كلمة ⁧متوافق في Azure Policy فقط إلى تعريفات النهج ذاتها؛ وهذا لا يضمن أنك ممتثل تمامًا لكافة متطلبات عنصر التحكم. بالإضافة إلى ذلك، يتضمن معيار التوافق عناصر تحكم لا يتم تناولها بواسطة أي تعريفات خاصة بـ Azure Policy في هذا الوقت. لذلك، فإن التوافق في Azure Policy هو مجرد مظهر جزئي لحالة التوافق الكلي. قد تتغير الاقترانات بين مجالات الامتثال وعناصر التحكم وتعريفات Azure Policy لمعيار الامتثال المذكور بمرور الوقت. لعرض تاريخ التغييرات، راجع تاريخ امتثال شركة GitHub.

التحكم في الوصول

تقييد الوصول إلى نظام المعلومات للمستخدمين المعتمدين، والعمليات التي تعمل نيابةً عن المستخدمين المعتمدين، والأجهزة (بما في ذلك أنظمة المعلومات الأخرى).

المعرّف: CMMC L3 AC.1.001 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين	يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك.	تدقيق، Audit، رفض، Deny، معطل، Disabled	3.1.0-المعاينة
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات	يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم	تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك	يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات.	AuditIfNotExists، معطل	2.0.0
مراجعة أجهزة Linux التي تسمح بالاتصالات عن بُعد من الحسابات من دون كلمات مرور	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux تسمح بالاتصال عن بعد من الحسابات بدون كلمات مرور	AuditIfNotExists، معطل	3.1.0
يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة	من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure.	التدقيق، الرفض، التعطيل	3.2.0
يجب تمكين جدار حماية Azure Key Vault	قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security	التدقيق، الرفض، التعطيل	3.2.1
يجب استخدام Azure Role-Based Access Control (RBAC) على خدمات Kubernetes	لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم Azure Role-Based Access Control (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة.	المراجعة، معطلة	1.0.3
يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول.	AuditIfNotExists، معطل	1.0.0
يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure	يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول.	AuditIfNotExists، معطل	1.0.0
يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة	تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet.	التدقيق، الرفض، التعطيل	2.0.0
يجب ألا تسمح CORS لكل مجال بالوصول إلى واجهة برمجة التطبيقات الخاصة بك لـ FHIR	يجب ألا تسمح مشاركة الموارد عبر المصادر (CORS) لجميع المجالات بالوصول إلى واجهة برمجة التطبيقات الخاصة بك لـ FHIR. لحماية واجهة برمجة التطبيقات الخاصة بك لـFHIR، امنع الوصول من جميع المجالات وحدد المجالات المسموح لها بالاتصال بشكل صريح.	تدقيق، تدقيق، معطل، معطل	1.1.0
نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows	تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	deployIfNotExists	1.2.0
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
تطبيقات الوظائف يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك	يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية.	AuditIfNotExists، معطل	2.0.0
يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure	يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure	يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.4 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	6.1.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	1.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL المرنة	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم MySQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	2.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL المرنة	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم PostgreSQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	⁧3.0.1⁧
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP.	التدقيق، الرفض، التعطيل	2.0.1
يجب أن تسمح حسابات التخزين بالوصول من خدمات Microsoft الموثوق بها	تعمل بعض خدمات Microsoft التي تتفاعل مع حسابات التخزين من شبكات لا يمكن منحها حق الوصول من خلال قواعد الشبكة. للمساعدة في هذا النوع من عمل الخدمة كما هو مقصود، اسمح لمجموعة خدمات Microsoft الموثوق بها بتجاوز قواعد الشبكة. وستستخدم هذه الخدمات بعد ذلك مصادقة قوية للوصول إلى حساب التخزين.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Microsoft Network Server"	يجب أن يكون لدى أجهزة Windows إعدادات «نهج المجموعة» المحددة في الفئة "Security Options - Network Access" بما في ذلك الوصول للمستخدمين المجهولين، والحسابات المحلية، والوصول عن بُعد إلى السجل. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0
يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Network Security"	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - أمان الشبكة" لتضمين سلوك النظام المحلي وPKU2U وLAN Manager وعميل LDAP وNTLM SSP. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

قم بتقييد وصول نظام المعلومات إلى أنواع المعاملات والوظائف التي يُسمح للمستخدمين المعتمدين بتنفيذها.

المعرّف: CMMC L3 AC.1.002 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين	يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك.	تدقيق، Audit، رفض، Deny، معطل، Disabled	3.1.0-المعاينة
تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك	يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات.	AuditIfNotExists، معطل	2.0.0
يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	4.0.0
مراجعة أجهزة Linux التي تسمح بالاتصالات عن بُعد من الحسابات من دون كلمات مرور	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux تسمح بالاتصال عن بعد من الحسابات بدون كلمات مرور	AuditIfNotExists، معطل	3.1.0
يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة	من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure.	التدقيق، الرفض، التعطيل	3.2.0
يجب تمكين جدار حماية Azure Key Vault	قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security	التدقيق، الرفض، التعطيل	3.2.1
يجب استخدام Azure Role-Based Access Control (RBAC) على خدمات Kubernetes	لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم Azure Role-Based Access Control (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة.	المراجعة، معطلة	1.0.3
يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة	تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet.	التدقيق، الرفض، التعطيل	2.0.0
يجب ألا تسمح CORS لكل مجال بالوصول إلى واجهة برمجة التطبيقات الخاصة بك لـ FHIR	يجب ألا تسمح مشاركة الموارد عبر المصادر (CORS) لجميع المجالات بالوصول إلى واجهة برمجة التطبيقات الخاصة بك لـ FHIR. لحماية واجهة برمجة التطبيقات الخاصة بك لـFHIR، امنع الوصول من جميع المجالات وحدد المجالات المسموح لها بالاتصال بشكل صريح.	تدقيق، تدقيق، معطل، معطل	1.1.0
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL	قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات.	المراجعة، معطلة	1.0.1
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL	تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات.	المراجعة، معطلة	1.0.1
تطبيقات الوظائف يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك	يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية.	AuditIfNotExists، معطل	2.0.0
يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	⁧5.0.0⁧
يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.4 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	6.1.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis	تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة	التدقيق، الرفض، التعطيل	1.0.0
يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	1.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL المرنة	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم MySQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	2.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL المرنة	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم PostgreSQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	⁧3.0.1⁧
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP.	التدقيق، الرفض، التعطيل	2.0.1
يجب تمكين النقل الآمن إلى حسابات التخزين	متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تسمح حسابات التخزين بالوصول من خدمات Microsoft الموثوق بها	تعمل بعض خدمات Microsoft التي تتفاعل مع حسابات التخزين من شبكات لا يمكن منحها حق الوصول من خلال قواعد الشبكة. للمساعدة في هذا النوع من عمل الخدمة كما هو مقصود، اسمح لمجموعة خدمات Microsoft الموثوق بها بتجاوز قواعد الشبكة. وستستخدم هذه الخدمات بعد ذلك مصادقة قوية للوصول إلى حساب التخزين.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة	لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة.	AuditIfNotExists، معطل	4.1.1
يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Microsoft Network Server"	يجب أن يكون لدى أجهزة Windows إعدادات «نهج المجموعة» المحددة في الفئة "Security Options - Network Access" بما في ذلك الوصول للمستخدمين المجهولين، والحسابات المحلية، والوصول عن بُعد إلى السجل. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

التحقق والتحكم/ تقيّيد الاتصالات بالأنظمة الخارجية للمعلومات واستخدامها.

المعرّف: CMMC L3 AC.1.003 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0

استخدام مبدأ أدنى الامتيازات، بما في ذلك وظائف الأمان المحددة والحسابات المميزة.

المعرّف: CMMC L3 AC.2.007 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب استخدام Azure Role-Based Access Control (RBAC) على خدمات Kubernetes	لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم Azure Role-Based Access Control (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة.	المراجعة، معطلة	1.0.3
يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure	يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure	يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0

استخدم الحسابات أو الأدوار غير المميزة عند الوصول إلى وظائف غير الأمان.

المعرّف: CMMC L3 AC.2.008 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب أن تفي أجهزة Windows بمتطلبات 'Security Options - User Account Control'	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - التحكم في حساب المستخدم" للوضع الخاص بالمسؤولين، وسلوك طلب تأكيد، والمحاكاة الافتراضية لإخفاقات كتابة الملف والسجل. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0
يجب أن تفي أجهزة Windows بمتطلبات Use" "Rights Assignment	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في الفئة 'تعيين حقوق المستخدم' للسماح بتسجيل الدخول محليًا، RDP، الوصول من الشبكة، والعديد من أنشطة المستخدم الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

مراقبة جلسات الوصول عن بُعد والتحكم بها.

المعرّف: CMMC L3 AC.2.013 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات	يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم	تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
مراجعة أجهزة Linux التي تسمح بالاتصالات عن بُعد من الحسابات من دون كلمات مرور	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux تسمح بالاتصال عن بعد من الحسابات بدون كلمات مرور	AuditIfNotExists، معطل	3.1.0
نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows	تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	deployIfNotExists	1.2.0
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب تمكين Network Watcher	تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة.	AuditIfNotExists، معطل	3.0.0
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Network Security"	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - أمان الشبكة" لتضمين سلوك النظام المحلي وPKU2U وLAN Manager وعميل LDAP وNTLM SSP. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

التحكم في تدفق المعلومات غير المصنفة الخاضعة للرقابة (CUI) وفقًا للتراخيص المعتمدة.

المعرّف: CMMC L3 AC.2.016 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
[معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين	يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك.	تدقيق، Audit، رفض، Deny، معطل، Disabled	3.1.0-المعاينة
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة	من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure.	التدقيق، الرفض، التعطيل	3.2.0
يجب استخدام Azure Role-Based Access Control (RBAC) على خدمات Kubernetes	لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم Azure Role-Based Access Control (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة.	المراجعة، معطلة	1.0.3
يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة	تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet.	التدقيق، الرفض، التعطيل	2.0.0
يجب ألا تسمح CORS لكل مجال بالوصول إلى واجهة برمجة التطبيقات الخاصة بك لـ FHIR	يجب ألا تسمح مشاركة الموارد عبر المصادر (CORS) لجميع المجالات بالوصول إلى واجهة برمجة التطبيقات الخاصة بك لـ FHIR. لحماية واجهة برمجة التطبيقات الخاصة بك لـFHIR، امنع الوصول من جميع المجالات وحدد المجالات المسموح لها بالاتصال بشكل صريح.	تدقيق، تدقيق، معطل، معطل	1.1.0
تطبيقات الوظائف يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك	يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية.	AuditIfNotExists، معطل	2.0.0
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	1.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL المرنة	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم MySQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	2.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL المرنة	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم PostgreSQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	⁧3.0.1⁧
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP.	التدقيق، الرفض، التعطيل	2.0.1
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Microsoft Network Server"	يجب أن يكون لدى أجهزة Windows إعدادات «نهج المجموعة» المحددة في الفئة "Security Options - Network Access" بما في ذلك الوصول للمستخدمين المجهولين، والحسابات المحلية، والوصول عن بُعد إلى السجل. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

افصل واجبات الأفراد للحد من خطر النشاط السيئ دون تواطؤ.

المعرّف: CMMC L3 AC.3.017 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تعيين 3 مالكين كحد أقصى للاشتراك	يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق.	AuditIfNotExists، معطل	3.0.0
تفقد أجهزة Windows التي تعمل بنظام التشغيل أيّ أعضاء محددين في مجموعة المسؤولين	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت مجموعة Administrators المحلية لا تحتوي على عضو واحد أو أكثر مدرجين في معلمة النهج.	auditIfNotExists	2.0.0
⁧تدوين Windows الأجهزة التي تحتوي على الأعضاء المحددين في مجموعة المسؤولين⁧	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت مجموعة المسؤولين المحليين تحتوي على واحد أو أكثر من الأعضاء المدرجين في معلمة النهج.	auditIfNotExists	2.0.0
يجب تعيين أكثر من مالك واحد لاشتراكك	يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول.	AuditIfNotExists، معطل	3.0.0

امنع المستخدمين غير المميزين من تنفيذ الوظائف المميزة والتقط مرات تنفيذ هذه الوظائف في سجلات التدقيق.

المعرّف: CMMC L3 AC.3.018 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
⁧يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة⁧	يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
تدقيق استخدام أدوار RBAC المخصصة	تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات	المراجعة، معطلة	1.0.1
يجب أن تفي أجهزة Windows بمتطلبات "سياسة تدقيق النظام - استخدام الامتياز"	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في الفئة «نُهج تدقيق النظام - استخدام الامتياز» لتدقيق الاستخدام غير الحساس واستخدام الامتيازات الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

المصادقة على تنفيذ الأوامر المميزة عن بعد والوصول عن بعد إلى المعلومات ذات الصلة بالأمان.

المعرّف: CMMC L3 AC.3.021 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات	يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم	تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
⁧يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة⁧	يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
يجب أن يكون ثمة تنبيه لسجل النشاط الخاص بعمليات أمان معينة	يقوم هذا النهج بتدقيق عمليات أمان معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux	ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	deployIfNotExists	3.1.0
نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows	تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	deployIfNotExists	1.2.0
يجب تثبيت ملحق Guest Configuration على الأجهزة	لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol.	AuditIfNotExists، معطل	1.0.3
يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام	يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol.	AuditIfNotExists، معطل	1.0.1
يجب أن تفي أجهزة Windows بمتطلبات 'Security Options - User Account Control'	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - التحكم في حساب المستخدم" للوضع الخاص بالمسؤولين، وسلوك طلب تأكيد، والمحاكاة الافتراضية لإخفاقات كتابة الملف والسجل. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0
يجب أن تفي أجهزة Windows بمتطلبات Use" "Rights Assignment	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في الفئة 'تعيين حقوق المستخدم' للسماح بتسجيل الدخول محليًا، RDP، الوصول من الشبكة، والعديد من أنشطة المستخدم الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

التدقيق والمُساءلة

ضمان تتبع إجراءات مُستخدمي النظام الفرديين عَلَى نَحْوٍ فَرِيد إلى هؤلاء المستخدمين حتى يمكن مساءلتهم عن أفعالهم.

المعرّف: CMMC L3 AU.2.041 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب تمكين "Log Analytics Extension" لصور الأجهزة الظاهرية المدرجة	يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يتم تثبيت الملحق.	AuditIfNotExists، معطل	2.0.1-معاينة
⁧يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة⁧	يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
يجب أن يوجد تنبيه سجل النشاط لعمليات معينة تتعلق بالنهج	يقوم هذا النهج بتدقيق عمليات نهج معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	3.0.0
يجب أن يكون ثمة تنبيه لسجل النشاط الخاص بعمليات أمان معينة	يقوم هذا النهج بتدقيق عمليات أمان معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
تدقيق إعداد التشخيص للأنوع المحددة من الموارد	تدقيق إعداد التشخيص لأنواع الموارد المحددة. تأكد من تحديد أنواع الموارد التي تدعم إعدادات التشخيص فقط.	AuditIfNotExists	2.0.1
ينبغي تمكين التدقيق على خادم SQL	يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق.	AuditIfNotExists، معطل	2.0.0
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب أن يقوم ملف تعريف سجل Azure Monitor بتجميع سجلات للفئات "الكتابة" و"الحذف" و"الإجراء"	يضمن هذا النهج أن ملف تعريف السجل يجمع سجلات للفئات 'الكتابة' و'حذف' و'إجراء'	AuditIfNotExists، معطل	1.0.0
يجب أن يجمع Azure Monitor سجلات الأنشطة من جميع المناطق	يقوم هذا النهج بتدقيق ملف تعريف سجل Azure Monitor الذي لا يقوم بتصدير الأنشطة من كل المناطق المعتمدة من Azure بما في ذلك المناطق العمومية.	AuditIfNotExists، معطل	2.0.0
يجب أن تحتوي اشتراكات Azure على ملف تعريف سجل لسجل النشاط	يضمن هذا النهج ما إذا تم تمكين أحد ملفات تعريف السجلات لتصدير سجلات النشاط. ويقوم بتدقيق ما إذا لم يتم إنشاء ملف تعريف سجل لتصدير السجلات إما إلى حساب تخزين أو إلى مركز أحداث.	AuditIfNotExists، معطل	1.0.0
يجب تمكين ملحق Log Analytics في مجموعات مقياس الأجهزة الظاهرية لصور الأجهزة الظاهرية المدرجة	يُبلغ عن مجموعات مقياس الجهاز الظاهري على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يتم تثبيت الملحق.	AuditIfNotExists، معطل	2.0.1
⁧يجب تثبيت ملحق Log Analytics على مجموعات مقياس الجهاز الظاهري⁧	يدقق هذا النهج أي مجموعات مقياس جهاز ظاهري في Windows/Linux إذا لم يكن ملحق Log Analytics مثبتاً.	AuditIfNotExists، معطل	1.0.1
يجب توصيل الأجهزة الظاهرية بمساحة عمل محددة	يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تقم بتسجيل الدخول إلى مساحة عمل Log Analytics المحددة في تعيين النهج/المبادرة.	AuditIfNotExists، معطل	1.1.0
يجب أن يكون لدى الأجهزة الظاهرية ملحق Log Analytics مثبتاً	يدقق هذا النهج أي أجهزة ظاهرية لنظامي التشغيل Windows/Linux إذا لم يتم تثبيت ملحق Log Analytics.	AuditIfNotExists، معطل	1.0.1

إنشاء التسجيلات وسجلات تدقيق النظام والاحتفاظ بها بالقدر المطلوب لتمكين مراقبة نشاط النظام غير القانوني أو غير المُصرح به وتحليله والتحقيق فيه والإبلاغ عنه.

المعرّف: CMMC L3 AU.2.042 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب تمكين "Log Analytics Extension" لصور الأجهزة الظاهرية المدرجة	يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يتم تثبيت الملحق.	AuditIfNotExists، معطل	2.0.1-معاينة
يجب الاحتفاظ بسجل النشاط لمدة سنة واحدة على الأقل	يقوم هذا النهج بتدقيق سجل النشاط إذا لم يتم تعيين الاحتفاظ لمدة 365 يوماً أو إلى الأبد (تعيين أيام الاحتفاظ إلى "0").	AuditIfNotExists، معطل	1.0.0
⁧يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة⁧	يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
يجب أن يوجد تنبيه سجل النشاط لعمليات معينة تتعلق بالنهج	يقوم هذا النهج بتدقيق عمليات نهج معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	3.0.0
يجب أن يكون ثمة تنبيه لسجل النشاط الخاص بعمليات أمان معينة	يقوم هذا النهج بتدقيق عمليات أمان معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
تدقيق إعداد التشخيص للأنوع المحددة من الموارد	تدقيق إعداد التشخيص لأنواع الموارد المحددة. تأكد من تحديد أنواع الموارد التي تدعم إعدادات التشخيص فقط.	AuditIfNotExists	2.0.1
ينبغي تمكين التدقيق على خادم SQL	يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق.	AuditIfNotExists، معطل	2.0.0
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب أن يجمع Azure Monitor سجلات الأنشطة من جميع المناطق	يقوم هذا النهج بتدقيق ملف تعريف سجل Azure Monitor الذي لا يقوم بتصدير الأنشطة من كل المناطق المعتمدة من Azure بما في ذلك المناطق العمومية.	AuditIfNotExists، معطل	2.0.0
يجب أن تحتوي اشتراكات Azure على ملف تعريف سجل لسجل النشاط	يضمن هذا النهج ما إذا تم تمكين أحد ملفات تعريف السجلات لتصدير سجلات النشاط. ويقوم بتدقيق ما إذا لم يتم إنشاء ملف تعريف سجل لتصدير السجلات إما إلى حساب تخزين أو إلى مركز أحداث.	AuditIfNotExists، معطل	1.0.0
يجب تمكين ملحق Log Analytics في مجموعات مقياس الأجهزة الظاهرية لصور الأجهزة الظاهرية المدرجة	يُبلغ عن مجموعات مقياس الجهاز الظاهري على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يتم تثبيت الملحق.	AuditIfNotExists، معطل	2.0.1
⁧يجب تثبيت ملحق Log Analytics على مجموعات مقياس الجهاز الظاهري⁧	يدقق هذا النهج أي مجموعات مقياس جهاز ظاهري في Windows/Linux إذا لم يكن ملحق Log Analytics مثبتاً.	AuditIfNotExists، معطل	1.0.1
يجب توصيل الأجهزة الظاهرية بمساحة عمل محددة	يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تقم بتسجيل الدخول إلى مساحة عمل Log Analytics المحددة في تعيين النهج/المبادرة.	AuditIfNotExists، معطل	1.1.0
يجب أن يكون لدى الأجهزة الظاهرية ملحق Log Analytics مثبتاً	يدقق هذا النهج أي أجهزة ظاهرية لنظامي التشغيل Windows/Linux إذا لم يتم تثبيت ملحق Log Analytics.	AuditIfNotExists، معطل	1.0.1

إرسال تنبيه في حالة فشل عملية تسجيل التدقيق.

المعرّف: CMMC L3 AU.3.046 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب تمكين "Log Analytics Extension" لصور الأجهزة الظاهرية المدرجة	يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يتم تثبيت الملحق.	AuditIfNotExists، معطل	2.0.1-معاينة
تدقيق إعداد التشخيص للأنوع المحددة من الموارد	تدقيق إعداد التشخيص لأنواع الموارد المحددة. تأكد من تحديد أنواع الموارد التي تدعم إعدادات التشخيص فقط.	AuditIfNotExists	2.0.1
ينبغي تمكين التدقيق على خادم SQL	يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق.	AuditIfNotExists، معطل	2.0.0
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين ملحق Log Analytics في مجموعات مقياس الأجهزة الظاهرية لصور الأجهزة الظاهرية المدرجة	يُبلغ عن مجموعات مقياس الجهاز الظاهري على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يتم تثبيت الملحق.	AuditIfNotExists، معطل	2.0.1
يجب توصيل الأجهزة الظاهرية بمساحة عمل محددة	يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تقم بتسجيل الدخول إلى مساحة عمل Log Analytics المحددة في تعيين النهج/المبادرة.	AuditIfNotExists، معطل	1.1.0

جمع معلومات التدقيق (مثل السجلات) في مستودع مركزي واحد أو أكثر من مستودع.

المعرّف: CMMC L3 AU.3.048الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب تمكين "Log Analytics Extension" لصور الأجهزة الظاهرية المدرجة	يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يتم تثبيت الملحق.	AuditIfNotExists، معطل	2.0.1-معاينة
يجب تمكين سجلات الموارد لتطبيقات App Service	قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر.	AuditIfNotExists، معطل	2.0.1
تدقيق إعداد التشخيص للأنوع المحددة من الموارد	تدقيق إعداد التشخيص لأنواع الموارد المحددة. تأكد من تحديد أنواع الموارد التي تدعم إعدادات التشخيص فقط.	AuditIfNotExists	2.0.1
يجب تمكين ملحق Log Analytics في مجموعات مقياس الأجهزة الظاهرية لصور الأجهزة الظاهرية المدرجة	يُبلغ عن مجموعات مقياس الجهاز الظاهري على أنها غير متوافقة إذا لم تكن صورة الجهاز الظاهري مدرجة في القائمة المحددة ولم يتم تثبيت الملحق.	AuditIfNotExists، معطل	2.0.1
⁧يجب تمكين سجلات الموارد في مركز IoT⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	3.1.0
⁧يجب تثبيت ملحق Log Analytics على مجموعات مقياس الجهاز الظاهري⁧	يدقق هذا النهج أي مجموعات مقياس جهاز ظاهري في Windows/Linux إذا لم يكن ملحق Log Analytics مثبتاً.	AuditIfNotExists، معطل	1.0.1
يجب توصيل الأجهزة الظاهرية بمساحة عمل محددة	يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تقم بتسجيل الدخول إلى مساحة عمل Log Analytics المحددة في تعيين النهج/المبادرة.	AuditIfNotExists، معطل	1.1.0
يجب أن يكون لدى الأجهزة الظاهرية ملحق Log Analytics مثبتاً	يدقق هذا النهج أي أجهزة ظاهرية لنظامي التشغيل Windows/Linux إذا لم يتم تثبيت ملحق Log Analytics.	AuditIfNotExists، معطل	1.0.1

قم بحماية معلومات التدقيق وأدوات تسجيل التدقيق من الوصول غير المصرح به والتعديل والحذف.

المعرّف: CMMC L3 AU.3.049 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب أن يوجد تنبيه سجل النشاط لعمليات معينة تتعلق بالنهج	يقوم هذا النهج بتدقيق عمليات نهج معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	3.0.0
تدقيق إعداد التشخيص للأنوع المحددة من الموارد	تدقيق إعداد التشخيص لأنواع الموارد المحددة. تأكد من تحديد أنواع الموارد التي تدعم إعدادات التشخيص فقط.	AuditIfNotExists	2.0.1

تقييم الأمان

تقييم الضوابط الأمنية في الأنظمة التنظيمية بشكل دوري لتحديد ما إذا كانت الضوابط فعالة في تطبيقها.

المعرّف: CMMC L3 CA.2.158 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية	تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك.	AuditIfNotExists، معطل	3.0.0
يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك	تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة.	AuditIfNotExists، معطل	3.0.0
يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي	راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية.	AuditIfNotExists، معطل	3.0.0
يجب أن يكون ثمة تنبيه لسجل النشاط الخاص بعمليات أمان معينة	يقوم هذا النهج بتدقيق عمليات أمان معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
ينبغي تمكين التدقيق على خادم SQL	يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق.	AuditIfNotExists، معطل	2.0.0
يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري	قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية.	AuditIfNotExists، معطل	3.0.0
مراقبة حماية نقطة النهاية المفقودة في Azure Security Center	ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات	AuditIfNotExists، معطل	3.0.0
يجب تحديد مستوى التسعير القياسي لمركز الأمان	يُتيح مستوى التسعير القياسي إمكانية الكشف عن التهديدات للشبكات والأجهزة الظاهرية، وتوفير معلومات استخباراتية عن التهديدات، والكشف عن الحالات الشاذة، وتحليلات السلوك في مركز أمان Azure	المراجعة، معطلة	1.1.0
ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار	مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	1.0.1
ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك	تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	3.0.0

مراقبة الضوابط الأمنية بشكل مستمر لضمان استمرار فعالية الضوابط.

المعرّف: CMMC L3 CA.3.161 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية	تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك.	AuditIfNotExists، معطل	3.0.0
يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك	تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة.	AuditIfNotExists، معطل	3.0.0
يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي	راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية.	AuditIfNotExists، معطل	3.0.0
يجب أن يكون ثمة تنبيه لسجل النشاط الخاص بعمليات أمان معينة	يقوم هذا النهج بتدقيق عمليات أمان معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
ينبغي تمكين التدقيق على خادم SQL	يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق.	AuditIfNotExists، معطل	2.0.0
يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري	قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية.	AuditIfNotExists، معطل	3.0.0
مراقبة حماية نقطة النهاية المفقودة في Azure Security Center	ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات	AuditIfNotExists، معطل	3.0.0
يجب تحديد مستوى التسعير القياسي لمركز الأمان	يُتيح مستوى التسعير القياسي إمكانية الكشف عن التهديدات للشبكات والأجهزة الظاهرية، وتوفير معلومات استخباراتية عن التهديدات، والكشف عن الحالات الشاذة، وتحليلات السلوك في مركز أمان Azure	المراجعة، معطلة	1.1.0
ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار	مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	1.0.1
ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك	تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	3.0.0

إدارة التكوين

إنشاء تكوينات أساسية وقوائم جرد للأنظمة التنظيمية والمحافظة عليها (بما في ذلك الأجهزة، والبرمجيات، والبرامج الثابتة، والوثائق) طوال دورات حياة تطوير النظام المعنيّ.

المعرّف: CMMC L3 CM.2.061 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك	تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة.	AuditIfNotExists، معطل	3.0.0
يجب أن يوجد تنبيه سجل النشاط لعمليات معينة تتعلق بالنهج	يقوم هذا النهج بتدقيق عمليات نهج معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	3.0.0
يجب أن تلبي أجهزة Linux المتطلبات الأساسية لأمان حساب Azure	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure.	AuditIfNotExists، معطل	2.2.0

استخدام مبدأ الأداء الوظيفي الأدنى عن طريق تكوين أنظمة تنظيمية لتوفير القدرات الأساسية فقط.

المعرّف: CMMC L3 CM.2.062 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب استخدام Azure Role-Based Access Control (RBAC) على خدمات Kubernetes	لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم Azure Role-Based Access Control (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة.	المراجعة، معطلة	1.0.3
يجب أن تفي أجهزة Windows بمتطلبات "سياسة تدقيق النظام - استخدام الامتياز"	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في الفئة «نُهج تدقيق النظام - استخدام الامتياز» لتدقيق الاستخدام غير الحساس واستخدام الامتيازات الأخرى. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

تحكَّم في البرمجيات المثبتة من قبل المستخدم وراقبها.

المعرّف: CMMC L3 CM.2.063 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك	تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة.	AuditIfNotExists، معطل	3.0.0
يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي	راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية.	AuditIfNotExists، معطل	3.0.0
يجب تحديد مستوى التسعير القياسي لمركز الأمان	يُتيح مستوى التسعير القياسي إمكانية الكشف عن التهديدات للشبكات والأجهزة الظاهرية، وتوفير معلومات استخباراتية عن التهديدات، والكشف عن الحالات الشاذة، وتحليلات السلوك في مركز أمان Azure	المراجعة، معطلة	1.1.0
يجب أن تفي أجهزة Windows بمتطلبات 'Security Options - User Account Control'	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - التحكم في حساب المستخدم" للوضع الخاص بالمسؤولين، وسلوك طلب تأكيد، والمحاكاة الافتراضية لإخفاقات كتابة الملف والسجل. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

إنشاء وفرض إعدادات تكوين الأمان لمنتجات تكنولوجيا المعلومات المستخدمة في الأنظمة التنظيمية.

المعرّف: CMMC L3 CM.2.064 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين جدار حماية Azure Key Vault	قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security	التدقيق، الرفض، التعطيل	3.2.1
يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد لبوابة التطبيق	تفويضات تنشيط استخدام وضع 'الكشف' أو 'المنع' في نهج جدار حماية تطبيق الويب لبوابة التطبيق.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد في Azure Front Door Service	تفويضات تنشيط استخدام وضع "الكشف" أو "المنع" في نهج جدار حماية تطبيق الويب لخدمة Azure Front Door Service.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Network Security"	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - أمان الشبكة" لتضمين سلوك النظام المحلي وPKU2U وLAN Manager وعميل LDAP وNTLM SSP. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

تعقب التغييرات في الأنظمة التنظيمية أو مراجعتها أو الموافقة عليها أو رفضها وتسجيلها.

المعرّف: CMMC L3 CM.2.065 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
⁧يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة⁧	يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
يجب أن يوجد تنبيه سجل النشاط لعمليات معينة تتعلق بالنهج	يقوم هذا النهج بتدقيق عمليات نهج معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	3.0.0
يجب أن يكون ثمة تنبيه لسجل النشاط الخاص بعمليات أمان معينة	يقوم هذا النهج بتدقيق عمليات أمان معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
يجب أن يجمع Azure Monitor سجلات الأنشطة من جميع المناطق	يقوم هذا النهج بتدقيق ملف تعريف سجل Azure Monitor الذي لا يقوم بتصدير الأنشطة من كل المناطق المعتمدة من Azure بما في ذلك المناطق العمومية.	AuditIfNotExists، معطل	2.0.0
يجب أن تحتوي اشتراكات Azure على ملف تعريف سجل لسجل النشاط	يضمن هذا النهج ما إذا تم تمكين أحد ملفات تعريف السجلات لتصدير سجلات النشاط. ويقوم بتدقيق ما إذا لم يتم إنشاء ملف تعريف سجل لتصدير السجلات إما إلى حساب تخزين أو إلى مركز أحداث.	AuditIfNotExists، معطل	1.0.0
يجب أن تفي أجهزة Windows بمتطلبات"System Audit Policies - Policy Change"	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "سياسة تدقيق النظام - تغيير السياسة" لتدقيق التغييرات في سياسات تدقيق النظام. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

تقييد استخدام البرامج أو الوظائف أو المنافذ أو البروتوكولات أو الخدمات غير الضرورية أو تعطيلها أو منعها.

المعرّف: CMMC L3 CM.3.068 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين	يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك.	تدقيق، Audit، رفض، Deny، معطل، Disabled	3.1.0-المعاينة
يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك	تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة.	AuditIfNotExists، معطل	3.0.0
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي	راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية.	AuditIfNotExists، معطل	3.0.0
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك	يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات.	AuditIfNotExists، معطل	2.0.0
يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة	من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure.	التدقيق، الرفض، التعطيل	3.2.0
يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة	تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet.	التدقيق، الرفض، التعطيل	2.0.0
يجب ألا تسمح CORS لكل مجال بالوصول إلى واجهة برمجة التطبيقات الخاصة بك لـ FHIR	يجب ألا تسمح مشاركة الموارد عبر المصادر (CORS) لجميع المجالات بالوصول إلى واجهة برمجة التطبيقات الخاصة بك لـ FHIR. لحماية واجهة برمجة التطبيقات الخاصة بك لـFHIR، امنع الوصول من جميع المجالات وحدد المجالات المسموح لها بالاتصال بشكل صريح.	تدقيق، تدقيق، معطل، معطل	1.1.0
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
تطبيقات الوظائف يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك	يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية.	AuditIfNotExists، معطل	2.0.0
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.4 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	6.1.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة	قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	1.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL المرنة	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم MySQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	2.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL المرنة	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم PostgreSQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	⁧3.0.1⁧
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP.	التدقيق، الرفض، التعطيل	2.0.1
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة	حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها.	AuditIfNotExists، معطل	3.0.0

تطبيق نهج الرفض عن طريق الاستثناء (القائمة السوداء) لمنع استخدام البرامج غير المصرح بها أو نهج رفض الكل أو السماح بالاستثناء (القائمة البيضاء) للسماح بتنفيذ البرامج المصرح بها.

المعرّف: CMMC L3 CM.3.069 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك	تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة.	AuditIfNotExists، معطل	3.0.0

التعريف والمصادقة

المصادقة (أو التحقق) من هويات هؤلاء المستخدمين أو العمليات أو الأجهزة كشرط أساسي للسماح بالوصول إلى أنظمة المعلومات التنظيمية.

المعرّف: CMMC L3 IA.1.077 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA)	يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات	يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم	تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
تدقيق أجهزة Linux التي ليس لديها أذونات ملف passwd المعينة على 0644	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين أجهزة Linux التي لا تحتوي على أذونات ملف passwd على 0644	AuditIfNotExists، معطل	3.1.0
تدقيق أجهزة Linux التي لديها حسابات بدون كلمات مرور	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux التي لها حسابات بدون كلمات مرور	AuditIfNotExists، معطل	3.1.0
نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows	تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	deployIfNotExists	1.2.0
يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Network Security"	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - أمان الشبكة" لتضمين سلوك النظام المحلي وPKU2U وLAN Manager وعميل LDAP وNTLM SSP. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

فرض حد أدنى من تعقيد كلمة المرور وتغيير الأحرف عند إنشاء كلمات مرور جديدة.

المعرّف: CMMC L3 IA.2.078 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات	يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم	تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
تدقيق أجهزة Linux التي لديها حسابات بدون كلمات مرور	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux التي لها حسابات بدون كلمات مرور	AuditIfNotExists، معطل	3.1.0
تدقيق Windows الأجهزة التي ليس لديها إعداد تعقيد كلمة المرور ممكن	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة في حالة تمكين الأجهزة التي تعمل بنظام التشغيل Windows التي لا تحتوي على إعداد تعقيد كلمة المرور	AuditIfNotExists، معطل	2.0.0
تدقيق أجهزة Windows التي لا تقيد الحد الأدنى لطول كلمة المرور بعدد محدد من الأحرف	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كانت أجهزة Windows التي لا تقيد الحد الأدنى لطول كلمة المرور لعدد محدد من الأحرف. القيمة الافتراضية للحد الأدنى لطول كلمة المرور هي 14 حرفا	AuditIfNotExists، معطل	2.1.0
نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows	تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	deployIfNotExists	1.2.0
يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Network Security"	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - أمان الشبكة" لتضمين سلوك النظام المحلي وPKU2U وLAN Manager وعميل LDAP وNTLM SSP. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

حظر إعادة استخدام كلمة المرور لعدد مرات مُحدد.

المعرّف CMMC L3 IA.2.079 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات	يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم	تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
تدقيق أجهزة Windows التي تسمح بإعادة استخدام كلمات المرور بعد العدد المحدد من كلمات المرور الفريدة	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت أجهزة Windows تسمح بإعادة استخدام كلمات المرور بعد العدد المحدد من كلمات المرور الفريدة. القيمة الافتراضية لكلمات المرور الفريدة هي 24	AuditIfNotExists، معطل	2.1.0
نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows	تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	deployIfNotExists	1.2.0
يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Network Security"	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - أمان الشبكة" لتضمين سلوك النظام المحلي وPKU2U وLAN Manager وعميل LDAP وNTLM SSP. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

خزن وأرسل كلمات المرور المحمية بالتشفير فقط.

المعرّف: CMMC L3 IA.2.081 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات	يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم	تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
تدقيق أجهزة Windows التي لا تخزن كلمات المرور باستخدام تشفير عكسي	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت الأجهزة التي تعمل بنظام Windows لا تخزن كلمات المرور باستخدام تشفير قابل للعكس	AuditIfNotExists، معطل	2.0.0
نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows	تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	deployIfNotExists	1.2.0
يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Network Security"	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - أمان الشبكة" لتضمين سلوك النظام المحلي وPKU2U وLAN Manager وعميل LDAP وNTLM SSP. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

استخدم المصادقة متعددة العوامل للوصول المحلي ووصول الشبكة إلى الحسابات المميزة ووصول الشبكة إلى الحسابات غير المميزة.

المعرّف: CMMC L3 IA.3.083 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA)	يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0

استخدم آليات مصادقة مقاومة للإعادة من أجل وصول الشبكة إلى الحسابات المميزة وغير المميزة.

المعرّفCMMC L3 IA.3.084 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA)	يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	4.0.0
إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS"	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير.	AuditIfNotExists، معطل	2.0.1
يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	⁧5.0.0⁧
يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار.	AuditIfNotExists، معطل	2.0.1
يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة	لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة.	AuditIfNotExists، معطل	4.1.1

الاستجابة للحوادث

أنشئ قدرة تشغيلية للتعامل مع الحوادث للأنظمة التنظيمية تشمل أنشطة الإعداد والكشف والتحليل والاحتواء والاسترداد واستجابة المستخدم.

المعرّف: CMMC L3 IR.2.092 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	1.1.0
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	2.1.0
يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center.	AuditIfNotExists، معطل	1.0.1

الكشف عن الأحداث والإبلاغ عنها.

المعرّف: CMMC L3 IR.2.093 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
يجب أن يكون ثمة تنبيه لسجل النشاط الخاص بعمليات أمان معينة	يقوم هذا النهج بتدقيق عمليات أمان معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين جدار حماية Azure Key Vault	قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security	التدقيق، الرفض، التعطيل	3.2.1
يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
توزيع حماية متقدمة من التهديدات على حسابات Cosmos DB	يمكّن هذا النهج الحماية المتقدمة من التهديدات عبر حسابات Cosmos DB.	DeployIfNotExists، معطل	1.0.0
نشر Defender for Storage (كلاسيكي) على حسابات التخزين	يتيح هذا النهج Defender for Storage (كلاسيكي) على حسابات التخزين.	DeployIfNotExists، معطل	1.0.1
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	1.1.0
يجب تكوين سجلات Flow لكل مجموعة أمان شبكة	تدقيق مجموعات أمان الشبكة للتحقق من تهيئة سجلات التدفق. يُتيح تمكين سجلات التدفق تسجيل معلومات حول حركة استخدام IP التي تتدفق عبر مجموعة أمان الشبكة. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره.	المراجعة، معطلة	1.1.0
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
مراقبة حماية نقطة النهاية المفقودة في Azure Security Center	ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات	AuditIfNotExists، معطل	3.0.0
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد لبوابة التطبيق	تفويضات تنشيط استخدام وضع 'الكشف' أو 'المنع' في نهج جدار حماية تطبيق الويب لبوابة التطبيق.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد في Azure Front Door Service	تفويضات تنشيط استخدام وضع "الكشف" أو "المنع" في نهج جدار حماية تطبيق الويب لخدمة Azure Front Door Service.	التدقيق، الرفض، التعطيل	1.0.0

الاسترداد

قم بإجراء عمليات نسخ احتياطي للبيانات واختبارها بانتظام.

المعرّف: CMMC L3 RE.2.137 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تدقيق الأجهزة الظاهرية دون تكوين استرداد بعد عطل فادح	مراجعة الأجهزة الظاهرية التي لم يتم تكوين استردادها بعد عطل فادح. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
⁧يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية⁧	تأكد من حماية الأجهزة الظاهرية Azure الخاصة بك عن طريق تمكين النسخ الاحتياطي Azure. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure.	AuditIfNotExists، معطل	3.0.0
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB	تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم.	المراجعة، معطلة	1.0.1
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL	تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم.	المراجعة، معطلة	1.0.1
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL	تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم.	المراجعة، معطلة	1.0.1
ينبغي تمكين النسخ الاحتياطي الجغرافي المتكرر لقواعد بيانات Azure SQL	يقوم هذا النهج بمراجعة أية Azure SQL Database مع عدم تمكين النسخ الاحتياطي الجغرافي المتكرر على المدى الطويل.	AuditIfNotExists، معطل	2.0.0

أجرِ عمليات نسخ احتياطي كاملة وشاملة ومرنة للبيانات بشكل منتظم كما هو محدَّد من الناحية التنظيمية.

المعرّف: CMMC L3 RE.3.139 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تدقيق الأجهزة الظاهرية دون تكوين استرداد بعد عطل فادح	مراجعة الأجهزة الظاهرية التي لم يتم تكوين استردادها بعد عطل فادح. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
⁧يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية⁧	تأكد من حماية الأجهزة الظاهرية Azure الخاصة بك عن طريق تمكين النسخ الاحتياطي Azure. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure.	AuditIfNotExists، معطل	3.0.0
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB	تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم.	المراجعة، معطلة	1.0.1
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL	تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم.	المراجعة، معطلة	1.0.1
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL	تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم.	المراجعة، معطلة	1.0.1
ينبغي تمكين النسخ الاحتياطي الجغرافي المتكرر لقواعد بيانات Azure SQL	يقوم هذا النهج بمراجعة أية Azure SQL Database مع عدم تمكين النسخ الاحتياطي الجغرافي المتكرر على المدى الطويل.	AuditIfNotExists، معطل	2.0.0

تقييم المخاطر

تقييم دوري للمخاطر التي تتعرض لها العمليات التنظيمية (ولا سيَّما المهمة أو الوظائف أو الصورة أو السمعة) والأصول التنظيمية والأفراد، الناتجة عن تشغيل الأنظمة التنظيمية وما يرتبط بها من معالجة أو تخزين أو نقل المعلومات الخاضعة للرقابة غير المصنفة.

المعرّف: CMMC L3 RM.2.141 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية	تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك.	AuditIfNotExists، معطل	3.0.0
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
يجب تحديد مستوى التسعير القياسي لمركز الأمان	يُتيح مستوى التسعير القياسي إمكانية الكشف عن التهديدات للشبكات والأجهزة الظاهرية، وتوفير معلومات استخباراتية عن التهديدات، والكشف عن الحالات الشاذة، وتحليلات السلوك في مركز أمان Azure	المراجعة، معطلة	1.1.0
ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار	مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	1.0.1
ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك	تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	3.0.0

قم بالمسح بحثًا عن الثغرات الأمنية في الأنظمة والتطبيقات التنظيمية دوريًا وعند تحديد الثغرات الأمنية الجديدة التي تؤثر في تلك الأنظمة والتطبيقات.

المعرّف: CMMC L3 RM.2.142 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية	تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك.	AuditIfNotExists، معطل	3.0.0
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
يجب تحديد مستوى التسعير القياسي لمركز الأمان	يُتيح مستوى التسعير القياسي إمكانية الكشف عن التهديدات للشبكات والأجهزة الظاهرية، وتوفير معلومات استخباراتية عن التهديدات، والكشف عن الحالات الشاذة، وتحليلات السلوك في مركز أمان Azure	المراجعة، معطلة	1.1.0
ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار	مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	1.0.1
ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك	تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	3.0.0

معالجة الثغرات الأمنية وفقًا لتقييمات المخاطر.

المعرّف: CMMC L3 RM.2.143 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية	تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك.	AuditIfNotExists، معطل	3.0.0
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	قم بترقية مجموعة خدمات Kubernetes إلى إصدار أحدث من Kubernetes للحماية من الثغرات الأمنية المعروفة في إصدار Kubernetes الحالي. تم تصحيح الثغرة الأمنية CVE-2019-9946 في إصدارات Kubernetes 1.11.9+ و1.12.7+ و1.13.5+ و1.14.0+	المراجعة، معطلة	⁧1.0.2⁧
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
يجب تحديد مستوى التسعير القياسي لمركز الأمان	يُتيح مستوى التسعير القياسي إمكانية الكشف عن التهديدات للشبكات والأجهزة الظاهرية، وتوفير معلومات استخباراتية عن التهديدات، والكشف عن الحالات الشاذة، وتحليلات السلوك في مركز أمان Azure	المراجعة، معطلة	1.1.0
ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية	رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات.	AuditIfNotExists، معطل	4.1.0
يجب معالجة الثغرات في تكوينات أمان الحاوية	تدقيق الثغرات الأمنية في تكوين الأمان على الأجهزة مع تثبيت Docker وعرضها كتوصيات في مركز أمان Azure.	AuditIfNotExists، معطل	3.0.0
يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك	ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات	AuditIfNotExists، معطل	3.1.0
يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري	قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات.	AuditIfNotExists، معطل	3.0.0
ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار	مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	1.0.1
ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك	تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	3.0.0

إدارة المخاطر

أجرِ تقييمات للمخاطر دوريًّا لتحديد المخاطر وتحديد أولوياتها وفقًا لفئات المخاطر المحددة ومصادر المخاطر ومعايير قياس المخاطر.

المعرّف: CMMC L3 RM.3.144 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
يجب تحديد مستوى التسعير القياسي لمركز الأمان	يُتيح مستوى التسعير القياسي إمكانية الكشف عن التهديدات للشبكات والأجهزة الظاهرية، وتوفير معلومات استخباراتية عن التهديدات، والكشف عن الحالات الشاذة، وتحليلات السلوك في مركز أمان Azure	المراجعة، معطلة	1.1.0

حماية الاتصالات والنظام

مراقبة الاتصالات والتحكم بها وحمايتها (أي المعلومات المُرسلة للأنظمة التنظيمية أو المُستلمة منها) عند الحدود الخارجية والحدود الداخلية الرئيسية للأنظمة التنظيمية.

المعرّف: CMMC L3 SC.1.175 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين	يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك.	تدقيق، Audit، رفض، Deny، معطل، Disabled	3.1.0-المعاينة
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	4.0.0
إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS"	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير.	AuditIfNotExists، معطل	2.0.1
يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة	من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure.	التدقيق، الرفض، التعطيل	3.2.0
يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة	تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet.	التدقيق، الرفض، التعطيل	2.0.0
يجب تكوين سجلات Flow لكل مجموعة أمان شبكة	تدقيق مجموعات أمان الشبكة للتحقق من تهيئة سجلات التدفق. يُتيح تمكين سجلات التدفق تسجيل معلومات حول حركة استخدام IP التي تتدفق عبر مجموعة أمان الشبكة. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره.	المراجعة، معطلة	1.1.0
يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	⁧5.0.0⁧
يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار.	AuditIfNotExists، معطل	2.0.1
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.4 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	6.1.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب تمكين Network Watcher	تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة.	AuditIfNotExists، معطل	3.0.0
يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة	قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis	تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة	التدقيق، الرفض، التعطيل	1.0.0
يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	1.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL المرنة	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم MySQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	2.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL المرنة	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم PostgreSQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	⁧3.0.1⁧
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP.	التدقيق، الرفض، التعطيل	2.0.1
يجب تمكين النقل الآمن إلى حسابات التخزين	متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد لبوابة التطبيق	تفويضات تنشيط استخدام وضع 'الكشف' أو 'المنع' في نهج جدار حماية تطبيق الويب لبوابة التطبيق.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد في Azure Front Door Service	تفويضات تنشيط استخدام وضع "الكشف" أو "المنع" في نهج جدار حماية تطبيق الويب لخدمة Azure Front Door Service.	التدقيق، الرفض، التعطيل	1.0.0
يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة	لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة.	AuditIfNotExists، معطل	4.1.1
يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Microsoft Network Server"	يجب أن يكون لدى أجهزة Windows إعدادات «نهج المجموعة» المحددة في الفئة "Security Options - Network Access" بما في ذلك الوصول للمستخدمين المجهولين، والحسابات المحلية، والوصول عن بُعد إلى السجل. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0
يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Network Security"	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - أمان الشبكة" لتضمين سلوك النظام المحلي وPKU2U وLAN Manager وعميل LDAP وNTLM SSP. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

تنفيذ أعمال الشبكات الفرعية لمكونات النظام التي يمكن الوصول إليها بشكل عام، والتي تُفصل ماديًا أو منطقيًا عن الشبكات الداخلية.

المعرّف: CMMC L3 SC.1.176 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة	حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها.	AuditIfNotExists، معطل	3.0.0

استخدم جلسات عمل مشفرة لإدارة أجهزة الشبكة.

المعرّف: CMMC L3 SC.2.179 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0

استخدم التشفير المعتمد وفقاً لمعايير معالجة المعلومات الفيدرالية عند استخدامه لحماية سرية المعلومات غير السرية الخاضعة للرقابة.

المعرّف: CMMC L3 SC.3.177 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تدقيق أجهزة Windows التي لا تخزن كلمات المرور باستخدام تشفير عكسي	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت الأجهزة التي تعمل بنظام Windows لا تخزن كلمات المرور باستخدام تشفير قابل للعكس	AuditIfNotExists، معطل	2.0.0
يجب تشفير متغيرات حساب التنفيذ التلقائي	من المهم تمكين تشفير أصول متغير حساب التنفيذ التلقائي عند تخزين البيانات الحساسة	التدقيق، الرفض، التعطيل	1.1.0
يجب أن تستخدم واجهة برمجة تطبيقات Azure لـ FHIR مفتاحًا مدارًا من قبل العميل لتشفير البيانات في وضع الراحة	استخدم مفتاحًا يديره العميل للتحكم في تشفير البيانات الثابتة المخزنة في Azure API for FHIR عندما يكون هذا شرطًا تنظيميًا أو من متطلبات التوافق. توفر المفاتيح المدارة من قبل العميل أيضًا تشفيرا مزدوجا عن طريق إضافة طبقة ثانية من التشفير فوق الطبقة الافتراضية التي تتم باستخدام المفاتيح المدارة بواسطة الخدمة.	تدقيق، تدقيق، معطل، معطل	1.1.0
يجب أن تمكّن مهام Azure Data Box التشفير المزدوج للبيانات الثابتة على الجهاز	تمكين طبقة ثانية من التشفير المستند إلى البرامج للبيانات الثابتة الموجودة على الجهاز. الجهاز محمي بالفعل عبر مقاييس التشفير المتقدمة 256 بت للبيانات الثابتة. يضيف هذا الخيار طبقة ثانية من تشفير البيانات.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن يستخدم تشفير Azure Data Explorer في وضع السكون مفتاحًا مدارًا من قبل العميل	يتيح تمكين التشفير في وضع ثبات البيانات باستخدام مفتاح مدار من قبل العميل على مجموعة نظام مستكشف البيانات Azure التحكم الإضافي على المفتاح المستخدم بواسطة التشفير في وضع البيانات الثابتة. هذه الميزة غالبًا تكون قابلة للتطبيق على العملاء الذين لديهم متطلبات توافق خاصة وتتطلب حالتهم Key Vault لإدارة المفاتيح.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تستخدم مهام Azure Stream Analytics المفاتيح التي يديرها العملاء لتشفير البيانات	استخدم المفاتيح التي يديرها العملاء عندما تريد تخزين أي بيانات تعريف وأصول بيانات خاصة لوظائف Stream Analytics بأمان في حساب التخزين الخاص بك. وهذا يمنحك التحكم الكامل في كيفية تشفير بيانات Stream Analytics.	تدقيق، Audit، رفض، Deny، معطل، Disabled	1.1.0
يجب أن تستخدم مساحات عمل Azure Synapse المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	استخدم المفاتيح المدارة من قبل العميل للتحكم في تشفير البيانات الثابتة المخزنة في مساحات عمل Azure Synapse. توفر المفاتيح المدارة من قبل العميل تشفيرا مزدوجا عن طريق إضافة طبقة ثانية من التشفير فوق التشفير الافتراضي باستخدام مفاتيح مدارة بواسطة الخدمة.	التدقيق، الرفض، التعطيل	1.0.0
⁧يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل⁧	تشفير نظام التشغيل وأقراص البيانات باستخدام مفاتيح يديرها العملاء يوفر المزيد من التحكم والمرونة في إدارة المفاتيح. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية.	التدقيق، الرفض، التعطيل	1.0.1
يجب أن يكون للشهادات التي تستخدم تشفير RSA الحد الأدنى المحدد لحجم المفتاح	قم بإدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد الحد الأدنى لحجم المفتاح فيما يخص شهادات RSA المخزنة في المخزن الرئيسي.	تدقيق، Audit، رفض، Deny، معطل، Disabled	2.1.0
يجب أن تقوم حسابات الخدمات المعرفية بتمكين تشفير البيانات باستخدام مفتاح يديره العميل	عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية معايير الامتثال التنظيمية. تمكن المفاتيح المدارة من العملاء من تشفير البيانات المخزنة في الخدمات المعرفية باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول المفاتيح المُدارة من قِبل العملاء على https://go.microsoft.com/fwlink/?linkid=2121321.	التدقيق، الرفض، التعطيل	2.1.0
يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل	استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون بمحتويات السجلات. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/acr/CMK.	التدقيق، الرفض، التعطيل	1.1.2
يجب تمكين تشفير القرص على Azure Data Explorer	يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي.	التدقيق، الرفض، التعطيل	2.0.0
يجب تمكين التشفير المزدوج على Azure Data Explorer	يساعد تمكين التشفير المزدوج على حماية بياناتك وضمان سلامتها بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير المزدوج، يتم تشفير البيانات في حساب التخزين مرتين، مرة على مستوى الخدمة ومرة على مستوى البنية الأساسية، باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين.	التدقيق، الرفض، التعطيل	2.0.0
يجب تمكين تشفير البنية التحتية لـ Azure Database لخوادم MySQL	تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم MySQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2.	التدقيق، الرفض، التعطيل	1.0.0
يجب تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL	تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تكون المفاتيح من النوع المحدد للتشفير RSA أو EC	تتطلب بعض التطبيقات استخدام مفاتيح مدعومة بنوع تشفير محدد. افرض نوع مفتاح تشفير معينًا، RSA أو EC، في بيئتك.	التدقيق، الرفض، التعطيل	1.0.1
المفاتيح التي تستخدم تشفير المنحنى البيضاوي يجب أن تحمل أسماء المنحنيات المحددة	يمكن أن يكون للمفاتيح المدعومة بتشفير منحنى على شكل قطع ناقص أسماء منحنى مختلفة. بعض التطبيقات متوافقة فقط مع مفاتيح المنحنى على شكل قطع ناقص المحددة. افرض أنواع مفاتيح المنحنى على شكل قطع ناقص المسموح بإنشائها في بيئتك.	التدقيق، الرفض، التعطيل	1.0.1
يجب أن يكون للمفاتيح التي تستخدم تشفير RSA حد أدنى محدد لحجم المفتاح	قم بتعيين الحد الأدنى المسموح به لحجم المفتاح للاستخدام مع المخازن الرئيسية. استخدام مفاتيح RSA مع أحجام المفاتيح الصغيرة لا يُعد ممارسة آمنة ولا يفي بالعديد من متطلبات شهادة الصناعة.	التدقيق، الرفض، التعطيل	1.0.1
طلب التشفير على حسابات Data Lake Store	يضمن هذا النهج تمكين التشفير على جميع حسابات Data Lake Store	رفض	1.0.0
يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign	يوفر Service Fabric ثلاثة مستويات من الحماية (None، وSign، وEncryptAndSign) للاتصال عقدة إلى عقدة باستخدام شهادة نظام مجموعة أساسية. تعيين مستوى الحماية لضمان تشفير كافة رسائل العقدة إلى العقدة وتوقيعها رقميا	التدقيق، الرفض، التعطيل	1.1.0
يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة.	التدقيق، الرفض، التعطيل	2.0.1
يجب أن يكون لدى حسابات التخزين تشفير البنية الأساسية	تمكين تشفير البنية الأساسية للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات في حساب تخزين مرتين.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تستخدم حسابات التخزين مفتاحاً مداراً من قبل العميل للتشفير	أمّن الكائن الثنائي كبير الحجم وحساب تخزين الملفات بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر.	المراجعة، معطلة	1.0.3
ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL	يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال	AuditIfNotExists، معطل	2.0.0
يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين	بشكل افتراضي، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة عدم استخدام مفاتيح تُدار بواسطة النظام الأساسي. لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين الحوسبة والتخزين. تجاهل هذه التوصية إذا: 1. باستخدام التشفير في المضيف، أو 2. التشفير من جانب الخادم على الأقراص المُدارة يفي بمتطلبات الأمان. تعرف على المزيد في: تشفير Azure Disk Storage من جانب الخادم: https://aka.ms/disksse، العروض المختلفة لتشفير القرص: https://aka.ms/diskencryptioncomparison	AuditIfNotExists، معطل	2.0.3

قم بتطبيق التصاميم الهندسية وتقنيات تطوير البرمجيات والمبادئ الهندسية للأنظمة التي تعزز أمان المعلومات الفعال داخل الأنظمة التنظيمية.

المعرّف: CMMC L3 SC.3.180 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة	حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها.	AuditIfNotExists، معطل	3.0.0

افصل وظائف المستخدم عن وظائف إدارة النظام.

المعرّف: CMMC L3 SC.3.181 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تعيين 3 مالكين كحد أقصى للاشتراك	يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق.	AuditIfNotExists، معطل	3.0.0
ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL	راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft	AuditIfNotExists، معطل	1.0.0
⁧تدوين Windows الأجهزة التي تحتوي على الأعضاء المحددين في مجموعة المسؤولين⁧	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت مجموعة المسؤولين المحليين تحتوي على واحد أو أكثر من الأعضاء المدرجين في معلمة النهج.	auditIfNotExists	2.0.0
يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب تعيين أكثر من مالك واحد لاشتراكك	يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول.	AuditIfNotExists، معطل	3.0.0

ارفض حركة مرور اتصالات الشبكة بشكل افتراضي واسمح بحركة اتصالات الشبكة على سبيل الاستثناء (أي: deny all و permit by exception).

المعرّف: CMMC L3 SC.3.183 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
[معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين	يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك.	تدقيق، Audit، رفض، Deny، معطل، Disabled	3.1.0-المعاينة
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك	يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات.	AuditIfNotExists، معطل	2.0.0
يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة	من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure.	التدقيق، الرفض، التعطيل	3.2.0
يجب تمكين جدار حماية Azure Key Vault	قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security	التدقيق، الرفض، التعطيل	3.2.1
يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة	تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet.	التدقيق، الرفض، التعطيل	2.0.0
يجب ألا تسمح CORS لكل مجال بالوصول إلى واجهة برمجة التطبيقات الخاصة بك لـ FHIR	يجب ألا تسمح مشاركة الموارد عبر المصادر (CORS) لجميع المجالات بالوصول إلى واجهة برمجة التطبيقات الخاصة بك لـ FHIR. لحماية واجهة برمجة التطبيقات الخاصة بك لـFHIR، امنع الوصول من جميع المجالات وحدد المجالات المسموح لها بالاتصال بشكل صريح.	تدقيق، تدقيق، معطل، معطل	1.1.0
يجب تكوين سجلات Flow لكل مجموعة أمان شبكة	تدقيق مجموعات أمان الشبكة للتحقق من تهيئة سجلات التدفق. يُتيح تمكين سجلات التدفق تسجيل معلومات حول حركة استخدام IP التي تتدفق عبر مجموعة أمان الشبكة. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره.	المراجعة، معطلة	1.1.0
تطبيقات الوظائف يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك	يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية.	AuditIfNotExists، معطل	2.0.0
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.4 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	6.1.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب تمكين Network Watcher	تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة.	AuditIfNotExists، معطل	3.0.0
يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة	قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	1.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL المرنة	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم MySQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	2.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL المرنة	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم PostgreSQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	⁧3.0.1⁧
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP.	التدقيق، الرفض، التعطيل	2.0.1
يجب أن تسمح حسابات التخزين بالوصول من خدمات Microsoft الموثوق بها	تعمل بعض خدمات Microsoft التي تتفاعل مع حسابات التخزين من شبكات لا يمكن منحها حق الوصول من خلال قواعد الشبكة. للمساعدة في هذا النوع من عمل الخدمة كما هو مقصود، اسمح لمجموعة خدمات Microsoft الموثوق بها بتجاوز قواعد الشبكة. وستستخدم هذه الخدمات بعد ذلك مصادقة قوية للوصول إلى حساب التخزين.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة	حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها.	AuditIfNotExists، معطل	3.0.0
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد لبوابة التطبيق	تفويضات تنشيط استخدام وضع 'الكشف' أو 'المنع' في نهج جدار حماية تطبيق الويب لبوابة التطبيق.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد في Azure Front Door Service	تفويضات تنشيط استخدام وضع "الكشف" أو "المنع" في نهج جدار حماية تطبيق الويب لخدمة Azure Front Door Service.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Microsoft Network Server"	يجب أن يكون لدى أجهزة Windows إعدادات «نهج المجموعة» المحددة في الفئة "Security Options - Network Access" بما في ذلك الوصول للمستخدمين المجهولين، والحسابات المحلية، والوصول عن بُعد إلى السجل. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0
يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Network Security"	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - أمان الشبكة" لتضمين سلوك النظام المحلي وPKU2U وLAN Manager وعميل LDAP وNTLM SSP. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

تنفيذ آليات تشفير لمنع الكشف غير المصرح به عن CUI في أثناء الإرسال ما لم يكن محميًا بخلاف ذلك بضمانات مادية بديلة.

المعرّف: CMMC L3 SC.3.185 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	4.0.0
إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS"	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير.	AuditIfNotExists، معطل	2.0.1
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL	قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات.	المراجعة، معطلة	1.0.1
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL	تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات.	المراجعة، معطلة	1.0.1
يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	⁧5.0.0⁧
يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار.	AuditIfNotExists، معطل	2.0.1
يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis	تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة	التدقيق، الرفض، التعطيل	1.0.0
يجب تمكين النقل الآمن إلى حسابات التخزين	متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة	لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة.	AuditIfNotExists، معطل	4.1.1

أنشئ مفاتيح التشفير وقم بإدارتها للتشفير المستخدم في الأنظمة التنظيمية.

المعرّف: CMMC L3 SC.3.187 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين جدار حماية Azure Key Vault	قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security	التدقيق، الرفض، التعطيل	3.2.1
يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية	يجب أن يكون لمفاتيح التشفير تاريخ انتهاء صلاحية محدد وألا تكون دائمة. توفر المفاتيح الصالحة إلى الأبد للمهاجم المحتمل المزيد من الوقت لاختراق المفتاح. من المستحسن أن يتم تعيين تواريخ انتهاء الصلاحية على مفاتيح التشفير.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب تمكين حماية الحذف في خزائن المفاتيح	يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي.	التدقيق، الرفض، التعطيل	2.1.0
⁧يجب تمكين الحذف المبدئي في Key vaults⁧	يؤدي حذف key vault من دون حذف مبدئي ممكن إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في key vault نهائيًا. يمكن أن يؤدي الحذف العرضي لمخزن البيانات السرية إلى فقدان دائم للبيانات. يتيح لك الحذف الناعم استرداد مخزن مفاتيح تم حذفها عن طريق الخطأ لفترة استبقاء قابلة للتكوين.	التدقيق، الرفض، التعطيل	3.0.0
يجب أن تكون المفاتيح من النوع المحدد للتشفير RSA أو EC	تتطلب بعض التطبيقات استخدام مفاتيح مدعومة بنوع تشفير محدد. افرض نوع مفتاح تشفير معينًا، RSA أو EC، في بيئتك.	التدقيق، الرفض، التعطيل	1.0.1
المفاتيح التي تستخدم تشفير المنحنى البيضاوي يجب أن تحمل أسماء المنحنيات المحددة	يمكن أن يكون للمفاتيح المدعومة بتشفير منحنى على شكل قطع ناقص أسماء منحنى مختلفة. بعض التطبيقات متوافقة فقط مع مفاتيح المنحنى على شكل قطع ناقص المحددة. افرض أنواع مفاتيح المنحنى على شكل قطع ناقص المسموح بإنشائها في بيئتك.	التدقيق، الرفض، التعطيل	1.0.1
يجب أن يكون للمفاتيح التي تستخدم تشفير RSA حد أدنى محدد لحجم المفتاح	قم بتعيين الحد الأدنى المسموح به لحجم المفتاح للاستخدام مع المخازن الرئيسية. استخدام مفاتيح RSA مع أحجام المفاتيح الصغيرة لا يُعد ممارسة آمنة ولا يفي بالعديد من متطلبات شهادة الصناعة.	التدقيق، الرفض، التعطيل	1.0.1

حماية مصادقة جلسات الاتصالات.

المعرّف: CMMC L3 SC.3.190 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA)	يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	4.0.0
إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS"	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير.	AuditIfNotExists، معطل	2.0.1
يجب أن يكون للشهادات التي تستخدم تشفير RSA الحد الأدنى المحدد لحجم المفتاح	قم بإدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد الحد الأدنى لحجم المفتاح فيما يخص شهادات RSA المخزنة في المخزن الرئيسي.	تدقيق، Audit، رفض، Deny، معطل، Disabled	2.1.0
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL	قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات.	المراجعة، معطلة	1.0.1
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL	تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات.	المراجعة، معطلة	1.0.1
يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	⁧5.0.0⁧
يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار.	AuditIfNotExists، معطل	2.0.1
يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة	لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة.	AuditIfNotExists، معطل	4.1.1

حماية سرية المعلومات غير النشطة غير المصنفة الخاضعة للرقابة.

المعرّف: CMMC L3 SC.3.191 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تشفير متغيرات حساب التنفيذ التلقائي	من المهم تمكين تشفير أصول متغير حساب التنفيذ التلقائي عند تخزين البيانات الحساسة	التدقيق، الرفض، التعطيل	1.1.0
يجب أن تمكّن مهام Azure Data Box التشفير المزدوج للبيانات الثابتة على الجهاز	تمكين طبقة ثانية من التشفير المستند إلى البرامج للبيانات الثابتة الموجودة على الجهاز. الجهاز محمي بالفعل عبر مقاييس التشفير المتقدمة 256 بت للبيانات الثابتة. يضيف هذا الخيار طبقة ثانية من تشفير البيانات.	التدقيق، الرفض، التعطيل	1.0.0
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين تشفير القرص على Azure Data Explorer	يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي.	التدقيق، الرفض، التعطيل	2.0.0
يجب تمكين التشفير المزدوج على Azure Data Explorer	يساعد تمكين التشفير المزدوج على حماية بياناتك وضمان سلامتها بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير المزدوج، يتم تشفير البيانات في حساب التخزين مرتين، مرة على مستوى الخدمة ومرة على مستوى البنية الأساسية، باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين.	التدقيق، الرفض، التعطيل	2.0.0
يجب تمكين تشفير البنية التحتية لـ Azure Database لخوادم MySQL	تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم MySQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2.	التدقيق، الرفض، التعطيل	1.0.0
يجب تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL	تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2	التدقيق، الرفض، التعطيل	1.0.0
طلب التشفير على حسابات Data Lake Store	يضمن هذا النهج تمكين التشفير على جميع حسابات Data Lake Store	رفض	1.0.0
يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign	يوفر Service Fabric ثلاثة مستويات من الحماية (None، وSign، وEncryptAndSign) للاتصال عقدة إلى عقدة باستخدام شهادة نظام مجموعة أساسية. تعيين مستوى الحماية لضمان تشفير كافة رسائل العقدة إلى العقدة وتوقيعها رقميا	التدقيق، الرفض، التعطيل	1.1.0
يجب أن يكون لدى حسابات التخزين تشفير البنية الأساسية	تمكين تشفير البنية الأساسية للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات في حساب تخزين مرتين.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL	يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال	AuditIfNotExists، معطل	2.0.0
يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين	بشكل افتراضي، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة عدم استخدام مفاتيح تُدار بواسطة النظام الأساسي. لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين الحوسبة والتخزين. تجاهل هذه التوصية إذا: 1. باستخدام التشفير في المضيف، أو 2. التشفير من جانب الخادم على الأقراص المُدارة يفي بمتطلبات الأمان. تعرف على المزيد في: تشفير Azure Disk Storage من جانب الخادم: https://aka.ms/disksse، العروض المختلفة لتشفير القرص: https://aka.ms/diskencryptioncomparison	AuditIfNotExists، معطل	2.0.3

سلامة النظام والمعلومات

تحديد المعلومات وعيوب نظام المعلومات والإبلاغ عنها وتصحيحها في الوقت المناسب.

المعرّف: CMMC L3 SI.1.210 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب أن تستخدم تطبيقات App Service أحدث "إصدار من HTTP"	بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث.	AuditIfNotExists، معطل	4.0.0
إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS"	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير.	AuditIfNotExists، معطل	2.0.1
يجب أن تستخدم تطبيقات الوظائف أحدث "إصدار HTTP"	بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث.	AuditIfNotExists، معطل	4.0.0
يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار.	AuditIfNotExists، معطل	2.0.1
⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	قم بترقية مجموعة خدمات Kubernetes إلى إصدار أحدث من Kubernetes للحماية من الثغرات الأمنية المعروفة في إصدار Kubernetes الحالي. تم تصحيح الثغرة الأمنية CVE-2019-9946 في إصدارات Kubernetes 1.11.9+ و1.12.7+ و1.13.5+ و1.14.0+	المراجعة، معطلة	⁧1.0.2⁧
يجب تكوين برامج Microsoft Antimalware المضادة للبرمجيات الخبيثة لـ Azure بحيث تُحدّث توقيعات الحماية تلقائيًا	يقوم هذا النهج بمراجعة أي جهاز Windows ظاهري لم يتم تكوينه مع التحديث التلقائي لتوقيعات حماية Microsoft Antimalware.	AuditIfNotExists، معطل	1.0.0
ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية	رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات.	AuditIfNotExists، معطل	4.1.0
يجب تثبيت تحديثات النظام على مجموعات مقياس الجهاز الظاهري	مراجعة ما إذا كانت هناك أي تحديثات أمان للنظام مفقودة والتحديثات المهمة التي يجب تثبيتها لضمان أن مجموعات نطاقات الجهاز الظاهري Windows وLinux آمنة.	AuditIfNotExists، معطل	3.0.0
ينبغي تثبيت تحديثات النظام على أجهزتك	سيراقب Azure Security Center تحديثات نظام الأمان المفقودة على خوادمك من قبيل التوصيات	AuditIfNotExists، معطل	4.0.0
يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك	ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات	AuditIfNotExists، معطل	3.1.0
يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري	قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات.	AuditIfNotExists، معطل	3.0.0

توفير الحماية من التعليمات البرمجية الضارة في المواقع المناسبة داخل أنظمة المعلومات التنظيمية.

المعرّف: CMMC L3 SI.1.211 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري	قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية.	AuditIfNotExists، معطل	3.0.0
يجب تكوين برامج Microsoft Antimalware المضادة للبرمجيات الخبيثة لـ Azure بحيث تُحدّث توقيعات الحماية تلقائيًا	يقوم هذا النهج بمراجعة أي جهاز Windows ظاهري لم يتم تكوينه مع التحديث التلقائي لتوقيعات حماية Microsoft Antimalware.	AuditIfNotExists، معطل	1.0.0
يجب توزيع ملحق حماية Microsoft IaaSAntimalware على خوادم Windows	يقوم هذا النهج بتدقيق أي جهاز ظاهري لخادم Windows بدون نشر امتداد Microsoft IaaSAntimalware.	AuditIfNotExists، معطل	1.1.0
مراقبة حماية نقطة النهاية المفقودة في Azure Security Center	ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات	AuditIfNotExists، معطل	3.0.0

قم بتحديث آليات الحماية من التعليمات البرمجية الضارة عند توفر إصدارات جديدة.

المعرّف: CMMC L3 SI.1.212 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تكوين برامج Microsoft Antimalware المضادة للبرمجيات الخبيثة لـ Azure بحيث تُحدّث توقيعات الحماية تلقائيًا	يقوم هذا النهج بمراجعة أي جهاز Windows ظاهري لم يتم تكوينه مع التحديث التلقائي لتوقيعات حماية Microsoft Antimalware.	AuditIfNotExists، معطل	1.0.0

أجرِ عمليات فحص دورية لنظام المعلومات وفحص في الوقت الحقيقي للملفات من مصادر خارجية حيث يتم تنزيل الملفات أو فتحها أو تنفيذها.

المعرّف: CMMC L3 SI.1.213 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تكوين برامج Microsoft Antimalware المضادة للبرمجيات الخبيثة لـ Azure بحيث تُحدّث توقيعات الحماية تلقائيًا	يقوم هذا النهج بمراجعة أي جهاز Windows ظاهري لم يتم تكوينه مع التحديث التلقائي لتوقيعات حماية Microsoft Antimalware.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
يجب توزيع ملحق حماية Microsoft IaaSAntimalware على خوادم Windows	يقوم هذا النهج بتدقيق أي جهاز ظاهري لخادم Windows بدون نشر امتداد Microsoft IaaSAntimalware.	AuditIfNotExists، معطل	1.1.0
مراقبة حماية نقطة النهاية المفقودة في Azure Security Center	ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات	AuditIfNotExists، معطل	3.0.0

راقب الأنظمة التنظيمية، بما في ذلك حركة الاتصالات الواردة والصادرة، للكشف عن الهجمات ومؤشرات الهجمات المحتملة.

المعرّف: CMMC L3 SI.2.216 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
⁧يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة⁧	يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
يجب أن يوجد تنبيه سجل النشاط لعمليات معينة تتعلق بالنهج	يقوم هذا النهج بتدقيق عمليات نهج معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	3.0.0
يجب أن يكون ثمة تنبيه لسجل النشاط الخاص بعمليات أمان معينة	يقوم هذا النهج بتدقيق عمليات أمان معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب أن يجمع Azure Monitor سجلات الأنشطة من جميع المناطق	يقوم هذا النهج بتدقيق ملف تعريف سجل Azure Monitor الذي لا يقوم بتصدير الأنشطة من كل المناطق المعتمدة من Azure بما في ذلك المناطق العمومية.	AuditIfNotExists، معطل	2.0.0
يجب أن تحتوي اشتراكات Azure على ملف تعريف سجل لسجل النشاط	يضمن هذا النهج ما إذا تم تمكين أحد ملفات تعريف السجلات لتصدير سجلات النشاط. ويقوم بتدقيق ما إذا لم يتم إنشاء ملف تعريف سجل لتصدير السجلات إما إلى حساب تخزين أو إلى مركز أحداث.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	2.1.0
يجب تكوين سجلات Flow لكل مجموعة أمان شبكة	تدقيق مجموعات أمان الشبكة للتحقق من تهيئة سجلات التدفق. يُتيح تمكين سجلات التدفق تسجيل معلومات حول حركة استخدام IP التي تتدفق عبر مجموعة أمان الشبكة. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره.	المراجعة، معطلة	1.1.0
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Network Watcher	تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة.	AuditIfNotExists، معطل	3.0.0
يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center.	AuditIfNotExists، معطل	1.0.1
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد لبوابة التطبيق	تفويضات تنشيط استخدام وضع 'الكشف' أو 'المنع' في نهج جدار حماية تطبيق الويب لبوابة التطبيق.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد في Azure Front Door Service	تفويضات تنشيط استخدام وضع "الكشف" أو "المنع" في نهج جدار حماية تطبيق الويب لخدمة Azure Front Door Service.	التدقيق، الرفض، التعطيل	1.0.0

حدد الاستخدام غير المصرح به للأنظمة المؤسسية.

المعرّف: CMMC L3 SI.2.217 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب الاحتفاظ بسجل النشاط لمدة سنة واحدة على الأقل	يقوم هذا النهج بتدقيق سجل النشاط إذا لم يتم تعيين الاحتفاظ لمدة 365 يوماً أو إلى الأبد (تعيين أيام الاحتفاظ إلى "0").	AuditIfNotExists، معطل	1.0.0
⁧يجب أن يكون هناك تنبيه سجل نشاط لعمليات إدارية معينة⁧	يقوم هذا النهج بمراجعة عمليات إدارية معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
يجب أن يوجد تنبيه سجل النشاط لعمليات معينة تتعلق بالنهج	يقوم هذا النهج بتدقيق عمليات نهج معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	3.0.0
يجب أن يكون ثمة تنبيه لسجل النشاط الخاص بعمليات أمان معينة	يقوم هذا النهج بتدقيق عمليات أمان معينة مع عدم تكوين أي تنبيهات لسجل النشاط.	AuditIfNotExists، معطل	1.0.0
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب أن يقوم ملف تعريف سجل Azure Monitor بتجميع سجلات للفئات "الكتابة" و"الحذف" و"الإجراء"	يضمن هذا النهج أن ملف تعريف السجل يجمع سجلات للفئات 'الكتابة' و'حذف' و'إجراء'	AuditIfNotExists، معطل	1.0.0
يجب أن يجمع Azure Monitor سجلات الأنشطة من جميع المناطق	يقوم هذا النهج بتدقيق ملف تعريف سجل Azure Monitor الذي لا يقوم بتصدير الأنشطة من كل المناطق المعتمدة من Azure بما في ذلك المناطق العمومية.	AuditIfNotExists، معطل	2.0.0
يجب أن تحتوي اشتراكات Azure على ملف تعريف سجل لسجل النشاط	يضمن هذا النهج ما إذا تم تمكين أحد ملفات تعريف السجلات لتصدير سجلات النشاط. ويقوم بتدقيق ما إذا لم يتم إنشاء ملف تعريف سجل لتصدير السجلات إما إلى حساب تخزين أو إلى مركز أحداث.	AuditIfNotExists، معطل	1.0.0
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	2.1.0
يجب تمكين Network Watcher	تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة.	AuditIfNotExists، معطل	3.0.0

الخطوات التالية

مقالات إضافية حول Azure Policy:

• نظرة عامة على التوافق التنظيمي.
• راجع ⁧بنية تعريف المبادرة⁧.
• مراجعة أمثلة أخرى في ⁧نماذج Azure Policy.
• راجع فهم تأثيرات النهج.
• تعرف على كيفية إصلاح الموارد غير المتوافقة.