تفاصيل مبادرة التوافق التنظيمي للمستوى العالي لبرنامج FedRAMP المضمنة
توضح المقالة التالية كيفية تعيين تعريف مبادرة التوافق التنظيمي المضمنة في نهج Azure إلى مجالات التوافقوعناصر التحكم في المستوى العالي لبرنامج FedRAMP. للمزيد من المعلومات حول معيار الامتثال هذا، راجع المستوى العالي للبرنامج الفيدرالي لإدارة المخاطر والتخويل. لفهم الملكية، راجع تعريف نهج Azure و المسؤولية المشتركة في السحابة.
التعيينات التالية إلى عناصر تحكم FedRAMP High. يتم تنفيذ العديد من عناصر التحكم بتعريف مبادرة Azure Policy. لمراجعة تعريف المبادرة الكامل، افتح نهج في مدخل Microsoft Azure وحدد صفحة التعريفات. ثم ابحث عن تعريف مبادرة التوافق التنظيمي للمستوى العالي لبرنامج FedRAMP المضمنة وحدّده.
هام
يرتبط كل عنصر تحكم أدناه بتعريف أو أكثر من تعريفات نهج Azure. قد تساعدك هذه السياسات على تقييم الامتثال بعنصر التحكم؛ ومع ذلك، غالباً ما لا يكون هناك تطابق أو تناظر كامل بين عنصر التحكم مع نهج واحد أو أكثر. على هذا النحو، تشير كلمة متوافق في Azure Policy فقط إلى تعريفات النهج ذاتها؛ وهذا لا يضمن أنك ممتثل تمامًا لكافة متطلبات عنصر التحكم. بالإضافة إلى ذلك، يتضمن معيار التوافق عناصر تحكم لا يتم تناولها بواسطة أي تعريفات خاصة بـ Azure Policy في هذا الوقت. لذلك، فإن التوافق في Azure Policy هو مجرد مظهر جزئي لحالة التوافق الكلي. قد تتغير الاقترانات بين مجالات الامتثال وعناصر التحكم وتعريفات Azure Policy لمعيار الامتثال المذكور بمرور الوقت. لعرض تاريخ التغييرات، راجع تاريخ امتثال شركة GitHub.
التحكم في الوصول
نهج التحكم بالوصول وإجراءاته
المعرف: FedRAMP High AC-1 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تطوير إجراءات التحكم بالوصول ونُهجه | CMA_0144 - تطوير سياسات وإجراءات التحكم في الوصول | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| إدارة النُهج والإجراءات | CMA_0292 - التحكم في السياسات والإجراءات | يدوي، معطل | 1.1.0 |
| مراجعة إجراءات التحكم بالوصول ونُهجه | CMA_0457 - مراجعة سياسات وإجراءات التحكم في الوصول | يدوي، معطل | 1.1.0 |
إدارة الحساب
ID: FedRAMP High AC-2 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| تعيين مديري الحسابات | CMA_0015 - تعيين مديري الحسابات | يدوي، معطل | 1.1.0 |
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure | يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول. | AuditIfNotExists، معطل | 1.0.0 |
| تحديد شروط الحسابات المشتركة وحسابات المجموعة وفرضها | CMA_0117 - تحديد شروط الحسابات المشتركة والحسابات الجماعية وفرضها | يدوي، معطل | 1.1.0 |
| تحديد أنواع حسابات نظام المعلومات | CMA_0121 - تعريف أنواع حسابات نظام المعلومات | يدوي، معطل | 1.1.0 |
| امتيازات الوصول إلى المستند | CMA_0186 - امتيازات الوصول إلى المستند | يدوي، معطل | 1.1.0 |
| وضع شروط لعضوية الدور | CMA_0269 - وضع شروط لعضوية الدور | يدوي، معطل | 1.1.0 |
| يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure | يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure | يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure | يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة. | AuditIfNotExists، معطل | 1.0.0 |
| مراقبة نشاط الحساب | CMA_0377 - مراقبة نشاط الحساب | يدوي، معطل | 1.1.0 |
| إعلام مديري الحسابات بالحسابات التي يتحكم بها العملاء | CMA_C1009 - إعلام مديري الحسابات بالحسابات التي يتحكم فيها العملاء | يدوي، معطل | 1.1.0 |
| إعادة إصدار المصدقين للمجموعات والحسابات المُتغيرة | CMA_0426 - إعادة إصدار المصادقات للمجموعات والحسابات التي تم تغييرها | يدوي، معطل | 1.1.0 |
| طلب الموافقة لإنشاء الحساب | CMA_0431 - طلب الموافقة لإنشاء الحساب | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى الحسابات المتميزة | CMA_0446 - تقييد الوصول إلى الحسابات المتميزة | يدوي، معطل | 1.1.0 |
| مراجعة سجلات توفير الحساب | CMA_0460 - مراجعة سجلات توفير الحساب | يدوي، معطل | 1.1.0 |
| مراجعة حسابات المستخدمين | CMA_0480 - مراجعة حسابات المستخدم | يدوي، معطل | 1.1.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
إدارة حساب النظام الآلي
ID: FedRAMP High AC-2 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| أتمتة إدارة الحساب | CMA_0026 - أتمتة إدارة الحساب | يدوي، معطل | 1.1.0 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| إدارة حسابات النظام والمسؤول | CMA_0368 - إدارة حسابات النظام والمسؤول | يدوي، معطل | 1.1.0 |
| مراقبة الوصول عبر المؤسسة | CMA_0376 - مراقبة الوصول عبر المؤسسة | يدوي، معطل | 1.1.0 |
| إعلام عندما لا تكون هناك حاجة إلى الحساب | CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب | يدوي، معطل | 1.1.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
تعطيل الحسابات غير النشطة
المعرف: FedRAMP High AC-2 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعطيل المصدقين عند الإنهاء | CMA_0169 - تعطيل المصدقين عند الإنهاء | يدوي، معطل | 1.1.0 |
| إبطال الأدوار المتميزة حسب الاقتضاء | CMA_0483 - إبطال الأدوار المتميزة حسب الاقتضاء | يدوي، معطل | 1.1.0 |
إجراءات التدقيق الآلي
المعرف: FedRAMP High AC-2 (4) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| أتمتة إدارة الحساب | CMA_0026 - أتمتة إدارة الحساب | يدوي، معطل | 1.1.0 |
| إدارة حسابات النظام والمسؤول | CMA_0368 - إدارة حسابات النظام والمسؤول | يدوي، معطل | 1.1.0 |
| مراقبة الوصول عبر المؤسسة | CMA_0376 - مراقبة الوصول عبر المؤسسة | يدوي، معطل | 1.1.0 |
| إعلام عندما لا تكون هناك حاجة إلى الحساب | CMA_0383 - إعلام عندما لا تكون هناك حاجة إلى الحساب | يدوي، معطل | 1.1.0 |
تسجيل الخروج من عدم النشاط
المعرف: FedRAMP High AC-2 (5) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد نهج سجل عدم النشاط وفرضه | CMA_C1017 - تحديد نهج سجل عدم النشاط وفرضه | يدوي، معطل | 1.1.0 |
المخططات المستندة إلى الأدوار
ID: FedRAMP High AC-2 (7) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| مراقبة نشاط الحساب | CMA_0377 - مراقبة نشاط الحساب | يدوي، معطل | 1.1.0 |
| مراقبة تعيين الدور المتميز | CMA_0378 - مراقبة تعيين الدور المتميز | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى الحسابات المتميزة | CMA_0446 - تقييد الوصول إلى الحسابات المتميزة | يدوي، معطل | 1.1.0 |
| إبطال الأدوار المتميزة حسب الاقتضاء | CMA_0483 - إبطال الأدوار المتميزة حسب الاقتضاء | يدوي، معطل | 1.1.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
| استخدم إدارة الهويةَ المتميزة | CMA_0533 - استخدم إدارة الهويةَ المتميزة | يدوي، معطل | 1.1.0 |
القيود المفروضة على استخدام الحسابات / المجموعة المشتركة
المعرف: FedRAMP High AC-2 (9) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد شروط الحسابات المشتركة وحسابات المجموعة وفرضها | CMA_0117 - تحديد شروط الحسابات المشتركة والحسابات الجماعية وفرضها | يدوي، معطل | 1.1.0 |
إنهاء بيانات اعتماد الحسابات المشتركة /المجموعة
المعرف: FedRAMP High AC-2 (10) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنهاء بيانات اعتماد الحساب الذي يتحكم به العميل | CMA_C1022 - إنهاء بيانات اعتماد الحساب التي يتحكم فيها العميل | يدوي، معطل | 1.1.0 |
شروط الاستخدام
المعرف: FedRAMP High AC-2 (11) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| فرض الاستخدام المناسب لجميع الحسابات | CMA_C1023 - فرض الاستخدام المناسب لجميع الحسابات | يدوي، معطل | 1.1.0 |
مراقبة الحساب / الاستخدام غير النمطي
ID: FedRAMP High AC-2 (12) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
| مراقبة نشاط الحساب | CMA_0377 - مراقبة نشاط الحساب | يدوي، معطل | 1.1.0 |
| الإبلاغ عن سلوك غير نمطي لحسابات المستخدمين | CMA_C1025 - الإبلاغ عن السلوك غير النمطي لحسابات المستخدمين | يدوي، معطل | 1.1.0 |
تعطيل حسابات الأفراد المعرضين لمخاطر عالية
المعرف: FedRAMP High AC-2 (13) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعطيل حسابات المستخدمين التي تشكل خطراً كبيراً | CMA_C1026 - تعطيل حسابات المستخدمين التي تشكل خطرا كبيرا | يدوي، معطل | 1.1.0 |
إنفاذ الوصول
ID: FedRAMP High AC-3 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 4.1.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 4.1.0 |
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق أجهزة Linux التي لديها حسابات بدون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux التي لها حسابات بدون كلمات مرور | AuditIfNotExists، معطل | 3.1.0 |
| يجب أن تتطلب المصادقة على أجهزة Linux مفاتيح SSH | على الرغم من أن SSH نفسه يوفر اتصالاً مشفراً، فإن استخدام كلمات المرور مع SSH لا يزال يترك الجهاز الظاهري عرضة لهجمات القوة الغاشمة. الخيار الأكثر أماناً للمصادقة إلى جهاز ظاهري Azure Linux عبر SSH يكون باستخدام زوج مفاتيح public-private والذي يُعرف أيضًا باسم مفاتيح SSH. اعرف المزيد:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists، معطل | 3.2.0 |
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| فرض الوصول المنطقي | CMA_0245 - Enforce logical access | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
| يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| طلب الموافقة لإنشاء الحساب | CMA_0431 - طلب الموافقة لإنشاء الحساب | يدوي، معطل | 1.1.0 |
| مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة | يدوي، معطل | 1.1.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب ترحيل حسابات التخزين إلى موارد Azure Resource Manager الجديدة | استخدم Azure Resource Manager الجديد لحسابات التخزين لتزويد تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، وتحسين التدقيق، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى مخزن البيانات السرية، والمصادقة المستندة إلى Microsoft Azure Active Directory ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة | استخدم إدارة موارد Azure الجديدة للأجهزة الظاهرية لتوفير تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، والمراجعة الأفضل، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى خزنة المفاتيح للأسرار، والمصادقة المستندة إلى Azure AD، ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان | التدقيق، الرفض، التعطيل | 1.0.0 |
تطبيق تدفق المعلومات
ID: FedRAMP High AC-4 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور | لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي | AuditIfNotExists، معطل | 3.0.0 - المعاينة |
| [معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين | يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 3.1.0-المعاينة |
| يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت | يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل | AuditIfNotExists، معطل | 3.0.0 |
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم خدمات APIM شبكة ظاهرية | يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
| تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes | قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة. | المراجعة، معطلة | 2.0.1 |
| يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة | من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure. | التدقيق، الرفض، التعطيل | 3.2.0 |
| يجب أن تستخدم Azure API for FHIR الرابط الخاص | يجب أن يكون لدى Azure API for FHIR اتصال نقطة نهاية خاصة واحدة معتمد على الأقل. يمكن للعملاء في الشبكة الظاهرية الوصول بأمان إلى الموارد التي لها اتصالات نقطة نهاية خاصة من خلال الروابط الخاصة. لمزيد من المعلومات، يرجى زيارة: https://aka.ms/fhir-privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص | مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل خدمات Azure Cognitive Search الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض خدمة Azure Cognitive Search على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض خدمة البحث. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية | يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم Azure Data Factory رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا | يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين جدار حماية Azure Key Vault | قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security | التدقيق، الرفض، التعطيل | 3.2.1 |
| يجب أن تستخدم Azure Key Vaults رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم خدمة Azure Web PubSub رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. يمكنك تقليل مخاطر تسريب البيانات من خلال تعيين نقاط نهاية خاصة إلى Azure Web PubSub Service الخاصة بك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/awps/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | المراجعة، معطلة | 3.0.0 |
| يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة | تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
| التحكم في تدفق المعلومات | CMA_0079 - التحكم في تدفق المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
| استخدام آليات التحكم في التدفق للمعلومات المشفرة | CMA_0211 - استخدام آليات التحكم في التدفق للمعلومات المشفرة | يدوي، معطل | 1.1.0 |
| يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | المراجعة، معطلة | 1.0.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين نقطة النهاية الخاصة لخوادم MySQL | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP. | التدقيق، الرفض، التعطيل | 2.0.1 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية | احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | تدقيق، تعطيل، رفض | 1.1.0 |
عوامل تصفية نهج الأمان
المعرف: FedRAMP High AC-4 (8) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في تدفق المعلومات باستخدام عوامل تصفية نهج الأمان | CMA_C1029 - التحكم في تدفق المعلومات باستخدام عوامل تصفية نهج الأمان | يدوي، معطل | 1.1.0 |
الفصل المادي / المنطقي لتدفق المعلومات
المعرف: FedRAMP High AC-4 (21) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في تدفق المعلومات | CMA_0079 - التحكم في تدفق المعلومات | يدوي، معطل | 1.1.0 |
| قم بإنشاء وتنفيذ جدار الحماية ومعايير تكوين جهاز التوجيه | CMA_0272 - إنشاء معايير تكوين جدار الحماية والموجه | يدوي، معطل | 1.1.0 |
| إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة | CMA_0273 - إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة | يدوي، معطل | 1.1.0 |
| تحديد وإدارة عمليات تبادل المعلومات في المراحل النهائية | CMA_0298 - تحديد وإدارة تبادل المعلومات في المراحل النهائية | يدوي، معطل | 1.1.0 |
فصل الواجبات
ID: FedRAMP High AC-5 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد أذونات الوصول لدعم فصل الواجبات | CMA_0116 - تحديد أذونات الوصول لدعم فصل الواجبات | يدوي، معطل | 1.1.0 |
| توثيق فصل الواجبات | CMA_0204 - وثيقة فصل الواجبات | يدوي، معطل | 1.1.0 |
| فصل واجبات الأفراد | CMA_0492 - واجبات منفصلة للأفراد | يدوي، معطل | 1.1.0 |
| يجب تعيين أكثر من مالك واحد لاشتراكك | يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول. | AuditIfNotExists، معطل | 3.0.0 |
أدنى الامتيازات
ID: FedRAMP High AC-6 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| تصميم نموذج التحكم في الوصول | CMA_0129 - تصميم نموذج التحكم في الوصول | يدوي، معطل | 1.1.0 |
| استخدام الوصول الأقل امتيازًا | CMA_0212 - استخدام الوصول الأقل امتيازًا | يدوي، معطل | 1.1.0 |
تخويل الوصول إلى وظائف الأمان
المعرف: FedRAMP High AC-6 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| السماح بالوصول إلى وظائف الأمان والمعلومات | CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات | يدوي، معطل | 1.1.0 |
| تخويل الوصول وإدارته | CMA_0023 - تخويل الوصول وإدارته | يدوي، معطل | 1.1.0 |
| فرض نهج التحكم في الوصول الإلزامية والاختيارية | CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية | يدوي، معطل | 1.1.0 |
الحسابات المتميزة
المعرف: FedRAMP High AC-6 (5) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تقييد الوصول إلى الحسابات المتميزة | CMA_0446 - تقييد الوصول إلى الحسابات المتميزة | يدوي، معطل | 1.1.0 |
مراجعة امتيازات المستخدم
ID: FedRAMP High AC-6 (7) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تعيين 3 مالكين كحد أقصى للاشتراك | يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق. | AuditIfNotExists، معطل | 3.0.0 |
| تدقيق استخدام أدوار RBAC المخصصة | تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات | المراجعة، معطلة | 1.0.1 |
| إعادة تعيين امتيازات المستخدم أو إزالتها حسب الحاجة | CMA_C1040 - إعادة تعيين امتيازات المستخدم أو إزالتها حسب الحاجة | يدوي، معطل | 1.1.0 |
| مراجعة أمتيازات المستخدم | CMA_C1039 - مراجعة امتيازات المستخدم | يدوي، معطل | 1.1.0 |
مستويات الامتياز لتنفيذ التعليمات البرمجية
المعرف: FedRAMP High AC-6 (8) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| فرض امتيازات تنفيذ البرامج | CMA_C1041 - فرض امتيازات تنفيذ البرامج | يدوي، معطل | 1.1.0 |
تدقيق استخدام الوظائف المميزة
المعرف: FedRAMP High AC-6 (9) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| إجراء تحليل نصي كامل للأوامر المميزة المسجلة | CMA_0056 - إجراء تحليل نصي كامل للأوامر المميزة المسجلة | يدوي، معطل | 1.1.0 |
| مراقبة تعيين الدور المتميز | CMA_0378 - مراقبة تعيين الدور المتميز | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى الحسابات المتميزة | CMA_0446 - تقييد الوصول إلى الحسابات المتميزة | يدوي، معطل | 1.1.0 |
| إبطال الأدوار المتميزة حسب الاقتضاء | CMA_0483 - إبطال الأدوار المتميزة حسب الاقتضاء | يدوي، معطل | 1.1.0 |
| استخدم إدارة الهويةَ المتميزة | CMA_0533 - استخدم إدارة الهويةَ المتميزة | يدوي، معطل | 1.1.0 |
محاولات تسجيل الدخول غير الناجحة
المعرف: FedRAMP High AC-7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| فرض حدّ لمحاولات تسجيل الدخول الفاشلة المتتالية | CMA_C1044 - فرض حد محاولات تسجيل الدخول الفاشلة المتتالية | يدوي، معطل | 1.1.0 |
التحكم المتزامن في الجلسة
المعرف: FedRAMP High AC-10 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد حدّ الجلسات المتزامنة وفرضه | CMA_C1050 - تحديد حد الجلسات المتزامنة وفرضه | يدوي، معطل | 1.1.0 |
إنهاء الجلسة
المعرف: FedRAMP High AC-12 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنهاء جلسة عمل المستخدم تلقائيًا | CMA_C1054 - إنهاء جلسة عمل المستخدم تلقائيًا | يدوي، معطل | 1.1.0 |
عمليات تسجيل الخروج /عرض الرسائل التي بدأها المستخدم
المعرف: FedRAMP High AC-12 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| عرض رسالة تسجيل خروج واضحة | CMA_C1056 - عرض رسالة تسجيل خروج صريحة | يدوي، معطل | 1.1.0 |
| توفير إمكانية تسجيل الخروج | CMA_C1055 - توفير إمكانية تسجيل الخروج | يدوي، معطل | 1.1.0 |
الإجراءات المسموح بها بدون تعريف أو مصادقة
المعرف: FedRAMP High AC-14 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد الإجراءات المسموح بها دون مصادقة | CMA_0295 - تحديد الإجراءات المسموح بها دون مصادقة | يدوي، معطل | 1.1.0 |
الوصول عن بُعد
ID: FedRAMP High AC-17 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 4.1.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 4.1.0 |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| مراجعة أجهزة Linux التي تسمح بالاتصالات عن بُعد من الحسابات من دون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux تسمح بالاتصال عن بعد من الحسابات بدون كلمات مرور | AuditIfNotExists، معطل | 3.1.0 |
| تخويل الوصول عن بعد | CMA_0024 - تخويل الوصول عن بُعد | يدوي، معطل | 1.1.0 |
| يجب أن تستخدم Azure API for FHIR الرابط الخاص | يجب أن يكون لدى Azure API for FHIR اتصال نقطة نهاية خاصة واحدة معتمد على الأقل. يمكن للعملاء في الشبكة الظاهرية الوصول بأمان إلى الموارد التي لها اتصالات نقطة نهاية خاصة من خلال الروابط الخاصة. لمزيد من المعلومات، يرجى زيارة: https://aka.ms/fhir-privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص | مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم Azure Data Factory رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا | يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم Azure Key Vaults رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن يستخدم Azure Spring Cloud ميزة إضافة الشبكة | يجب أن تستخدم مثيلات Azure Spring Cloud إدخال الشبكة الظاهرية للأغراض التالية: 1. عزل Azure Spring Cloud من الإنترنت. 2. تمكين Azure Spring Cloud من التفاعل مع الأنظمة في مركز البيانات المحلية أو خدمة Azure في الشبكات الظاهرية الأخرى. 3. تمكين العملاء من التحكم في اتصالات الشبكة الواردة والصادرة لـ Azure Spring Cloud. | تدقيق، تعطيل، رفض | 1.2.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم خدمة Azure Web PubSub رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. يمكنك تقليل مخاطر تسريب البيانات من خلال تعيين نقاط نهاية خاصة إلى Azure Web PubSub Service الخاصة بك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/awps/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | المراجعة، معطلة | 3.0.0 |
| يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows | تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
| التدريب على التنقل في المستندات | CMA_0191 - تدريب على التنقل في المستندات | يدوي، معطل | 1.1.0 |
| توثيق إرشادات الوصول عن بعد | CMA_0196 - توثيق إرشادات الوصول عن بُعد | يدوي، معطل | 1.1.0 |
| يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة | CMA_0315 - تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة | يدوي، معطل | 1.1.0 |
| يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | المراجعة، معطلة | 1.0.0 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين نقطة النهاية الخاصة لخوادم MySQL | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| توفير التدريب على الخصوصية | CMA_0415 - توفير التدريب على الخصوصية | يدوي، معطل | 1.1.0 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | تدقيق، تعطيل، رفض | 1.1.0 |
التحكم/المراقبة الآلية
ID: FedRAMP High AC-17 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 4.1.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 4.1.0 |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| مراجعة أجهزة Linux التي تسمح بالاتصالات عن بُعد من الحسابات من دون كلمات مرور | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux تسمح بالاتصال عن بعد من الحسابات بدون كلمات مرور | AuditIfNotExists، معطل | 3.1.0 |
| يجب أن تستخدم Azure API for FHIR الرابط الخاص | يجب أن يكون لدى Azure API for FHIR اتصال نقطة نهاية خاصة واحدة معتمد على الأقل. يمكن للعملاء في الشبكة الظاهرية الوصول بأمان إلى الموارد التي لها اتصالات نقطة نهاية خاصة من خلال الروابط الخاصة. لمزيد من المعلومات، يرجى زيارة: https://aka.ms/fhir-privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص | مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم Azure Data Factory رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا | يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم Azure Key Vaults رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن يستخدم Azure Spring Cloud ميزة إضافة الشبكة | يجب أن تستخدم مثيلات Azure Spring Cloud إدخال الشبكة الظاهرية للأغراض التالية: 1. عزل Azure Spring Cloud من الإنترنت. 2. تمكين Azure Spring Cloud من التفاعل مع الأنظمة في مركز البيانات المحلية أو خدمة Azure في الشبكات الظاهرية الأخرى. 3. تمكين العملاء من التحكم في اتصالات الشبكة الواردة والصادرة لـ Azure Spring Cloud. | تدقيق، تعطيل، رفض | 1.2.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم خدمة Azure Web PubSub رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. يمكنك تقليل مخاطر تسريب البيانات من خلال تعيين نقاط نهاية خاصة إلى Azure Web PubSub Service الخاصة بك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/awps/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | المراجعة، معطلة | 3.0.0 |
| يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows | تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | المراجعة، معطلة | 1.0.0 |
| مراقبة الوصول عبر المؤسسة | CMA_0376 - مراقبة الوصول عبر المؤسسة | يدوي، معطل | 1.1.0 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين نقطة النهاية الخاصة لخوادم MySQL | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | تدقيق، تعطيل، رفض | 1.1.0 |
حماية السرية / تكامل البيانات باستخدام التشفير
المعرف: FedRAMP High AC-17 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إعلام المستخدمين عن تسجيل الدخول إلى النظام أو الوصول إليه | CMA_0382 - إعلام المستخدمين عن تسجيل دخول النظام أو الوصول إليه | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
نقاط التحكم في الوصول المدارة
المعرف: FedRAMP High AC-17 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توجيه نسبة استخدام الشبكة عبر نقاط وصول الشبكة المُدارة | CMA_0484 - توجيه نسبة استخدام الشبكة من خلال نقاط الوصول إلى الشبكة المدارة | يدوي، معطل | 1.1.0 |
الأوامر / الوصول المميز
المعرف: FedRAMP High AC-17 (4) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تخويل الوصول عن بعد | CMA_0024 - تخويل الوصول عن بُعد | يدوي، معطل | 1.1.0 |
| تخويل الوصول عن بُعد إلى الأوامر المميزة | CMA_C1064 - تخويل الوصول عن بعد إلى الأوامر المميزة | يدوي، معطل | 1.1.0 |
| توثيق إرشادات الوصول عن بعد | CMA_0196 - توثيق إرشادات الوصول عن بُعد | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة | CMA_0315 - تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة | يدوي، معطل | 1.1.0 |
| توفير التدريب على الخصوصية | CMA_0415 - توفير التدريب على الخصوصية | يدوي، معطل | 1.1.0 |
قطع الاتصال / تعطيل الوصول
المعرف: FedRAMP High AC-17 (9) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توفير القدرة على قطع اتصال الوصول عن بعد أو تعطيله | CMA_C1066 - توفير القدرة على قطع اتصال الوصول عن بعد أو تعطيله | يدوي، معطل | 1.1.0 |
الوصول اللاسلكي
المعرف: FedRAMP High AC-18 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توثيق إرشادات الوصول اللاسلكي وتنفيذه | CMA_0190 - توثيق وتنفيذ إرشادات الوصول اللاسلكي | يدوي، معطل | 1.1.0 |
| حماية الوصول اللاسلكي | CMA_0411 - حماية الوصول اللاسلكي | يدوي، معطل | 1.1.0 |
المصادقة والتشفير
المعرف: FedRAMP High AC-18 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توثيق إرشادات الوصول اللاسلكي وتنفيذه | CMA_0190 - توثيق وتنفيذ إرشادات الوصول اللاسلكي | يدوي، معطل | 1.1.0 |
| تحديد أجهزة الشبكة ومصادقتها | CMA_0296 - تحديد أجهزة الشبكة ومصادقتها | يدوي، معطل | 1.1.0 |
| حماية الوصول اللاسلكي | CMA_0411 - حماية الوصول اللاسلكي | يدوي، معطل | 1.1.0 |
التحكم بالوصول للأجهزة المحمولة
المعرف: FedRAMP High AC-19 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد متطلبات الأجهزة المحمولة | CMA_0122 - تحديد متطلبات الجهاز المحمول | يدوي، معطل | 1.1.0 |
تشفير مستند إلى جهاز كامل / حاوية
المعرف: FedRAMP High AC-19 (5) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد متطلبات الأجهزة المحمولة | CMA_0122 - تحديد متطلبات الجهاز المحمول | يدوي، معطل | 1.1.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
استخدام أنظمة المعلومات الخارجية
المعرف: FedRAMP High AC-20 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| وضع أحكام وشروط للوصول إلى الموارد | CMA_C1076 - وضع أحكام وشروط للوصول إلى الموارد | يدوي، معطل | 1.1.0 |
| وضع أحكام وشروط لمعالجة الموارد | CMA_C1077 - وضع أحكام وشروط لمعالجة الموارد | يدوي، معطل | 1.1.0 |
القيود المفروضة على الاستخدام المصرح به
المعرف: FedRAMP High AC-20 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحقق من عناصر التحكم في الأمان لأنظمة المعلومات الخارجية | CMA_0541 - التحقق من عناصر التحكم في الأمان لأنظمة المعلومات الخارجية | يدوي، معطل | 1.1.0 |
أجهزة التخزين المحمولة
المعرف: FedRAMP High AC-20 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| التحكم في استخدام أجهزة التخزين المحمولة | CMA_0083 - التحكم في استخدام أجهزة التخزين المحمولة | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
مشاركة المعلومات
المعرف: FedRAMP High AC-21 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| أتمتة قرارات مشاركة المعلومات | CMA_0028 - أتمتة قرارات مشاركة المعلومات | يدوي، معطل | 1.1.0 |
| تسهيل مشاركة المعلومات | CMA_0284 - تسهيل مشاركة المعلومات | يدوي، معطل | 1.1.0 |
المحتوى الذي يمكن الوصول إليه للجمهور
المعرف: FedRAMP High AC-22 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعيين موظفين معتمدين لنشر المعلومات المتاحة للجميع | CMA_C1083 - تعيين موظفين معتمدين لنشر المعلومات التي يمكن الوصول إليها بشكل عام | يدوي، معطل | 1.1.0 |
| مراجعة المحتوى قبل نشر معلومات متاحة للجميع | CMA_C1085 - مراجعة المحتوى قبل نشر معلومات يمكن الوصول إليها بشكل عام | يدوي، معطل | 1.1.0 |
| مراجعة المحتوى المتاح للجميع للحصول على معلومات غير عامة | CMA_C1086 - مراجعة المحتوى الذي يمكن الوصول إليه بشكل عام للحصول على معلومات غير عامة | يدوي، معطل | 1.1.0 |
| تدريب الموظفين على الكشف عن المعلومات غير عامة | CMA_C1084 - تدريب الموظفين على الكشف عن المعلومات غير العامة | يدوي، معطل | 1.1.0 |
التوعية والتدريب
إجراءات التوعية الأمنية والتدريب ونَهجهما
المعرف: FedRAMP High AT-1 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| أنشطة التدريب على أمان المستندات والخصوصية | CMA_0198 - توثيق أنشطة التدريب على الأمان والخصوصية | يدوي، معطل | 1.1.0 |
| تحديث نُهج أمان المعلومات | CMA_0518 - تحديث نهج أمان المعلومات | يدوي، معطل | 1.1.0 |
التدريب على التوعية الأمنية
المعرف: FedRAMP High AT-2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توفير تدريب دوري على التوعية الأمنية | CMA_C1091 - توفير تدريب دوري على التوعية الأمنية | يدوي، معطل | 1.1.0 |
| توفير التدريب الأمني للمستخدمين الجدد | CMA_0419 - توفير التدريب الأمني للمستخدمين الجدد | يدوي، معطل | 1.1.0 |
| توفير تدريب مُحدّث على التوعية الأمنية | CMA_C1090 - توفير تدريب محدث على التوعية الأمنية | يدوي، معطل | 1.1.0 |
تهديد من الداخل
المعرف: FedRAMP High AT-2 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توفير التدريب على التوعية الأمنية للتهديدات الداخلية | CMA_0417 - توفير التدريب على التوعية الأمنية للتهديدات الداخلية | يدوي، معطل | 1.1.0 |
التدريب الأمني المستند إلى الأدوار
المعرف: FedRAMP High AT-3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توفير تدريب أمني دوري قائم على الأدوار | CMA_C1095 - توفير تدريب أمني دوري قائم على الأدوار | يدوي، معطل | 1.1.0 |
| توفير التدريب الأمني المستند إلى الأدوار | CMA_C1094 - توفير التدريب الأمني المستند إلى الأدوار | يدوي، معطل | 1.1.0 |
| توفير التدريب الأمني قبل توفير الوصول | CMA_0418 - توفير التدريب الأمني قبل توفير الوصول | يدوي، معطل | 1.1.0 |
تمارين عملية
المعرف: FedRAMP High AT-3 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توفير التمارين العملية المستندة إلى الأدوار | CMA_C1096 - توفير تدريبات عملية قائمة على الأدوار | يدوي، معطل | 1.1.0 |
الاتصالات المشبوهة وسلوك النظام الشاذ
المعرف: FedRAMP High AT-3 (4) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توفير التدريب المستند إلى الأدوار على الأنشطة المشبوهة | CMA_C1097 - توفير التدريب القائم على الأدوار بشأن الأنشطة المشبوهة | يدوي، معطل | 1.1.0 |
سجلات التدريب الأمني
المعرف: FedRAMP High AT-4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| أنشطة التدريب على أمان المستندات والخصوصية | CMA_0198 - توثيق أنشطة التدريب على الأمان والخصوصية | يدوي، معطل | 1.1.0 |
| مراقبة إكمال التدريب على الأمان والخصوصية | CMA_0379 - مراقبة إكمال التدريب على الأمان والخصوصية | يدوي، معطل | 1.1.0 |
| الاحتفاظ بسجلات التدريب | CMA_0456 - الاحتفاظ بسجلات التدريب | يدوي، معطل | 1.1.0 |
التدقيق والمُساءلة
إجراءات التدقيق والمساءلة ونَهجهما
المعرف: FedRAMP High AU-1 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تطوير إجراءات التدقيق والمساءلة ونُهجهما | CMA_0154 - تطوير سياسات وإجراءات التدقيق والمساءلة | يدوي، معطل | 1.1.0 |
| تطوير إجراءات أمان المعلومات ونُهجه | CMA_0158 - تطوير سياسات وإجراءات أمن المعلومات | يدوي، معطل | 1.1.0 |
| إدارة النُهج والإجراءات | CMA_0292 - التحكم في السياسات والإجراءات | يدوي، معطل | 1.1.0 |
| تحديث نُهج أمان المعلومات | CMA_0518 - تحديث نهج أمان المعلومات | يدوي، معطل | 1.1.0 |
أحداث التدقيق
المعرف: FedRAMP High AU-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
المراجعات والتحديثات
المعرف: FedRAMP High AU-2 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة الأحداث المحددة في AU-02 وتحديثها | CMA_C1106 - مراجعة وتحديث الأحداث المحددة في AU-02 | يدوي، معطل | 1.1.0 |
محتوى سجلات التدقيق
المعرف: FedRAMP High AU-3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
معلومات تدقيق إضافية
المعرف: FedRAMP High AU-3 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين قدرات Azure Audit | CMA_C1108 - تكوين قدرات Azure Audit | يدوي، معطل | 1.1.1 |
سعة تخزين التدقيق
المعرف: FedRAMP High AU-4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إدارة ومراقبة أنشطة معالجة التدقيق | CMA_0289 - إدارة ومراقبة أنشطة معالجة التدقيق | يدوي، معطل | 1.1.0 |
الاستجابة لحالات فشل معالجة التدقيق
المعرف: FedRAMP High AU-5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إدارة ومراقبة أنشطة معالجة التدقيق | CMA_0289 - إدارة ومراقبة أنشطة معالجة التدقيق | يدوي، معطل | 1.1.0 |
تنبيهات في الوقت الحقيقي
المعرف: FedRAMP High AU-5 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توفير تنبيهات في الوقت الحقيقي لفشل أحداث التدقيق | CMA_C1114 - توفير تنبيهات في الوقت الحقيقي لفشل أحداث التدقيق | يدوي، معطل | 1.1.0 |
مراجعة التدقيق وتحليله وإعداد التقارير عنه
ID: FedRAMP High AU-6 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| ربط سجلات التدقيق | CMA_0087 - ربط سجلات التدقيق | يدوي، معطل | 1.1.0 |
| تحديد متطلبات مراجعة التدقيق وإعداد التقارير | CMA_0277 - تحديد متطلبات لمراجعة مراجعة الحسابات والإبلاغ عنها | يدوي، معطل | 1.1.0 |
| تكامل مراجعة التدقيق وتحليله وإعداد التقارير عنه | CMA_0339 - دمج مراجعة التدقيق والتحليل وإعداد التقارير | يدوي، معطل | 1.1.0 |
| دمج أمان تطبيق السحابة مع إدارة معلومات الأمان والأحداث | CMA_0340 - دمج أمان تطبيق السحابة مع siem | يدوي، معطل | 1.1.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| مراجعة سجلات توفير الحساب | CMA_0460 - مراجعة سجلات توفير الحساب | يدوي، معطل | 1.1.0 |
| مراجعة مهمات المسؤول أسبوعيًا | CMA_0461 - مراجعة تعيينات المسؤول أسبوعيا | يدوي، معطل | 1.1.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
| مراجعة نظرة عامة على تقرير الهوية السحابية | CMA_0468 - مراجعة نظرة عامة على تقرير الهوية السحابية | يدوي، معطل | 1.1.0 |
| مراجعة أحداث الوصول المتحكم به إلى المجلدات | CMA_0471 - مراجعة أحداث الوصول إلى المجلدات التي يتم التحكم فيها | يدوي، معطل | 1.1.0 |
| مراجعة نشاط الملف والمجلدات | CMA_0473 - مراجعة نشاط الملفات والمجلدات | يدوي، معطل | 1.1.0 |
| مراجعة تغييرات مجموعة الأدوار أسبوعيًا | CMA_0476 - مراجعة تغييرات مجموعة الأدوار أسبوعيا | يدوي، معطل | 1.1.0 |
تكامل العملية
المعرف: FedRAMP High AU-6 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ربط سجلات التدقيق | CMA_0087 - ربط سجلات التدقيق | يدوي، معطل | 1.1.0 |
| تحديد متطلبات مراجعة التدقيق وإعداد التقارير | CMA_0277 - تحديد متطلبات لمراجعة مراجعة الحسابات والإبلاغ عنها | يدوي، معطل | 1.1.0 |
| تكامل مراجعة التدقيق وتحليله وإعداد التقارير عنه | CMA_0339 - دمج مراجعة التدقيق والتحليل وإعداد التقارير | يدوي، معطل | 1.1.0 |
| دمج أمان تطبيق السحابة مع إدارة معلومات الأمان والأحداث | CMA_0340 - دمج أمان تطبيق السحابة مع siem | يدوي، معطل | 1.1.0 |
| مراجعة سجلات توفير الحساب | CMA_0460 - مراجعة سجلات توفير الحساب | يدوي، معطل | 1.1.0 |
| مراجعة مهمات المسؤول أسبوعيًا | CMA_0461 - مراجعة تعيينات المسؤول أسبوعيا | يدوي، معطل | 1.1.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
| مراجعة نظرة عامة على تقرير الهوية السحابية | CMA_0468 - مراجعة نظرة عامة على تقرير الهوية السحابية | يدوي، معطل | 1.1.0 |
| مراجعة أحداث الوصول المتحكم به إلى المجلدات | CMA_0471 - مراجعة أحداث الوصول إلى المجلدات التي يتم التحكم فيها | يدوي، معطل | 1.1.0 |
| مراجعة نشاط الملف والمجلدات | CMA_0473 - مراجعة نشاط الملفات والمجلدات | يدوي، معطل | 1.1.0 |
| مراجعة تغييرات مجموعة الأدوار أسبوعيًا | CMA_0476 - مراجعة تغييرات مجموعة الأدوار أسبوعيا | يدوي، معطل | 1.1.0 |
ربط مستودعات التدقيق
المعرف: FedRAMP High AU-6 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ربط سجلات التدقيق | CMA_0087 - ربط سجلات التدقيق | يدوي، معطل | 1.1.0 |
| دمج أمان تطبيق السحابة مع إدارة معلومات الأمان والأحداث | CMA_0340 - دمج أمان تطبيق السحابة مع siem | يدوي، معطل | 1.1.0 |
التحليل والمراجعة المركزية
ID: FedRAMP High AU-6 (4) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Linux Azure Arc الخاصة بك | يقوم هذا النهج بتدقيق أجهزة Linux Azure Arc إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 - المعاينة |
| [معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Windows Azure Arc الخاصة بك | يقوم هذا النهج بتدقيق أجهزة Windows Azure Arc إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 - المعاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين سجلات الموارد لتطبيقات App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك | لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تثبيت عامل Azure Log Analtics على الجهاز الظاهري لمراقبة Azure Security Center | يقوم هذا النهج بمراجعة أي أجهزة ظاهرية Windows/Linux (VMs) إذا لم يتم تثبيت عامل Log Analytics الذي يستخدمه Security Center لمراقبة الثغرات الأمنية والتهديدات | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center | من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين سجلات الموارد في Azure Data Lake Store | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Azure Stream Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في حسابات Batch | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Data Lake Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Event Hub | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في مركز IoT | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 3.1.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Logic Apps | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.1.0 |
| يجب تمكين سجلات الموارد في خدمات البحث | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Service Bus | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
التكامل / قدرات الفحص والمراقبة
ID: FedRAMP High AU-6 (5) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Linux Azure Arc الخاصة بك | يقوم هذا النهج بتدقيق أجهزة Linux Azure Arc إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 - المعاينة |
| [معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Windows Azure Arc الخاصة بك | يقوم هذا النهج بتدقيق أجهزة Windows Azure Arc إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 - المعاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين سجلات الموارد لتطبيقات App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك | لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.3 |
| تكامل تحليل سجل التدقيق | CMA_C1120 - دمج تحليل سجل التدقيق | يدوي، معطل | 1.1.0 |
| يجب تثبيت عامل Azure Log Analtics على الجهاز الظاهري لمراقبة Azure Security Center | يقوم هذا النهج بمراجعة أي أجهزة ظاهرية Windows/Linux (VMs) إذا لم يتم تثبيت عامل Log Analytics الذي يستخدمه Security Center لمراقبة الثغرات الأمنية والتهديدات | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center | من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين سجلات الموارد في Azure Data Lake Store | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Azure Stream Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في حسابات Batch | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Data Lake Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Event Hub | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في مركز IoT | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 3.1.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Logic Apps | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.1.0 |
| يجب تمكين سجلات الموارد في خدمات البحث | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Service Bus | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
الإجراءات المسموح بها
المعرف: FedRAMP High AU-6 (7) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد الإجراءات المسموح بها المقترنة بمعلومات تدقيق العملاء | CMA_C1122 - تحديد الإجراءات المسموح بها المقترنة بمعلومات تدقيق العملاء | يدوي، معطل | 1.1.0 |
تعديل مستوى التدقيق
المعرف: FedRAMP High AU-6 (10) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ضبط مستوى مراجعة التدقيق وتحليله وإعداد التقارير عنه | CMA_C1123 - ضبط مستوى مراجعة التدقيق والتحليل وإعداد التقارير | يدوي، معطل | 1.1.0 |
خَفض التدقيق وإنشاء التقارير
المعرف: FedRAMP High AU-7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التأكد من عدم تغيير سجلات التدقيق | CMA_C1125 - تأكد من عدم تغيير سجلات التدقيق | يدوي، معطل | 1.1.0 |
| توفير إمكانية مراجعة التدقيق والتحليل وإعداد التقارير | CMA_C1124 - توفير إمكانية مراجعة المراجعة والتحليل وإعداد التقارير | يدوي، معطل | 1.1.0 |
المعالجة التلقائية
المعرف: FedRAMP High AU-7 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توفير القدرة على معالجة سجلات التدقيق التي يتحكم فيها العميل | CMA_C1126 - توفير القدرة على معالجة سجلات التدقيق التي يتحكم فيها العميل | يدوي، معطل | 1.1.0 |
الطوابع الزمنية
المعرف: FedRAMP High AU-8 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استخدام ساعات النظام لسجلات التدقيق | CMA_0535 - استخدام ساعات النظام لسجلات التدقيق | يدوي، معطل | 1.1.0 |
المزامنة مع مصدر الوقت الموثوق
المعرف: FedRAMP High AU-8 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استخدام ساعات النظام لسجلات التدقيق | CMA_0535 - استخدام ساعات النظام لسجلات التدقيق | يدوي، معطل | 1.1.0 |
حماية معلومات التدقيق
المعرف: FedRAMP High AU-9 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تمكين التخويل المزدوج أو المشترك | CMA_0226 - تمكين التخويل المزدوج أو المشترك | يدوي، معطل | 1.1.0 |
| حماية معلومات التدقيق | CMA_0401 - حماية معلومات التدقيق | يدوي، معطل | 1.1.0 |
تدقيق النسخ الاحتياطي على أنظمة / مكونات فعلية منفصلة
المعرف: FedRAMP High AU-9 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء إجراءات النسخ الاحتياطي ونُهجه | CMA_0268 - إنشاء نهج وإجراءات النسخ الاحتياطي | يدوي، معطل | 1.1.0 |
حماية التشفير
المعرف: FedRAMP High AU-9 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الحفاظ على تكامل نظام التدقيق | CMA_C1133 - الحفاظ على سلامة نظام التدقيق | يدوي، معطل | 1.1.0 |
الوصول حسب المجموعة الفرعية للمستخدمين المميزين
المعرف: FedRAMP High AU-9 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| حماية معلومات التدقيق | CMA_0401 - حماية معلومات التدقيق | يدوي، معطل | 1.1.0 |
عدم القدرة على الإنكار
المعرف: FedRAMP High AU-10 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء متطلبات التوقيع والشهادة الإلكترونية | CMA_0271 - وضع متطلبات التوقيع والشهادة الإلكترونية | يدوي، معطل | 1.1.0 |
مراجعة الاحتفاظ بالسجلات
ID: FedRAMP High AU-11 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الالتزام بفترات الاستبقاء المحددة | CMA_0004 - الالتزام بفترات الاستبقاء المحددة | يدوي، معطل | 1.1.0 |
| الاحتفاظ بسياسات وإجراءات الأمان | CMA_0454 - الاحتفاظ بسياسات وإجراءات الأمان | يدوي، معطل | 1.1.0 |
| الاحتفاظ ببيانات المستخدم التي تم إنهاؤها | CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية | يدوي، معطل | 1.1.0 |
| ينبغي تكوين خوادم SQL لاستخدام التدقيق لوجهة حساب التخزين مع الاحتفاظ بهذه السجلات لمدة 90 يومًا أو أكثر | لأغراض التحقيق في الحوادث، نوصي بتعيين الاحتفاظ بالبيانات لمراجعة SQL Server إلى وجهة حساب التخزين لمدة 90 يومًا على الأقل. تأكد من الاستيفاء بقواعد الاحتفاظ الضرورية للمناطق التي تعمل فيها. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية. | AuditIfNotExists، معطل | 3.0.0 |
إنشاء التدقيق
ID: FedRAMP High AU-12 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Linux Azure Arc الخاصة بك | يقوم هذا النهج بتدقيق أجهزة Linux Azure Arc إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 - المعاينة |
| [معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Windows Azure Arc الخاصة بك | يقوم هذا النهج بتدقيق أجهزة Windows Azure Arc إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 - المعاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين سجلات الموارد لتطبيقات App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 2.0.1 |
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك | لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تثبيت عامل Azure Log Analtics على الجهاز الظاهري لمراقبة Azure Security Center | يقوم هذا النهج بمراجعة أي أجهزة ظاهرية Windows/Linux (VMs) إذا لم يتم تثبيت عامل Log Analytics الذي يستخدمه Security Center لمراقبة الثغرات الأمنية والتهديدات | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center | من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين سجلات الموارد في Azure Data Lake Store | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Azure Stream Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في حسابات Batch | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Data Lake Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Event Hub | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في مركز IoT | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 3.1.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Logic Apps | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.1.0 |
| يجب تمكين سجلات الموارد في خدمات البحث | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Service Bus | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
سجل التدقيق المرتبط بالوقت / على مستوى النظام
ID: FedRAMP High AU-12 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Linux Azure Arc الخاصة بك | يقوم هذا النهج بتدقيق أجهزة Linux Azure Arc إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 - المعاينة |
| [معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Windows Azure Arc الخاصة بك | يقوم هذا النهج بتدقيق أجهزة Windows Azure Arc إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 - المعاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين سجلات الموارد لتطبيقات App Service | قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر. | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين التدقيق على خادم SQL | يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك | لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| تجميع سجلات التدقيق في عملية تدقيق على مستوى النظام | CMA_C1140 - تحويل سجلات التدقيق برمجيا إلى تدقيق على مستوى النظام | يدوي، معطل | 1.1.0 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تثبيت عامل Azure Log Analtics على الجهاز الظاهري لمراقبة Azure Security Center | يقوم هذا النهج بمراجعة أي أجهزة ظاهرية Windows/Linux (VMs) إذا لم يتم تثبيت عامل Log Analytics الذي يستخدمه Security Center لمراقبة الثغرات الأمنية والتهديدات | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center | من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين سجلات الموارد في Azure Data Lake Store | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Azure Stream Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في حسابات Batch | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Data Lake Analytics | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Event Hub | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في مركز IoT | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 3.1.0 |
| يجب تمكين سجلات الموارد في Key Vault | مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Logic Apps | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.1.0 |
| يجب تمكين سجلات الموارد في خدمات البحث | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب تمكين سجلات الموارد في Service Bus | مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك | AuditIfNotExists، معطل | 5.0.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
التغييرات التي أجراها الأفراد المعتمدون
المعرف: FedRAMP High AU-12 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توفير القدرة على توسيع نطاق تدقيق الموارد التي يُوزعها العملاء أو تقييده | CMA_C1141 - توفير القدرة على توسيع أو الحد من التدقيق على الموارد المنشورة من قبل العملاء | يدوي، معطل | 1.1.0 |
التخويل وتقييم الأمان
إجراءات التخويل وتقييم الأمان ونُهجهما
المعرف: FedRAMP High CA-1 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة إجراءات التخويل وتقييم الأمان ونُهجهما | CMA_C1143 - مراجعة سياسات وإجراءات تقييم الأمان والتخويل | يدوي، معطل | 1.1.0 |
التقييمات الأمنية
المعرف: FedRAMP High CA-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تقييم عناصر التحكم في الأمان | CMA_C1145 - تقييم عناصر التحكم في الأمان | يدوي، معطل | 1.1.0 |
| تقديم نتائج تقييم الأمان | CMA_C1147 - تقديم نتائج تقييم الأمان | يدوي، معطل | 1.1.0 |
| تطوير خطة تقييم الأمان | CMA_C1144 - تطوير خطة تقييم الأمان | يدوي، معطل | 1.1.0 |
| إعداد تقرير تقييم الأمان | CMA_C1146 - إنتاج تقرير تقييم الأمان | يدوي، معطل | 1.1.0 |
مقيمون مستقلون
المعرف: FedRAMP High CA-2 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توظيف مقيمين مستقلين لإجراء تقييمات مراقبة التحكم في الأمان | CMA_C1148 - توظيف تقييمين مستقلين لإجراء تقييمات مراقبة أمنية | يدوي، معطل | 1.1.0 |
التقييمات المتخصصة
المعرف: FedRAMP High CA-2 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد اختبار إضافي لتقييمات التحكم في الأمان | CMA_C1149 - حدد اختبارا إضافيا لتقييمات التحكم في الأمان | يدوي، معطل | 1.1.0 |
المنظمات الخارجية
المعرف: FedRAMP High CA-2 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| قبول نتائج التقييم | CMA_C1150 - قبول نتائج التقييم | يدوي، معطل | 1.1.0 |
وصلات النظام
المعرف: FedRAMP High CA-3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| طلب اتفاقيات أمان التواصل | CMA_C1151 - طلب اتفاقيات أمان الترابط | يدوي، معطل | 1.1.0 |
| تحديث اتفاقيات أمان التواصل | CMA_0519 - تحديث اتفاقيات أمان التوصيل البيني | يدوي، معطل | 1.1.0 |
اتصالات غير مُصنفة لنظام الأمان غير الوطني
المعرف: FedRAMP High CA-3 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ حماية حدود النظام | CMA_0328 - تنفيذ حماية حدود النظام | يدوي، معطل | 1.1.0 |
القيود المفروضة على اتصالات النظام الخارجية
المعرف: FedRAMP High CA-3 (5) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استخدام قيود على وصلات النظام الخارجي | CMA_C1155 - فرض قيود على التوصيلات البينية للنظام الخارجي | يدوي، معطل | 1.1.0 |
خطة العمل والمراحل الرئيسية
المعرف: FedRAMP High CA-5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تطوير POA&M | CMA_C1156 - تطوير POA&M | يدوي، معطل | 1.1.0 |
| تحديث عناصر POA | CMA_C1157 - تحديث عناصر POA | يدوي، معطل | 1.1.0 |
التفويض الأمني
المعرف: FedRAMP High CA-6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعيين مسؤول تخويل (AO) | CMA_C1158 - تعيين مسؤول تفويض (AO) | يدوي، معطل | 1.1.0 |
| التأكد من أن الموارد مُصرح بها | CMA_C1159 - ضمان تخويل الموارد | يدوي، معطل | 1.1.0 |
| تحديث التفويض الأمني | CMA_C1160 - تحديث تخويل الأمان | يدوي، معطل | 1.1.0 |
المراقبة المستمرة
المعرف: FedRAMP High CA-7 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين قائمة بيضاء للكشف | CMA_0068 - تكوين قائمة بيضاء للكشف | يدوي، معطل | 1.1.0 |
| تشغيل أجهزة الاستشعار لحل أمان نقطة النهاية | CMA_0514 - تشغيل أدوات الاستشعار لحل أمان نقطة النهاية | يدوي، معطل | 1.1.0 |
| الخضوع لمراجعة أمنية مستقلة | CMA_0515 - الخضوع لمراجعة أمنية مستقلة | يدوي، معطل | 1.1.0 |
التقييم المستقل
المعرف: FedRAMP High CA-7 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توظيف مقيمين مستقلين للمراقبة المستمرة | CMA_C1168 - توظيف تقييمين مستقلين للمراقبة المستمرة | يدوي، معطل | 1.1.0 |
تحليلات الاتجاه
المعرف: FedRAMP High CA-7 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحليل البيانات المُستمدة من المراقبة المستمرة | CMA_C1169 - تحليل البيانات التي تم الحصول عليها من المراقبة المستمرة | يدوي، معطل | 1.1.0 |
وكيل اختراق مستقل أو فريق
المعرف: FedRAMP High CA-8 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توظيف فريق مستقل لاختبار الاختراق | CMA_C1171 - توظيف فريق مستقل لاختبار الاختراق | يدوي، معطل | 1.1.0 |
اتصالات النظام الداخلي
المعرف: FedRAMP High CA-9 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحقق من توافق الخصوصية والأمان قبل إنشاء اتصالات داخلية | CMA_0053 - التحقق من التوافق مع الخصوصية والأمان قبل إنشاء اتصالات داخلية | يدوي، معطل | 1.1.0 |
إدارة التكوين
نهج إدارة التكوين وإجراءاته
المعرف: FedRAMP High CM-1 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة إجراءات إدارة التكوين ونُهجها وتحديثهما | CMA_C1175 - مراجعة وتحديث نهج وإجراءات إدارة التكوين | يدوي، معطل | 1.1.0 |
تكوين الأساس
المعرف: FedRAMP High CM-2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين الإجراءات للأجهزة غير المتوافقة | CMA_0062 - تكوين الإجراءات للأجهزة غير المتوافقة | يدوي، معطل | 1.1.0 |
| تطوير التكوينات الأساسية وصيانتها | CMA_0153 - تطوير التكوينات الأساسية وصيانتها | يدوي، معطل | 1.1.0 |
| فرض إعدادات تكوين الأمان | CMA_0249 - فرض إعدادات تكوين الأمان | يدوي، معطل | 1.1.0 |
| إنشاء لوحة تحكم التكوين | CMA_0254 - إنشاء لوحة تحكم التكوين | يدوي، معطل | 1.1.0 |
| إنشاء خطة إدارة تكوين وتوثيقها | CMA_0264 - إنشاء خطة إدارة تكوين وتوثيقها | يدوي، معطل | 1.1.0 |
| تنفيذ أداة إدارة تكوين تلقائية | CMA_0311 - تنفيذ أداة إدارة تكوين تلقائية | يدوي، معطل | 1.1.0 |
دعم التشغيل التلقائي للدقة / العملة
المعرف: FedRAMP High CM-2 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين الإجراءات للأجهزة غير المتوافقة | CMA_0062 - تكوين الإجراءات للأجهزة غير المتوافقة | يدوي، معطل | 1.1.0 |
| تطوير التكوينات الأساسية وصيانتها | CMA_0153 - تطوير التكوينات الأساسية وصيانتها | يدوي، معطل | 1.1.0 |
| فرض إعدادات تكوين الأمان | CMA_0249 - فرض إعدادات تكوين الأمان | يدوي، معطل | 1.1.0 |
| إنشاء لوحة تحكم التكوين | CMA_0254 - إنشاء لوحة تحكم التكوين | يدوي، معطل | 1.1.0 |
| إنشاء خطة إدارة تكوين وتوثيقها | CMA_0264 - إنشاء خطة إدارة تكوين وتوثيقها | يدوي، معطل | 1.1.0 |
| تنفيذ أداة إدارة تكوين تلقائية | CMA_0311 - تنفيذ أداة إدارة تكوين تلقائية | يدوي، معطل | 1.1.0 |
الاحتفاظ بالتكوينات السابقة
المعرف: FedRAMP High CM-2 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الاحتفاظ بالإصدارات السابقة من التكوينات الأساسية | CMA_C1181 - الاحتفاظ بالإصدارات السابقة من تكوينات الأساس | يدوي، معطل | 1.1.0 |
تكوين الأنظمة أو المكونات أو الأجهزة للمناطق عالية الخطورة
المعرف: FedRAMP High CM-2 (7) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ضمان عدم الحاجة إلى الضمانات الأمنية عند عودة الأفراد | CMA_C1183 - ضمان الضمانات الأمنية غير الضرورية عند عودة الأفراد | يدوي، معطل | 1.1.0 |
| لا يُسمح بإرفاق أنظمة المعلومات مع الأفراد | CMA_C1182 - عدم السماح لأنظمة المعلومات بمرافقة الأفراد | يدوي، معطل | 1.1.0 |
التحكم في تغيير التكوين
المعرف: FedRAMP High CM-3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء تحليل الأثر الأمني | CMA_0057 - إجراء تحليل للتأثير الأمني | يدوي، معطل | 1.1.0 |
| تطوير معيار إدارة الثغرات الأمنية وصيانته | CMA_0152 - تطوير وصيانة معيار إدارة الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| وضع استراتيجية لإدارة المخاطر | CMA_0258 - وضع استراتيجية لإدارة المخاطر | يدوي، معطل | 1.1.0 |
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
| إنشاء متطلبات إدارة التكوين للمطورين | CMA_0270 - إنشاء متطلبات إدارة التكوين للمطورين | يدوي، معطل | 1.1.0 |
| إجراء تقييم تأثير الخصوصية | CMA_0387 - إجراء تقييم لتأثير الخصوصية | يدوي، معطل | 1.1.0 |
| إجراء تقييم المخاطر | CMA_0388 - إجراء تقييم للمخاطر | يدوي، معطل | 1.1.0 |
| إجراء التدقيق للتحكم في تغيير التكوين | CMA_0390 - إجراء تدقيق للتحكم في تغيير التكوين | يدوي، معطل | 1.1.0 |
التوثيق / الإعلام / الحظر التلقائي للتغييرات
المعرف: FedRAMP High CM-3 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| أتمتة طلب الموافقة على التغييرات المقترحة | CMA_C1192 - أتمتة طلب الموافقة على التغييرات المقترحة | يدوي، معطل | 1.1.0 |
| التنفيذ التلقائي لإعلامات التغيير المعتمدة | CMA_C1196 - التنفيذ التلقائي لإشعارات التغيير المعتمدة | يدوي، معطل | 1.1.0 |
| أتمتة عملية توثيق التغييرات المُنفذّة | CMA_C1195 - أتمتة العملية لتوثيق التغييرات المنفذة | يدوي، معطل | 1.1.0 |
| أتمتة عملية تمييز مقترحات التغيير التي لم تُراجع | CMA_C1193 - أتمتة العملية لتمييز مقترحات التغيير غير المنظرة | يدوي، معطل | 1.1.0 |
| أتمتة عملية حظر تنفيذ التغييرات غير المعتمدة | CMA_C1194 - أتمتة العملية لحظر تنفيذ التغييرات غير المعتمدة | يدوي، معطل | 1.1.0 |
| أتمتة التغييرات المُوثقة المقترحة | CMA_C1191 - أتمتة التغييرات الموثقة المقترحة | يدوي، معطل | 1.1.0 |
اختبار / التحقق من / توثيق التغييرات
المعرف: FedRAMP High CM-3 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
| إنشاء متطلبات إدارة التكوين للمطورين | CMA_0270 - إنشاء متطلبات إدارة التكوين للمطورين | يدوي، معطل | 1.1.0 |
| إجراء التدقيق للتحكم في تغيير التكوين | CMA_0390 - إجراء تدقيق للتحكم في تغيير التكوين | يدوي، معطل | 1.1.0 |
ممثل الأمن
المعرف: FedRAMP High CM-3 (4) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعيين ممثل أمان المعلومات للتحكم بالتغيير | CMA_C1198 - تعيين ممثل أمان المعلومات لتغيير عنصر التحكم | يدوي، معطل | 1.1.0 |
إدارة التشفير
المعرف: FedRAMP High CM-3 (6) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تأكد من أن آليات التشفير تحت إدارة التكوين | CMA_C1199 - تأكد من أن آليات التشفير تحت إدارة التكوين | يدوي، معطل | 1.1.0 |
تحليل الأثر الأمني
المعرف: FedRAMP High CM-4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء تحليل الأثر الأمني | CMA_0057 - إجراء تحليل للتأثير الأمني | يدوي، معطل | 1.1.0 |
| تطوير معيار إدارة الثغرات الأمنية وصيانته | CMA_0152 - تطوير وصيانة معيار إدارة الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| وضع استراتيجية لإدارة المخاطر | CMA_0258 - وضع استراتيجية لإدارة المخاطر | يدوي، معطل | 1.1.0 |
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
| إنشاء متطلبات إدارة التكوين للمطورين | CMA_0270 - إنشاء متطلبات إدارة التكوين للمطورين | يدوي، معطل | 1.1.0 |
| إجراء تقييم تأثير الخصوصية | CMA_0387 - إجراء تقييم لتأثير الخصوصية | يدوي، معطل | 1.1.0 |
| إجراء تقييم المخاطر | CMA_0388 - إجراء تقييم للمخاطر | يدوي، معطل | 1.1.0 |
| إجراء التدقيق للتحكم في تغيير التكوين | CMA_0390 - إجراء تدقيق للتحكم في تغيير التكوين | يدوي، معطل | 1.1.0 |
بيئات اختبار منفصلة
المعرف: FedRAMP High CM-4 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء تحليل الأثر الأمني | CMA_0057 - إجراء تحليل للتأثير الأمني | يدوي، معطل | 1.1.0 |
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
| إنشاء متطلبات إدارة التكوين للمطورين | CMA_0270 - إنشاء متطلبات إدارة التكوين للمطورين | يدوي، معطل | 1.1.0 |
| إجراء تقييم تأثير الخصوصية | CMA_0387 - إجراء تقييم لتأثير الخصوصية | يدوي، معطل | 1.1.0 |
| إجراء التدقيق للتحكم في تغيير التكوين | CMA_0390 - إجراء تدقيق للتحكم في تغيير التكوين | يدوي، معطل | 1.1.0 |
قيود الوصول للتغيير
المعرف: FedRAMP High CM-5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء عمليات التحكم في التغيير وتوثيقها | CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها | يدوي، معطل | 1.1.0 |
إنفاذ / تدقيق الوصول التلقائي
المعرف: FedRAMP High CM-5 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| فرض قيود الوصول وتدقيقها | CMA_C1203 - فرض قيود الوصول والتدقيق | يدوي، معطل | 1.1.0 |
مراجعة تغييرات النظام
المعرف: FedRAMP High CM-5 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة التغييرات بحثاً عن أي تغييرات غير مصرح بها | CMA_C1204 - مراجعة التغييرات لأي تغييرات غير مصرح بها | يدوي، معطل | 1.1.0 |
المكونات الموقعة
المعرف: FedRAMP High CM-5 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تقييد تثبيت البرامج والبرامج الثابتة غير المصرح بها | CMA_C1205 - تقييد تثبيت البرامج والبرامج الثابتة غير المصرح بها | يدوي، معطل | 1.1.0 |
الحد من الإنتاج / امتيازات التشغيل
المعرف: FedRAMP High CM-5 (5) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تقييد الامتيازات لإجراء تغييرات في بيئة الإنتاج | CMA_C1206 - الحد من الامتيازات لإجراء تغييرات في بيئة الإنتاج | يدوي، معطل | 1.1.0 |
| مراجعة الامتيازات وإعادة تقييمها | CMA_C1207 - مراجعة الامتيازات وإعادة تقييمها | يدوي، معطل | 1.1.0 |
إعدادات التكوين
ID: FedRAMP High CM-6 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين شهادات العميل (شهادات العميل الواردة) لتطبيقات App Service | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات. | AuditIfNotExists، معطل | 2.0.0 |
| يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات | تمتد الوظيفة الإضافية لسياسة Azure Policy لخدمة Kubernetes (AKS) إلى Gatekeeper v3، webhook وحدة تحكم القبول لعامل Open Policy Agent(OPA)، لتطبيق إنفاذ على نطاق واسع وضمانات على المجموعات بطريقة مركزية ومتسقة. | المراجعة، معطلة | 1.0.2 |
| فرض إعدادات تكوين الأمان | CMA_0249 - فرض إعدادات تكوين الأمان | يدوي، معطل | 1.1.0 |
| يجب تمكين تطبيقات الوظائف شهادات العميل (شهادات العميل الواردة) | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1. | AuditIfNotExists، معطل | 1.0.0 |
| يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف | يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد. | AuditIfNotExists، معطل | 2.0.0 |
| تطبيقات الوظائف يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك | يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية. | AuditIfNotExists، معطل | 2.0.0 |
| يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة | فرض حاوية CPU وحدود موارد الذاكرة لمنع هجمات استنفاد الموارد في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.2.0 |
| يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة | قم بحظر حاويات الجراب من مشاركة مساحة اسم معرف عملية المضيف ومساحة اسم IPC المضيف في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.2 وCIS 5.2.3 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 5.1.0 |
| يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب أن تستخدم الحاويات ملفات تعريف AppArmor المسموح بها فقط في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.1 |
| يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها | يجب تقييد القدرات لخفض سطح الهجوم من الحاويات في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.8 وCIS 5.2.9 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.0 |
| يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط | استخدم الصور من السجلات الموثوق بها لتقليل خطر تعرض مجموعة Kubernetes للثغرات الأمنية غير المعروفة ومشكلات الأمان والصور الضارة. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.2.0 |
| يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط | تشغيل حاويات مع نظام ملفات جذر للقراءة فقط للحماية من التغييرات في وقت التشغيل مع الثنائيات الضارة التي يتم إضافتها إلى PATH في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.2.0 |
| يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط | تحميل حجم جراب HostPath الحد إلى مسارات المضيف المسموح به في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS) وKubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.1 |
| يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة | التحكم في المستخدم، المجموعة الأساسية، المجموعة التكميلية ومعرفات مجموعة نظام الملفات التي يمكن استخدامها pods وحاويات لتشغيل في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.1 |
| يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط | تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.4 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 6.1.0 |
| يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها | يجب تقييد الخدمات للاستماع فقط على المنافذ المسموح بها لتأمين الوصول إلى مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.1.0 |
| يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة | لا تسمح بإنشاء حاويات مميزة في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.1 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 9.1.0 |
| يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية | لا تسمح بتشغيل الحاويات مع التصعيد امتياز الجذر في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.5 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاص بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 7.1.0 |
| يجب أن تلبي أجهزة Linux المتطلبات الأساسية لأمان حساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure. | AuditIfNotExists، معطل | 2.2.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
| يجب أن تفي الأجهزة التي تعمل بنظام التشغيل Windows بمتطلبات أساس أمان حساب Azure | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure. | AuditIfNotExists، معطل | 2.0.0 |
الإدارة / التطبيق / التحقق المركزي الآلي
المعرف: FedRAMP High CM-6 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| فرض إعدادات تكوين الأمان | CMA_0249 - فرض إعدادات تكوين الأمان | يدوي، معطل | 1.1.0 |
| إدارة توافق موفري خدمة السحابة | CMA_0290 - التحكم في توافق موفري خدمات السحابة | يدوي، معطل | 1.1.0 |
| عرض بيانات تشخيص النظام وتكوينها | CMA_0544 - عرض بيانات تشخيص النظام وتكوينها | يدوي، معطل | 1.1.0 |
الأداء الوظيفي الأدنى
ID: FedRAMP High CM-7 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك | تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي | راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
منع تنفيذ البرنامج
ID: FedRAMP High CM-7 (2) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك | تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي | راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية. | AuditIfNotExists، معطل | 3.0.0 |
البرامج / القائمة البيضاء المعتمدة
ID: FedRAMP High CM-7 (5) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك | تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي | راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية. | AuditIfNotExists، معطل | 3.0.0 |
مخزون مكونات نظام المعلومات
المعرف: FedRAMP High CM-8 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء مخزون بيانات | CMA_0096 - إنشاء مخزون بيانات | يدوي، معطل | 1.1.0 |
| الاحتفاظ بسجلات معالجة البيانات الشخصية | CMA_0353 - الاحتفاظ بسجلات لمعالجة البيانات الشخصية | يدوي، معطل | 1.1.0 |
التحديثات أثناء عمليات التثبيتات / الإزالة
المعرف: FedRAMP High CM-8 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء مخزون بيانات | CMA_0096 - إنشاء مخزون بيانات | يدوي، معطل | 1.1.0 |
| الاحتفاظ بسجلات معالجة البيانات الشخصية | CMA_0353 - الاحتفاظ بسجلات لمعالجة البيانات الشخصية | يدوي، معطل | 1.1.0 |
الكشف التلقائي عن المكونات غير المصرح به
المعرف: FedRAMP High CM-8 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تمكين الكشف عن أجهزة الشبكة | CMA_0220 - تمكين الكشف عن أجهزة الشبكة | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
معلومات المساءلة
المعرف: FedRAMP High CM-8 (4) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء مخزون بيانات | CMA_0096 - إنشاء مخزون بيانات | يدوي، معطل | 1.1.0 |
| إنشاء مخزون الأصول والحفاظ عليه | CMA_0266 - إنشاء مخزون الأصول وصيانته | يدوي، معطل | 1.1.0 |
خطة إدارة التكوين
المعرف: FedRAMP High CM-9 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء حماية خطة التكوين | CMA_C1233 - إنشاء حماية خطة التكوين | يدوي، معطل | 1.1.0 |
| تطوير التكوينات الأساسية وصيانتها | CMA_0153 - تطوير التكوينات الأساسية وصيانتها | يدوي، معطل | 1.1.0 |
| تطوير خطة تحديد عنصر التكوين | CMA_C1231 - تطوير خطة تعريف عنصر التكوين | يدوي، معطل | 1.1.0 |
| تطوير خطة إدارة التكوين | CMA_C1232 - تطوير خطة إدارة التكوين | يدوي، معطل | 1.1.0 |
| إنشاء خطة إدارة تكوين وتوثيقها | CMA_0264 - إنشاء خطة إدارة تكوين وتوثيقها | يدوي، معطل | 1.1.0 |
| تنفيذ أداة إدارة تكوين تلقائية | CMA_0311 - تنفيذ أداة إدارة تكوين تلقائية | يدوي، معطل | 1.1.0 |
قيود استخدام البرامج
ID: FedRAMP High CM-10 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك | تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي | راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية. | AuditIfNotExists، معطل | 3.0.0 |
| المطالبة بالامتثال لحقوق الملكية الفكرية | CMA_0432 - المطالبة بالامتثال لحقوق الملكية الفكرية | يدوي، معطل | 1.1.0 |
| تعقب استخدام ترخيص البرامج | CMA_C1235 - تعقب استخدام ترخيص البرامج | يدوي، معطل | 1.1.0 |
برامج مفتوحة المصدر
المعرف: FedRAMP High CM-10 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تقييد استخدام البرامج مفتوحة المصدر | CMA_C1237 - تقييد استخدام برامج مصدر مفتوح | يدوي، معطل | 1.1.0 |
البرمجيات التي ثبتها المستخدم
ID: FedRAMP High CM-11 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك | تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي | راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية. | AuditIfNotExists، معطل | 3.0.0 |
التخطيط لمواجهة المخاطر
نهج خطة مواجهة المخاطر وإجراءاتها
المعرف: FedRAMP High CP-1 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة إجراءات خطة مواجهة المخاطر ونُهجها وتحديثهما | CMA_C1243 - مراجعة وتحديث سياسات وإجراءات التخطيط للطوارئ | يدوي، معطل | 1.1.0 |
خطة مواجهة المخاطر
المعرف: FedRAMP High CP-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الإبلاغ عن تغييرات خطة مواجهة المخاطر | CMA_C1249 - توصيل تغييرات خطة الطوارئ | يدوي، معطل | 1.1.0 |
| تنسيق خطط مواجهة المخاطر مع الخطط ذات الصلة | CMA_0086 - تنسيق خطط الطوارئ مع الخطط ذات الصلة | يدوي، معطل | 1.1.0 |
| وضع خطة لاستمرارية الأعمال والإصلاح بعد كارثة وتوثيقها | CMA_0146 - تطوير وتوثيق خطة استمرارية الأعمال والتعافي من الكوارث | يدوي، معطل | 1.1.0 |
| تطوير خطة مواجهة المخاطر | CMA_C1244 - وضع خطة طوارئ | يدوي، معطل | 1.1.0 |
| تطوير إجراءات خطة مواجهة المخاطر ونُهجها | CMA_0156 - تطوير سياسات وإجراءات التخطيط لحالات الطوارئ | يدوي، معطل | 1.1.0 |
| توزيع النُهج والإجراءات | CMA_0185 - توزيع السياسات والإجراءات | يدوي، معطل | 1.1.0 |
| مراجعة خطة مواجهة المخاطر | CMA_C1247 - مراجعة خطة الطوارئ | يدوي، معطل | 1.1.0 |
| تحديث خطة مواجهة المخاطر | CMA_C1248 - تحديث خطة الطوارئ | يدوي، معطل | 1.1.0 |
التنسيق مع الخطط ذات الصلة
المعرف: FedRAMP High CP-2 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنسيق خطط مواجهة المخاطر مع الخطط ذات الصلة | CMA_0086 - تنسيق خطط الطوارئ مع الخطط ذات الصلة | يدوي، معطل | 1.1.0 |
تخطيط القدرة الإنتاجية
المعرف: FedRAMP High CP-2 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ تخطيط القدرة الإنتاجية | CMA_C1252 - إجراء تخطيط القدرات | يدوي، معطل | 1.1.0 |
استئناف المهام الأساسية / وظائف الأعمال
المعرف: FedRAMP High CP-2 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التخطيط لاستئناف وظائف الأعمال الأساسية | CMA_C1253 - خطة لاستئناف وظائف الأعمال الأساسية | يدوي، معطل | 1.1.0 |
استئناف جميع المهام / وظائف الأعمال
المعرف: FedRAMP High CP-2 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استئناف جميع المهام ووظائف الأعمال | CMA_C1254 - استئناف جميع مهام المهام والأعمال | يدوي، معطل | 1.1.0 |
مواصلة المهام الأساسية / وظائف الأعمال
المعرف: FedRAMP High CP-2 (5) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التخطيط لمتابعة وظائف الأعمال الأساسية | CMA_C1255 - التخطيط لمتابعة وظائف الأعمال الأساسية | يدوي، معطل | 1.1.0 |
تحديد الأصول الحرجة
المعرف: FedRAMP High CP-2 (8) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء تقييم تأثير الأعمال وتقييم أهمية التطبيق | CMA_0386 - إجراء تقييم لتأثير الأعمال وتقييم أهمية التطبيق | يدوي، معطل | 1.1.0 |
التدريب على مواجهة المخاطر
المعرف: FedRAMP High CP-3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توفير التدريب على مواجهة المخاطر | CMA_0412 - توفير التدريب على مواجهة المخاطر | يدوي، معطل | 1.1.0 |
أحداث محاكاة
المعرف: FedRAMP High CP-3 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| دمج تدريب محاكاة على مواجهة المخاطر | CMA_C1260 - دمج التدريب على مواجهة المخاطر المحاكية | يدوي، معطل | 1.1.0 |
اختبار خطة مواجهة المخاطر
المعرف: FedRAMP High CP-4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| بدء إجراءات تصحيحية لاختبار خطة مواجهة المخاطر | CMA_C1263 - بدء إجراءات تصحيحية لاختبار خطة الطوارئ | يدوي، معطل | 1.1.0 |
| مراجعة نتائج اختبار خطة مواجهة المخاطر | CMA_C1262 - مراجعة نتائج اختبار خطة الطوارئ | يدوي، معطل | 1.1.0 |
| اختبار خطة استمرارية الأعمال والإصلاح بعد كارثة | CMA_0509 - اختبار خطة استمرارية الأعمال والتعافي من الكوارث | يدوي، معطل | 1.1.0 |
التنسيق مع الخطط ذات الصلة
المعرف: FedRAMP High CP-4 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنسيق خطط مواجهة المخاطر مع الخطط ذات الصلة | CMA_0086 - تنسيق خطط الطوارئ مع الخطط ذات الصلة | يدوي، معطل | 1.1.0 |
موقع معالجة بديل
المعرف: FedRAMP High CP-4 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تقييم قدرات موقع معالجة بديل | CMA_C1266 - تقييم قدرات موقع المعالجة البديلة | يدوي، معطل | 1.1.0 |
| اختبار خطة مواجهة المخاطر في موقع معالجة بديل | CMA_C1265 - اختبار خطة الطوارئ في موقع معالجة بديل | يدوي، معطل | 1.1.0 |
موقع تخزين بديل
ID: FedRAMP High CP-6 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تأكد من أن ضمانات موقع التخزين البديل مكافئة للموقع الأساسي | CMA_C1268 - التأكد من أن ضمانات موقع التخزين البديلة تعادل الموقع الأساسي | يدوي، معطل | 1.1.0 |
| إنشاء موقع تخزين بديل لتخزين معلومات النسخ الاحتياطي واستردادها | CMA_C1267 - إنشاء موقع تخزين بديل لتخزين معلومات النسخ الاحتياطي واستردادها | يدوي، معطل | 1.1.0 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB | تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL | تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين التخزين الجغرافي المتكرر لحسابات التخزين | استخدام التكرار الجغرافي لإنشاء تطبيقات متوفرة بشكل كبير | المراجعة، معطلة | 1.0.0 |
| ينبغي تمكين النسخ الاحتياطي الجغرافي المتكرر لقواعد بيانات Azure SQL | يقوم هذا النهج بمراجعة أية Azure SQL Database مع عدم تمكين النسخ الاحتياطي الجغرافي المتكرر على المدى الطويل. | AuditIfNotExists، معطل | 2.0.0 |
الفصل عن الموقع الأساسي
ID: FedRAMP High CP-6 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء مواقع تخزين بديلة وأساسية منفصلة | CMA_C1269 - إنشاء مواقع تخزين بديلة وأساسية منفصلة | يدوي، معطل | 1.1.0 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB | تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL | تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين التخزين الجغرافي المتكرر لحسابات التخزين | استخدام التكرار الجغرافي لإنشاء تطبيقات متوفرة بشكل كبير | المراجعة، معطلة | 1.0.0 |
| ينبغي تمكين النسخ الاحتياطي الجغرافي المتكرر لقواعد بيانات Azure SQL | يقوم هذا النهج بمراجعة أية Azure SQL Database مع عدم تمكين النسخ الاحتياطي الجغرافي المتكرر على المدى الطويل. | AuditIfNotExists، معطل | 2.0.0 |
وقت الاسترداد / أهداف النقطة
المعرف: FedRAMP High CP-6 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء موقع تخزين بديل يُسهل عمليات الاسترداد | CMA_C1270 - إنشاء موقع تخزين بديل يسهل عمليات الاسترداد | يدوي، معطل | 1.1.0 |
إمكانية الوصول
المعرف: FedRAMP High CP-6 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد المشكلات المحتملة في موقع التخزين البديل والتخفيف من حدتها | CMA_C1271 - تحديد المشكلات المحتملة والتخفيف من حدتها في موقع التخزين البديل | يدوي، معطل | 1.1.0 |
موقع معالجة بديل
ID: FedRAMP High CP-7 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الأجهزة الظاهرية دون تكوين استرداد بعد عطل فادح | مراجعة الأجهزة الظاهرية التي لم يتم تكوين استردادها بعد عطل فادح. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| إنشاء موقع معالجة بديل | CMA_0262 - إنشاء موقع معالجة بديل | يدوي، معطل | 1.1.0 |
الفصل عن الموقع الأساسي
المعرف: FedRAMP High CP-7 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء موقع معالجة بديل | CMA_0262 - إنشاء موقع معالجة بديل | يدوي، معطل | 1.1.0 |
إمكانية الوصول
المعرف: FedRAMP High CP-7 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء موقع معالجة بديل | CMA_0262 - إنشاء موقع معالجة بديل | يدوي، معطل | 1.1.0 |
أولوية الخدمة
المعرف: FedRAMP High CP-7 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء موقع معالجة بديل | CMA_0262 - إنشاء موقع معالجة بديل | يدوي، معطل | 1.1.0 |
| تحديد متطلبات موفري خدمة الإنترنت | CMA_0278 - تحديد متطلبات موفري خدمة الإنترنت | يدوي، معطل | 1.1.0 |
التحضير للاستخدام
المعرف: FedRAMP High CP-7 (4) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إعداد موقع معالجة بديل للاستخدام كموقع تشغيل | CMA_C1278 - إعداد موقع معالجة بديل للاستخدام كموقع تشغيلي | يدوي، معطل | 1.1.0 |
أولوية أحكام الخدمة
المعرف: FedRAMP High CP-8 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد متطلبات موفري خدمة الإنترنت | CMA_0278 - تحديد متطلبات موفري خدمة الإنترنت | يدوي، معطل | 1.1.0 |
النسخ الاحتياطي لنظام المعلومات
ID: FedRAMP High CP-9 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية | تأكد من حماية الأجهزة الظاهرية Azure الخاصة بك عن طريق تمكين النسخ الاحتياطي Azure. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure. | AuditIfNotExists، معطل | 3.0.0 |
| إجراء النسخ الاحتياطي لوثائق نظام المعلومات | CMA_C1289 - إجراء نسخة احتياطية من وثائق نظام المعلومات | يدوي، معطل | 1.1.0 |
| إنشاء إجراءات النسخ الاحتياطي ونُهجه | CMA_0268 - إنشاء نهج وإجراءات النسخ الاحتياطي | يدوي، معطل | 1.1.0 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB | تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL | تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم. | المراجعة، معطلة | 1.0.1 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| يجب تمكين حماية الحذف في خزائن المفاتيح | يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب تمكين الحذف المبدئي في Key vaults | يؤدي حذف key vault من دون حذف مبدئي ممكن إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في key vault نهائيًا. يمكن أن يؤدي الحذف العرضي لمخزن البيانات السرية إلى فقدان دائم للبيانات. يتيح لك الحذف الناعم استرداد مخزن مفاتيح تم حذفها عن طريق الخطأ لفترة استبقاء قابلة للتكوين. | التدقيق، الرفض، التعطيل | 3.0.0 |
تخزين منفصل للمعلومات الهامة
المعرف: FedRAMP High CP-9 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تخزين معلومات النسخ الاحتياطي بشكل منفصل | CMA_C1293 - تخزين معلومات النسخ الاحتياطي بشكل منفصل | يدوي، معطل | 1.1.0 |
النقل إلى موقع تخزين بديل
المعرف: FedRAMP High CP-9 (5) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| نقل معلومات النسخ الاحتياطي إلى موقع تخزين بديل | CMA_C1294 - نقل معلومات النسخ الاحتياطي إلى موقع تخزين بديل | يدوي، معطل | 1.1.0 |
استعادة نظام المعلومات وإعادة تكوينها
المعرف: FedRAMP High CP-10 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استرداد الموارد وإعادة تكوينها بعد أي تعطيل | CMA_C1295 - استرداد الموارد وإعادة تكوينها بعد أي تعطيل | يدوي، معطل | 1.1.1 |
استرداد المعاملة
المعرف: FedRAMP High CP-10 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ الاسترداد المستند إلى المعاملة | CMA_C1296 - تنفيذ الاسترداد المستند إلى المعاملة | يدوي، معطل | 1.1.0 |
الاستعادة خلال فترة زمنية
المعرف: FedRAMP High CP-10 (4) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استعادة الموارد إلى حالة التشغيل | CMA_C1297 - استعادة الموارد إلى الحالة التشغيلية | يدوي، معطل | 1.1.1 |
الهوية والمصادقة
إجراءات الهوية والمصادقة ونَهجهما
المعرف: FedRAMP High IA-1 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة إجراءات الهوية والمصادقة ونُهجهما وتحديثهما | CMA_C1299 - مراجعة وتحديث سياسات وإجراءات تحديد الهوية والمصادقة | يدوي، معطل | 1.1.0 |
الهوية والمصادقة (المستخدمون التنظيميون)
ID: FedRAMP High IA-2 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| فرض تفرد المستخدم | CMA_0250 - فرض تفرد المستخدم | يدوي، معطل | 1.1.0 |
| يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
| دعم بيانات اعتماد التحقق الشخصي الصادرة عن السلطات القانونية | CMA_0507 - دعم بيانات اعتماد التحقق الشخصي الصادرة عن السلطات القانونية | يدوي، معطل | 1.1.0 |
وصول الشبكة إلى الحسابات المميزة
ID: FedRAMP High IA-2 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| اعتماد آليات المصادقة البيومترية | CMA_0005 - اعتماد آليات المصادقة البيومترية | يدوي، معطل | 1.1.0 |
وصول الشبكة إلى الحسابات غير المميزة
ID: FedRAMP High IA-2 (2) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA) | يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد. | AuditIfNotExists، معطل | 1.0.0 |
| اعتماد آليات المصادقة البيومترية | CMA_0005 - اعتماد آليات المصادقة البيومترية | يدوي، معطل | 1.1.0 |
الوصول المحلي إلى الحسابات المميزة
المعرف: FedRAMP High IA-2 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| اعتماد آليات المصادقة البيومترية | CMA_0005 - اعتماد آليات المصادقة البيومترية | يدوي، معطل | 1.1.0 |
مصادقة المجموعة
المعرف: FedRAMP High IA-2 (5) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| طلب استخدام المصدقين الفرديين | CMA_C1305 - طلب استخدام المصدقين الفرديين | يدوي، معطل | 1.1.0 |
الوصول عن بُعد - جهاز منفصل
المعرف: FedRAMP High IA-2 (11) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| اعتماد آليات المصادقة البيومترية | CMA_0005 - اعتماد آليات المصادقة البيومترية | يدوي، معطل | 1.1.0 |
| تحديد أجهزة الشبكة ومصادقتها | CMA_0296 - تحديد أجهزة الشبكة ومصادقتها | يدوي، معطل | 1.1.0 |
قبول بيانات اعتماد التحقق من الهوية الشخصية
المعرف: FedRAMP High IA-2 (12) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| دعم بيانات اعتماد التحقق الشخصي الصادرة عن السلطات القانونية | CMA_0507 - دعم بيانات اعتماد التحقق الشخصي الصادرة عن السلطات القانونية | يدوي، معطل | 1.1.0 |
إدارة المعرفات
ID: FedRAMP High IA-4 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL | راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم تطبيقات App Service الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| تعيين معرّفات النظام | CMA_0018 - تعيين معرفات النظام | يدوي، معطل | 1.1.0 |
| يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية) | يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تستخدم تطبيقات الوظائف الهوية المدارة | استخدم هوية مُدارة لتحسين أمان المصادقة | AuditIfNotExists، معطل | 3.0.0 |
| منع إعادة استخدام المعرّف للفترة الزمنية المحددة | CMA_C1314 - منع إعادة استخدام المعرف للفترة الزمنية المحددة | يدوي، معطل | 1.1.0 |
| يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل | تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric | التدقيق، الرفض، التعطيل | 1.1.0 |
تعريف حالة المستخدم
المعرف: FedRAMP High IA-4 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد حالة المستخدمين الفرديين | CMA_C1316 - تحديد حالة المستخدمين الفرديين | يدوي، معطل | 1.1.0 |
Authenticator إدارة
ID: FedRAMP High IA-5 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 4.1.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 4.1.0 |
| تدقيق أجهزة Linux التي ليس لديها أذونات ملف passwd المعينة على 0644 | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين أجهزة Linux التي لا تحتوي على أذونات ملف passwd على 0644 | AuditIfNotExists، معطل | 3.1.0 |
| تدقيق أجهزة Windows التي لا تخزن كلمات المرور باستخدام تشفير عكسي | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت الأجهزة التي تعمل بنظام Windows لا تخزن كلمات المرور باستخدام تشفير قابل للعكس | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تتطلب المصادقة على أجهزة Linux مفاتيح SSH | على الرغم من أن SSH نفسه يوفر اتصالاً مشفراً، فإن استخدام كلمات المرور مع SSH لا يزال يترك الجهاز الظاهري عرضة لهجمات القوة الغاشمة. الخيار الأكثر أماناً للمصادقة إلى جهاز ظاهري Azure Linux عبر SSH يكون باستخدام زوج مفاتيح public-private والذي يُعرف أيضًا باسم مفاتيح SSH. اعرف المزيد:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists، معطل | 3.2.0 |
| يجب أن يكون للشهادات أقصى فترة صلاحية محددة | إدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد الحد الأقصى من الوقت الذي يمكن أن تكون الشهادة صالحة داخل مخزن المفتاح الخاص بك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 2.2.1 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows | تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| إنشاء أنواع المصدّق وعملياته | CMA_0267 - إنشاء أنواع المصدق وعملياته | يدوي، معطل | 1.1.0 |
| وضع إجراءات لتوزيع المصدّق الأولّي | CMA_0276 - وضع إجراءات لتوزيع المصدق الأولي | يدوي، معطل | 1.1.0 |
| تنفيذ التدريب لحماية المصدقين | CMA_0329 - تنفيذ التدريب لحماية المصدقين | يدوي، معطل | 1.1.0 |
| يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية | يجب أن يكون لمفاتيح التشفير تاريخ انتهاء صلاحية محدد وألا تكون دائمة. توفر المفاتيح الصالحة إلى الأبد للمهاجم المحتمل المزيد من الوقت لاختراق المفتاح. من المستحسن أن يتم تعيين تواريخ انتهاء الصلاحية على مفاتيح التشفير. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن يكون لأسرار Key Vault تاريخ انتهاء صلاحية | يجب أن يكون للأسرار تاريخ انتهاء صلاحية محدد وألا تكون دائمة. الأسرار التي هي صالحة إلى الأبد توفر للمهاجم المحتمل مع المزيد من الوقت للتنازل عنها. من الممارسات الأمنية الموصى بها تعيين تواريخ انتهاء الصلاحية على الأسرار. | التدقيق، الرفض، التعطيل | 1.0.2 |
| إدارة مدة بقاء المصدّق وإعادة استخدامه | CMA_0355 - إدارة عمر المصدق وإعادة استخدامه | يدوي، معطل | 1.1.0 |
| إدارة المصدقين | CMA_C1321 - إدارة المصدقين | يدوي، معطل | 1.1.0 |
| تحديث المصدقين | CMA_0425 - تحديث المصدقين | يدوي، معطل | 1.1.0 |
| إعادة إصدار المصدقين للمجموعات والحسابات المُتغيرة | CMA_0426 - إعادة إصدار المصادقات للمجموعات والحسابات التي تم تغييرها | يدوي، معطل | 1.1.0 |
| التحقق من الهوية قبل توزيع المصدقين | CMA_0538 - التحقق من الهوية قبل توزيع المصدقين | يدوي، معطل | 1.1.0 |
المصادقة المستندة إلى كلمة المرور
ID: FedRAMP High IA-5 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات | يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 4.1.0 |
| إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم | تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | تعديل | 4.1.0 |
| تدقيق أجهزة Linux التي ليس لديها أذونات ملف passwd المعينة على 0644 | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين أجهزة Linux التي لا تحتوي على أذونات ملف passwd على 0644 | AuditIfNotExists، معطل | 3.1.0 |
| تدقيق أجهزة Windows التي تسمح بإعادة استخدام كلمات المرور بعد العدد المحدد من كلمات المرور الفريدة | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت أجهزة Windows تسمح بإعادة استخدام كلمات المرور بعد العدد المحدد من كلمات المرور الفريدة. القيمة الافتراضية لكلمات المرور الفريدة هي 24 | AuditIfNotExists، معطل | 2.1.0 |
| تدقيق أجهزة Windows التي لم يتم تعيين الحد الأقصى لعمر كلمة المرور على عدد محدد من الأيام | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كانت أجهزة Windows التي لا تحتوي على الحد الأقصى لعمر كلمة المرور معينة على عدد محدد من الأيام. القيمة الافتراضية للحد الأقصى لعمر كلمة المرور هي 70 يوما | AuditIfNotExists، معطل | 2.1.0 |
| تدقيق أجهزة Windows التي لا تحتوي على الحد الأدنى لعمر كلمة المرور المعين لعدد محدد من الأيام | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين الحد الأدنى لعمر كلمة المرور على عدد محدد من الأيام في أجهزة Windows التي لا تحتوي على الحد الأدنى لعمر كلمة المرور. القيمة الافتراضية للحد الأدنى لعمر كلمة المرور هي يوم واحد | AuditIfNotExists، معطل | 2.1.0 |
| تدقيق Windows الأجهزة التي ليس لديها إعداد تعقيد كلمة المرور ممكن | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة في حالة تمكين الأجهزة التي تعمل بنظام التشغيل Windows التي لا تحتوي على إعداد تعقيد كلمة المرور | AuditIfNotExists، معطل | 2.0.0 |
| تدقيق أجهزة Windows التي لا تقيد الحد الأدنى لطول كلمة المرور بعدد محدد من الأحرف | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كانت أجهزة Windows التي لا تقيد الحد الأدنى لطول كلمة المرور لعدد محدد من الأحرف. القيمة الافتراضية للحد الأدنى لطول كلمة المرور هي 14 حرفا | AuditIfNotExists، معطل | 2.1.0 |
| تدقيق أجهزة Windows التي لا تخزن كلمات المرور باستخدام تشفير عكسي | يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت الأجهزة التي تعمل بنظام Windows لا تخزن كلمات المرور باستخدام تشفير قابل للعكس | AuditIfNotExists، معطل | 2.0.0 |
| توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux | ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows | تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| متطلبات قوة أمان المستندات في عقود الاستحواذ | CMA_0203 - توثيق متطلبات قوة الأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| إنشاء نهج كلمة مرور | CMA_0256 - إنشاء نهج كلمة مرور | يدوي، معطل | 1.1.0 |
| تنفيذ معلمات لأدوات التحقق من البيانات السرية المحفوظة | CMA_0321 - تنفيذ معلمات لمدققي البيانات السرية المحفظة | يدوي، معطل | 1.1.0 |
| حماية كلمات المرور باستخدام التشفير | CMA_0408 - حماية كلمات المرور باستخدام التشفير | يدوي، معطل | 1.1.0 |
المصادقة المستندة إلى Pki
المعرف: FedRAMP High IA-5 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ربط المصدقين والهويات ديناميكياً | CMA_0035 - ربط المصادقين والهويات ديناميكيا | يدوي، معطل | 1.1.0 |
| إنشاء أنواع المصدّق وعملياته | CMA_0267 - إنشاء أنواع المصدق وعملياته | يدوي، معطل | 1.1.0 |
| إنشاء معلمات للبحث عن المصدقين وأدوات التحقق من البيانات السرية | CMA_0274 - إنشاء معلمات للبحث في المصادقات السرية والمدققين | يدوي، معطل | 1.1.0 |
| وضع إجراءات لتوزيع المصدّق الأولّي | CMA_0276 - وضع إجراءات لتوزيع المصدق الأولي | يدوي، معطل | 1.1.0 |
| تعيين الهويات المُصدّق عليها للأفراد | CMA_0372 - تعيين الهويات المصادق عليها للأفراد | يدوي، معطل | 1.1.0 |
| تقييد الوصول إلى المفاتيح الخاصة | CMA_0445 - تقييد الوصول إلى المفاتيح الخاصة | يدوي، معطل | 1.1.0 |
| التحقق من الهوية قبل توزيع المصدقين | CMA_0538 - التحقق من الهوية قبل توزيع المصدقين | يدوي، معطل | 1.1.0 |
التسجيل شخصيًّا أو من خلال جهة خارجية موثوق بها
المعرف: FedRAMP High IA-5 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توزيع المصدقين | CMA_0184 - توزيع المصدقين | يدوي، معطل | 1.1.0 |
الدعم التلقائي لتحديد قوة كلمة المرور
المعرف: FedRAMP High IA-5 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| متطلبات قوة أمان المستندات في عقود الاستحواذ | CMA_0203 - توثيق متطلبات قوة الأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| إنشاء نهج كلمة مرور | CMA_0256 - إنشاء نهج كلمة مرور | يدوي، معطل | 1.1.0 |
| تنفيذ معلمات لأدوات التحقق من البيانات السرية المحفوظة | CMA_0321 - تنفيذ معلمات لمدققي البيانات السرية المحفظة | يدوي، معطل | 1.1.0 |
حماية المصدقين
المعرف: FedRAMP High IA-5 (6) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تأكد من حماية المستخدمين المعتمدين للمصدّقين المقدمين | CMA_C1339 - ضمان حماية المستخدمين المعتمدين للمصادقين المقدمين | يدوي، معطل | 1.1.0 |
عدم وجود مصادقين ثابتين مضمنين غير مشفرين
المعرف: FedRAMP High IA-5 (7) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تأكد من عدم وجود مصدقين ثابتين غير مشفرين | CMA_C1340 - تأكد من عدم وجود مصادقات ثابتة غير مشفرة | يدوي، معطل | 1.1.0 |
المصادقة المستندة إلى رمز مميّز للأجهزة
المعرف: FedRAMP High IA-5 (11) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تلبية متطلبات جودة الرمز المميز | CMA_0487 - تلبية متطلبات جودة الرمز المميز | يدوي، معطل | 1.1.0 |
انتهاء صلاحية المصادقة المخزنة مؤقتًا
المعرف: FedRAMP High IA-5 (13) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| فرض انتهاء صلاحية المصادقة المخزنة مؤقتًا | CMA_C1343 - فرض انتهاء صلاحية المصدقات المخزنة مؤقتا | يدوي، معطل | 1.1.0 |
تعليقات المصدّق
المعرف: FedRAMP High IA-6 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إخفاء معلومات الملاحظات أثناء عملية المصادقة | CMA_C1344 - إخفاء معلومات الملاحظات أثناء عملية المصادقة | يدوي، معطل | 1.1.0 |
مصادقة وحدة التشفير
المعرف: FedRAMP High IA-7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| المصادقة على وحدة التشفير | CMA_0021 - المصادقة على وحدة التشفير | يدوي، معطل | 1.1.0 |
الهوية والمصادقة (المستخدمون غير التنظيميين)
المعرف: FedRAMP High IA-8 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد المستخدمين غير التنظيميين ومُصادقتهم | CMA_C1346 - تحديد المستخدمين غير التنظيميين ومصادقتها | يدوي، معطل | 1.1.0 |
قبول بيانات اعتماد التحقق من الهوية الشخصية من وكالات أخرى
المعرف: FedRAMP High IA-8 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| قبول بيانات اعتماد PIV | CMA_C1347 - قبول بيانات اعتماد PIV | يدوي، معطل | 1.1.0 |
قبول بيانات اعتماد الجهات الخارجية
المعرف: FedRAMP High IA-8 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| قبول بيانات اعتماد الجهات الخارجية المعتمدة من FICAM فقط | CMA_C1348 - قبول بيانات اعتماد الجهات الخارجية المعتمدة من FICAM فقط | يدوي، معطل | 1.1.0 |
استخدام المنتجات المعتمدة من Ficam
المعرف: FedRAMP High IA-8 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استخدام الموارد المعتمدة من FICAM لقبول بيانات اعتماد الجهات الخارجية | CMA_C1349 - توظيف الموارد المعتمدة من FICAM لقبول بيانات اعتماد الجهات الخارجية | يدوي، معطل | 1.1.0 |
استخدام ملفات التعريف الصادرة من Ficam
المعرف: FedRAMP High IA-8 (4) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التطابق مع ملفات التعريف الصادرة من FICAM | CMA_C1350 - التوافق مع ملفات التعريف الصادرة عن FICAM | يدوي، معطل | 1.1.0 |
الاستجابة للحوادث
إجراءات الاستجابة للحوادث ونَهجه
المعرف: FedRAMP High IR-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة إجراءات الاستجابة للحوادث ونُهجها وتحديثهما | CMA_C1352 - مراجعة وتحديث سياسات وإجراءات الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
التدريب على الاستجابة للحوادث
المعرف: FedRAMP High IR-2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توفير تدريب على تسرب المعلومات | CMA_0413 - توفير التدريب على تسرب المعلومات | يدوي، معطل | 1.1.0 |
أحداث محاكاة
المعرف: FedRAMP High IR-2 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| دمج أحداث محاكاة في التدريب على الاستجابة للحوادث | CMA_C1356 - دمج الأحداث المحاكاة في التدريب على الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
بيئات التدريب الآلي
المعرف: FedRAMP High IR-2 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استخدام بيئات التدريب الآلي | CMA_C1357 - توظيف بيئة التدريب الآلي | يدوي، معطل | 1.1.0 |
اختبار الاستجابة للحوادث
المعرف: FedRAMP High IR-3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ اختبار الاستجابة للحوادث | CMA_0060 - إجراء اختبار الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| إنشاء برنامج أمان المعلومات | CMA_0263 - إنشاء برنامج أمن المعلومات | يدوي، معطل | 1.1.0 |
| تشغيل هجمات المحاكاة | CMA_0486 - تشغيل هجمات المحاكاة | يدوي، معطل | 1.1.0 |
التنسيق مع الخطط ذات الصلة
المعرف: FedRAMP High IR-3 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ اختبار الاستجابة للحوادث | CMA_0060 - إجراء اختبار الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| إنشاء برنامج أمان المعلومات | CMA_0263 - إنشاء برنامج أمن المعلومات | يدوي، معطل | 1.1.0 |
| تشغيل هجمات المحاكاة | CMA_0486 - تشغيل هجمات المحاكاة | يدوي، معطل | 1.1.0 |
معالجة الحوادث
ID: FedRAMP High IR-4 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تقييم أحداث أمان المعلومات | CMA_0013 - تقييم أحداث أمان المعلومات | يدوي، معطل | 1.1.0 |
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| تنسيق خطط مواجهة المخاطر مع الخطط ذات الصلة | CMA_0086 - تنسيق خطط الطوارئ مع الخطط ذات الصلة | يدوي، معطل | 1.1.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تطوير الضمانات الأمنية | CMA_0161 - تطوير الضمانات الأمنية | يدوي، معطل | 1.1.0 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.1.0 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.1.0 |
| تمكين حماية الشبكة | CMA_0238 - تمكين حماية الشبكة | يدوي، معطل | 1.1.0 |
| مَحَو المعلومات التالفة | CMA_0253 - القضاء على المعلومات الملوثة | يدوي، معطل | 1.1.0 |
| تنفيذ الإجراءات استجابة لتسرب المعلومات | CMA_0281 - تنفيذ الإجراءات استجابة لتسرب المعلومات | يدوي، معطل | 1.1.0 |
| تنفيذ معالجة الحوادث | CMA_0318 - تنفيذ معالجة الحوادث | يدوي، معطل | 1.1.0 |
| الحفاظ على خطة الاستجابة للحوادث | CMA_0352 - الحفاظ على خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
| عرض المستخدمين المقيدين والتحقق منهم | CMA_0545 - عرض المستخدمين المقيدين والتحقيق فيهم | يدوي، معطل | 1.1.0 |
عمليات معالجة الحوادث التلقائية
المعرف: FedRAMP High IR-4 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تمكين حماية الشبكة | CMA_0238 - تمكين حماية الشبكة | يدوي، معطل | 1.1.0 |
| تنفيذ معالجة الحوادث | CMA_0318 - تنفيذ معالجة الحوادث | يدوي، معطل | 1.1.0 |
إعادة التكوين الديناميكي
المعرف: FedRAMP High IR-4 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تضمين إعادة التكوين الديناميكي للموارد التي يُوزعها العملاء | CMA_C1364 - تضمين إعادة تكوين ديناميكية للموارد المنشورة من قبل العملاء | يدوي، معطل | 1.1.0 |
استمرارية العمليات
المعرف: FedRAMP High IR-4 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد فئات الحوادث والإجراءات المتخذة | CMA_C1365 - تحديد فئات الحوادث والإجراءات المتخذة | يدوي، معطل | 1.1.0 |
ارتباط المعلومات
المعرف: FedRAMP High IR-4 (4) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ معالجة الحوادث | CMA_0318 - تنفيذ معالجة الحوادث | يدوي، معطل | 1.1.0 |
التهديدات الداخلية - قدرات محددة
المعرف: FedRAMP High IR-4 (6) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ إمكانية معالجة الحوادث | CMA_C1367 - تنفيذ إمكانية معالجة الحوادث | يدوي، معطل | 1.1.0 |
الارتباط مع المؤسسات الخارجية
المعرف: FedRAMP High IR-4 (8) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التنسيق مع المؤسسات الخارجية لتحقيق منظور مشترك بين المؤسسات | CMA_C1368 - التنسيق مع المؤسسات الخارجية لتحقيق منظور المؤسسة المشتركة | يدوي، معطل | 1.1.0 |
مراقبة الحوادث
ID: FedRAMP High IR-5 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 1.1.0 |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان. | AuditIfNotExists، معطل | 2.1.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center. | AuditIfNotExists، معطل | 1.0.1 |
الإبلاغ الآلي
المعرف: FedRAMP High IR-6 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| عمليات أمان المستند | CMA_0202 - عمليات أمان المستندات | يدوي، معطل | 1.1.0 |
المساعدة في الاستجابة للحوادث
المعرف: FedRAMP High IR-7 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| عمليات أمان المستند | CMA_0202 - عمليات أمان المستندات | يدوي، معطل | 1.1.0 |
دعم التشغيل التلقائي لتوفر المعلومات / الدعم
المعرف: FedRAMP High IR-7 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تمكين حماية الشبكة | CMA_0238 - تمكين حماية الشبكة | يدوي، معطل | 1.1.0 |
| مَحَو المعلومات التالفة | CMA_0253 - القضاء على المعلومات الملوثة | يدوي، معطل | 1.1.0 |
| تنفيذ الإجراءات استجابة لتسرب المعلومات | CMA_0281 - تنفيذ الإجراءات استجابة لتسرب المعلومات | يدوي، معطل | 1.1.0 |
| تنفيذ معالجة الحوادث | CMA_0318 - تنفيذ معالجة الحوادث | يدوي، معطل | 1.1.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| عرض المستخدمين المقيدين والتحقق منهم | CMA_0545 - عرض المستخدمين المقيدين والتحقيق فيهم | يدوي، معطل | 1.1.0 |
التنسيق مع مقدمي الخدمات الخارجيين
المعرف: FedRAMP High IR-7 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء علاقة بين القدرة على الاستجابة للحوادث ومقدمي الخدمات الخارجيين | CMA_C1376 - إنشاء علاقة بين قدرة الاستجابة للحوادث ومقدمي الخدمات الخارجيين | يدوي، معطل | 1.1.0 |
| تحديد أفراد الاستجابة للحوادث | CMA_0301 - تحديد موظفي الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
خطة الاستجابة للحوادث
المعرف: FedRAMP High IR-8 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تقييم أحداث أمان المعلومات | CMA_0013 - تقييم أحداث أمان المعلومات | يدوي، معطل | 1.1.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تنفيذ معالجة الحوادث | CMA_0318 - تنفيذ معالجة الحوادث | يدوي، معطل | 1.1.0 |
| الاحتفاظ بسجلات خرق البيانات | CMA_0351 - الاحتفاظ بسجلات خرق البيانات | يدوي، معطل | 1.1.0 |
| الحفاظ على خطة الاستجابة للحوادث | CMA_0352 - الحفاظ على خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| حماية خطة الاستجابة للحوادث | CMA_0405 - حماية خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
الاستجابة لتسرب المعلومات
المعرف: FedRAMP High IR-9 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| مَحَو المعلومات التالفة | CMA_0253 - القضاء على المعلومات الملوثة | يدوي، معطل | 1.1.0 |
| تنفيذ الإجراءات استجابة لتسرب المعلومات | CMA_0281 - تنفيذ الإجراءات استجابة لتسرب المعلومات | يدوي، معطل | 1.1.0 |
| تحديد الأنظمة التالفة والمكونات | CMA_0300 - تحديد الأنظمة والمكونات الملوثة | يدوي، معطل | 1.1.0 |
| تحديد المعلومات التي تسربَت | CMA_0303 - تحديد المعلومات المتسربة | يدوي، معطل | 1.1.0 |
| عزل تَسرُب المعلومات | CMA_0346 - عزل تسرب المعلومات | يدوي، معطل | 1.1.0 |
الموظفون المسؤولون
المعرف: FedRAMP High IR-9 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد أفراد الاستجابة للحوادث | CMA_0301 - تحديد موظفي الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
التدريب
المعرف: FedRAMP High IR-9 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توفير تدريب على تسرب المعلومات | CMA_0413 - توفير التدريب على تسرب المعلومات | يدوي، معطل | 1.1.0 |
عمليات ما بعد التسرُب
المعرف: FedRAMP High IR-9 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تطوير إجراءات الاستجابة للتسرب | CMA_0162 - تطوير إجراءات الاستجابة للتسرب | يدوي، معطل | 1.1.0 |
التعرض للموظفين غير المصرح لهم
المعرف: FedRAMP High IR-9 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تطوير الضمانات الأمنية | CMA_0161 - تطوير الضمانات الأمنية | يدوي، معطل | 1.1.0 |
صيانة
إجراءات صيانة النظام ونَهجه
المعرف: FedRAMP High MA-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة إجراءات الاستجابة للحوادث ونُهجها وتحديثهما | CMA_C1395 - مراجعة وتحديث سياسات وإجراءات صيانة النظام | يدوي، معطل | 1.1.0 |
الصيانة الخاضعة للرقابة
المعرف: FedRAMP High MA-2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراقبة أنشطة الصيانة والإصلاح | CMA_0080 - التحكم في أنشطة الصيانة والإصلاح | يدوي، معطل | 1.1.0 |
| استخدام آلية تعقيم الوسائط | CMA_0208 - توظيف آلية تعقيم إعلامية | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| إدارة أنشطة التشخيص والصيانة غير المحلية | CMA_0364 - إدارة الصيانة غير المحلية وأنشطة التشخيص | يدوي، معطل | 1.1.0 |
أنشطة الصيانة الآلية
المعرف: FedRAMP High MA-2 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| أتمتة أنشطة الصيانة عن بعد | CMA_C1402 - أتمتة أنشطة الصيانة عن بعد | يدوي، معطل | 1.1.0 |
| إنشاء سجلات كاملة لأنشطة الصيانة عن بعد | CMA_C1403 - إنتاج سجلات كاملة لأنشطة الصيانة عن بعد | يدوي، معطل | 1.1.0 |
أدوات الصيانة
المعرف: FedRAMP High MA-3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراقبة أنشطة الصيانة والإصلاح | CMA_0080 - التحكم في أنشطة الصيانة والإصلاح | يدوي، معطل | 1.1.0 |
| إدارة أنشطة التشخيص والصيانة غير المحلية | CMA_0364 - إدارة الصيانة غير المحلية وأنشطة التشخيص | يدوي، معطل | 1.1.0 |
أدوات الفحص
المعرف: FedRAMP High MA-3 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراقبة أنشطة الصيانة والإصلاح | CMA_0080 - التحكم في أنشطة الصيانة والإصلاح | يدوي، معطل | 1.1.0 |
| إدارة أنشطة التشخيص والصيانة غير المحلية | CMA_0364 - إدارة الصيانة غير المحلية وأنشطة التشخيص | يدوي، معطل | 1.1.0 |
فحص الوسائط
المعرف: FedRAMP High MA-3 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراقبة أنشطة الصيانة والإصلاح | CMA_0080 - التحكم في أنشطة الصيانة والإصلاح | يدوي، معطل | 1.1.0 |
| إدارة أنشطة التشخيص والصيانة غير المحلية | CMA_0364 - إدارة الصيانة غير المحلية وأنشطة التشخيص | يدوي، معطل | 1.1.0 |
منع الإزالة غير المصرح بها
المعرف: FedRAMP High MA-3 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراقبة أنشطة الصيانة والإصلاح | CMA_0080 - التحكم في أنشطة الصيانة والإصلاح | يدوي، معطل | 1.1.0 |
| استخدام آلية تعقيم الوسائط | CMA_0208 - توظيف آلية تعقيم إعلامية | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| إدارة أنشطة التشخيص والصيانة غير المحلية | CMA_0364 - إدارة الصيانة غير المحلية وأنشطة التشخيص | يدوي، معطل | 1.1.0 |
الصيانة غير المحلية
المعرف: FedRAMP High MA-4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إدارة أنشطة التشخيص والصيانة غير المحلية | CMA_0364 - إدارة الصيانة غير المحلية وأنشطة التشخيص | يدوي، معطل | 1.1.0 |
توثيق الصيانة غير المحلية
المعرف: FedRAMP High MA-4 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إدارة أنشطة التشخيص والصيانة غير المحلية | CMA_0364 - إدارة الصيانة غير المحلية وأنشطة التشخيص | يدوي، معطل | 1.1.0 |
عمليات الأمان / التعقيم المماثلة
المعرف: FedRAMP High MA-4 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء جميع عمليات الصيانة غير المحلية | CMA_C1417 - إجراء جميع الصيانة غير المحلية | يدوي، معطل | 1.1.0 |
حماية التشفير
المعرف: FedRAMP High MA-4 (6) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ آليات التشفير | CMA_C1419 - تنفيذ آليات التشفير | يدوي، معطل | 1.1.0 |
موظفو الصيانة
المعرف: FedRAMP High MA-5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعيين موظفين للإشراف على أنشطة الصيانة غير المصرح بها | CMA_C1422 - تعيين موظفين للإشراف على أنشطة الصيانة غير المصرح بها | يدوي، معطل | 1.1.0 |
| الاحتفاظ بقائمة موظفي الصيانة عن بعد المعتمدين | CMA_C1420 - الاحتفاظ بقائمة موظفي الصيانة عن بعد المعتمدين | يدوي، معطل | 1.1.0 |
| إدارة موظفي الصيانة | CMA_C1421 - إدارة موظفي الصيانة | يدوي، معطل | 1.1.0 |
الأفراد الذين لا يتمتعون بإمكانية الوصول المناسبة
المعرف: FedRAMP High MA-5 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استخدام آلية تعقيم الوسائط | CMA_0208 - توظيف آلية تعقيم إعلامية | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
الصيانة في الوقت المناسب
المعرف: FedRAMP High MA-6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توفير دعم الصيانة في الوقت المناسب | CMA_C1425 - توفير دعم الصيانة في الوقت المناسب | يدوي، معطل | 1.1.0 |
حماية الوسائط
إجراءات حماية الوسائط ونُهجها
المعرف: FedRAMP High MP-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة إجراءات حماية الوسائط ونُهجها وتحديثهما | CMA_C1427 - مراجعة وتحديث نهج وإجراءات حماية الوسائط | يدوي، معطل | 1.1.0 |
الوصول إلى الوسائط
المعرف: FedRAMP High MP-2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
تمييز الوسائط
المعرف: FedRAMP High MP-3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
تخزين الوسائط
المعرف: FedRAMP High MP-4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استخدام آلية تعقيم الوسائط | CMA_0208 - توظيف آلية تعقيم إعلامية | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
نقل الوسائط
المعرف: FedRAMP High MP-5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| إدارة نقل الأصول | CMA_0370 - إدارة نقل الأصول | يدوي، معطل | 1.1.0 |
حماية التشفير
المعرف: FedRAMP High MP-5 (4) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| إدارة نقل الأصول | CMA_0370 - إدارة نقل الأصول | يدوي، معطل | 1.1.0 |
تعقيم الوسائط
المعرف: FedRAMP High MP-6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استخدام آلية تعقيم الوسائط | CMA_0208 - توظيف آلية تعقيم إعلامية | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
مراجعة / موافقة / تعقب / توثيق / تحقق
المعرف: FedRAMP High MP-6 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استخدام آلية تعقيم الوسائط | CMA_0208 - توظيف آلية تعقيم إعلامية | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
اختبار المعدات
المعرف: FedRAMP High MP-6 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استخدام آلية تعقيم الوسائط | CMA_0208 - توظيف آلية تعقيم إعلامية | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
استخدام الوسائط
المعرف: FedRAMP High MP-7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| التحكم في استخدام أجهزة التخزين المحمولة | CMA_0083 - التحكم في استخدام أجهزة التخزين المحمولة | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| تقييد استخدام الوسائط | CMA_0450 - تقييد استخدام الوسائط | يدوي، معطل | 1.1.0 |
حظر الاستخدام بدون مالك
المعرف: FedRAMP High MP-7 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| التحكم في استخدام أجهزة التخزين المحمولة | CMA_0083 - التحكم في استخدام أجهزة التخزين المحمولة | يدوي، معطل | 1.1.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| تقييد استخدام الوسائط | CMA_0450 - تقييد استخدام الوسائط | يدوي، معطل | 1.1.0 |
الحماية المادية والبيئية
إجراءات الحماية المادية والبيئية ونَهجهما
المعرف: FedRAMP High PE-1 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة الإجراءات المادية والبيئية ونُهجهما وتحديثهما | CMA_C1446 - مراجعة وتحديث السياسات والإجراءات المادية والبيئية | يدوي، معطل | 1.1.0 |
أذونات الوصول الفعلي
المعرف: FedRAMP High PE-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في الوصول الفعلي | CMA_0081 - التحكم في الوصول الفعلي | يدوي، معطل | 1.1.0 |
التحكم في الوصول الفعلي
المعرف: FedRAMP High PE-3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في الوصول الفعلي | CMA_0081 - التحكم في الوصول الفعلي | يدوي، معطل | 1.1.0 |
| تعريف عملية إدارة المفاتيح الفعلية | CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية | يدوي، معطل | 1.1.0 |
| إنشاء مخزون الأصول والحفاظ عليه | CMA_0266 - إنشاء مخزون الأصول وصيانته | يدوي، معطل | 1.1.0 |
| تنفيذ الأمان الفعلي للمكاتب ومناطق العمل والمناطق الآمنة | CMA_0323 - تنفيذ الأمن المادي للمكاتب ومناطق العمل والمناطق الآمنة | يدوي، معطل | 1.1.0 |
التحكم في الوصول إلى وسيط الإرسال
المعرف: FedRAMP High PE-4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في الوصول الفعلي | CMA_0081 - التحكم في الوصول الفعلي | يدوي، معطل | 1.1.0 |
| تنفيذ الأمان الفعلي للمكاتب ومناطق العمل والمناطق الآمنة | CMA_0323 - تنفيذ الأمن المادي للمكاتب ومناطق العمل والمناطق الآمنة | يدوي، معطل | 1.1.0 |
التحكم في الوصول لأجهزة الإخراج
المعرف: FedRAMP High PE-5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في الوصول الفعلي | CMA_0081 - التحكم في الوصول الفعلي | يدوي، معطل | 1.1.0 |
| تنفيذ الأمان الفعلي للمكاتب ومناطق العمل والمناطق الآمنة | CMA_0323 - تنفيذ الأمن المادي للمكاتب ومناطق العمل والمناطق الآمنة | يدوي، معطل | 1.1.0 |
| إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | CMA_0369 - إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | يدوي، معطل | 1.1.0 |
أجهزة إنذار التطفل / معدات المراقبة
المعرف: FedRAMP High PE-6 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تثبيت نظام إنذار | CMA_0338 - تثبيت نظام إنذار | يدوي، معطل | 1.1.0 |
| إدارة نظام كاميرا مراقبة آمن | CMA_0354 - إدارة نظام كاميرا مراقبة آمن | يدوي، معطل | 1.1.0 |
سجلات وصول الزوار
المعرف: FedRAMP High PE-8 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في الوصول الفعلي | CMA_0081 - التحكم في الوصول الفعلي | يدوي، معطل | 1.1.0 |
| تنفيذ الأمان الفعلي للمكاتب ومناطق العمل والمناطق الآمنة | CMA_0323 - تنفيذ الأمن المادي للمكاتب ومناطق العمل والمناطق الآمنة | يدوي، معطل | 1.1.0 |
إضاءة الطوارئ
المعرف: FedRAMP High PE-12 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استخدام الإضاءة التلقائية في حالات الطوارئ | CMA_0209 - استخدام إضاءة الطوارئ التلقائية | يدوي، معطل | 1.1.0 |
الحماية من الحريق
المعرف: FedRAMP High PE-13 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ الأمان الفعلي للمكاتب ومناطق العمل والمناطق الآمنة | CMA_0323 - تنفيذ الأمن المادي للمكاتب ومناطق العمل والمناطق الآمنة | يدوي، معطل | 1.1.0 |
أجهزة / أنظمة الكشف
المعرف: FedRAMP High PE-13 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ منهجية اختبار الاختراق | CMA_0306 - تنفيذ منهجية اختبار الاختراق | يدوي، معطل | 1.1.0 |
| تنفيذ الأمان الفعلي للمكاتب ومناطق العمل والمناطق الآمنة | CMA_0323 - تنفيذ الأمن المادي للمكاتب ومناطق العمل والمناطق الآمنة | يدوي، معطل | 1.1.0 |
| تشغيل هجمات المحاكاة | CMA_0486 - تشغيل هجمات المحاكاة | يدوي، معطل | 1.1.0 |
أجهزة / أنظمة المنع
المعرف: FedRAMP High PE-13 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ الأمان الفعلي للمكاتب ومناطق العمل والمناطق الآمنة | CMA_0323 - تنفيذ الأمن المادي للمكاتب ومناطق العمل والمناطق الآمنة | يدوي، معطل | 1.1.0 |
أنظمة إخماد الحرائق الآلية
المعرف: FedRAMP High PE-13 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ الأمان الفعلي للمكاتب ومناطق العمل والمناطق الآمنة | CMA_0323 - تنفيذ الأمن المادي للمكاتب ومناطق العمل والمناطق الآمنة | يدوي، معطل | 1.1.0 |
عناصر التحكم في درجة الحرارة والرطوبة
المعرف: FedRAMP High PE-14 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ الأمان الفعلي للمكاتب ومناطق العمل والمناطق الآمنة | CMA_0323 - تنفيذ الأمن المادي للمكاتب ومناطق العمل والمناطق الآمنة | يدوي، معطل | 1.1.0 |
المراقبة باستخدام أجهزة الإنذار / الإعلامات
المعرف: FedRAMP High PE-14 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ الأمان الفعلي للمكاتب ومناطق العمل والمناطق الآمنة | CMA_0323 - تنفيذ الأمن المادي للمكاتب ومناطق العمل والمناطق الآمنة | يدوي، معطل | 1.1.0 |
| تثبيت نظام إنذار | CMA_0338 - تثبيت نظام إنذار | يدوي، معطل | 1.1.0 |
الحماية من أضرار المياه
المعرف: FedRAMP High PE-15 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ الأمان الفعلي للمكاتب ومناطق العمل والمناطق الآمنة | CMA_0323 - تنفيذ الأمن المادي للمكاتب ومناطق العمل والمناطق الآمنة | يدوي، معطل | 1.1.0 |
التسليم والإزالة
المعرف: FedRAMP High PE-16 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد متطلبات إدارة الأصول | CMA_0125 - تحديد متطلبات إدارة الأصول | يدوي، معطل | 1.1.0 |
| إدارة نقل الأصول | CMA_0370 - إدارة نقل الأصول | يدوي، معطل | 1.1.0 |
موقع عمل بديل
المعرف: FedRAMP High PE-17 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة | CMA_0315 - تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة | يدوي، معطل | 1.1.0 |
موقع مكونات نظام المعلومات
المعرف: FedRAMP High PE-18 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ الأمان الفعلي للمكاتب ومناطق العمل والمناطق الآمنة | CMA_0323 - تنفيذ الأمن المادي للمكاتب ومناطق العمل والمناطق الآمنة | يدوي، معطل | 1.1.0 |
التخطيط
إجراءات التخطيط الأمني ونهجه
المعرف: FedRAMP High PL-1 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة إجراءات التخطيط ونُهجه وتحديثهما | CMA_C1491 - مراجعة وتحديث سياسات وإجراءات التخطيط | يدوي، معطل | 1.1.0 |
خطة أمان النظام
المعرف: FedRAMP High PL-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| وضع خطة أمان النظام وتطويرها | CMA_0151 - تطوير ووضع خطة أمان النظام | يدوي، معطل | 1.1.0 |
| تطوير إجراءات أمان المعلومات ونُهجه | CMA_0158 - تطوير سياسات وإجراءات أمن المعلومات | يدوي، معطل | 1.1.0 |
| تطوير SSP يلبي المعايير | CMA_C1492 - تطوير موفر الخدمات المشتركة (SSP) الذي يلبي المعايير | يدوي، معطل | 1.1.0 |
| إنشاء برنامج خصوصية | CMA_0257 - إنشاء برنامج خصوصية | يدوي، معطل | 1.1.0 |
| تحديد متطلبات الأمان لتصنيع الأجهزة المتصلة | CMA_0279 - تحديد متطلبات الأمان لتصنيع الأجهزة المتصلة | يدوي، معطل | 1.1.0 |
| تنفيذ مبادئ هندسة الأمان لأنظمة المعلومات | CMA_0325 - تنفيذ مبادئ هندسة الأمان لأنظمة المعلومات | يدوي، معطل | 1.1.0 |
التخطيط / التنسيق مع الكيانات التنظيمية الأخرى
المعرف: FedRAMP High PL-2 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| وضع خطة أمان النظام وتطويرها | CMA_0151 - تطوير ووضع خطة أمان النظام | يدوي، معطل | 1.1.0 |
| تحديد متطلبات الأمان لتصنيع الأجهزة المتصلة | CMA_0279 - تحديد متطلبات الأمان لتصنيع الأجهزة المتصلة | يدوي، معطل | 1.1.0 |
| تنفيذ مبادئ هندسة الأمان لأنظمة المعلومات | CMA_0325 - تنفيذ مبادئ هندسة الأمان لأنظمة المعلومات | يدوي، معطل | 1.1.0 |
قواعد السلوك
المعرف: FedRAMP High PL-4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تطوير إجراءات الاستخدام المقبول والنُهج | CMA_0143 - تطوير سياسات وإجراءات الاستخدام المقبولة | يدوي، معطل | 1.1.0 |
| تطوير سياسة قواعد السلوك للمؤسسة | CMA_0159 - تطوير سياسة قواعد السلوك التنظيمية | يدوي، معطل | 1.1.0 |
| توثيق قبول الموظفين لمتطلبات الخصوصية | CMA_0193 - قبول موظفي المستندات لمتطلبات الخصوصية | يدوي، معطل | 1.1.0 |
| فرض قواعد السلوك واتفاقيات الوصول | CMA_0248 - فرض قواعد السلوك واتفاقيات الوصول | يدوي، معطل | 1.1.0 |
| حظر الممارسات غير العادلة | CMA_0396 - حظر الممارسات غير العادلة | يدوي، معطل | 1.1.0 |
| مراجعة قواعد السلوك المُنَقّحة وتوقيعها | CMA_0465 - مراجعة قواعد السلوك المنقحة وتوقيعها | يدوي، معطل | 1.1.0 |
| تحديث نُهج أمان المعلومات | CMA_0518 - تحديث نهج أمان المعلومات | يدوي، معطل | 1.1.0 |
| تحديث قواعد السلوك واتفاقيات الوصول | CMA_0521 - تحديث قواعد السلوك واتفاقيات الوصول | يدوي، معطل | 1.1.0 |
| تحديث قواعد السلوك واتفاقيات الوصول كل 3 سنوات | CMA_0522 - تحديث قواعد السلوك واتفاقيات الوصول كل 3 سنوات | يدوي، معطل | 1.1.0 |
قيود وسائل التواصل الاجتماعي والشبكات
المعرف: FedRAMP High PL-4 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تطوير إجراءات الاستخدام المقبول والنُهج | CMA_0143 - تطوير سياسات وإجراءات الاستخدام المقبولة | يدوي، معطل | 1.1.0 |
هندسة أمن المعلومات
المعرف: FedRAMP High PL-8 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تطوير مفهوم العمليات (CONOPS) | CMA_0141 - تطوير مفهوم العمليات (CONOPS) | يدوي، معطل | 1.1.0 |
| مراجعة هندسة أمان المعلومات وتحديثها | CMA_C1504 - مراجعة وتحديث بنية أمان المعلومات | يدوي، معطل | 1.1.0 |
أمن الموظفين
إجراءات أمن الموظفين ونُهجهم
المعرف: FedRAMP High PS-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة إجراءات أمن الموظفين ونُهجها وتحديثهما | CMA_C1507 - مراجعة وتحديث سياسات وإجراءات أمن الموظفين | يدوي، معطل | 1.1.0 |
تحديد مخاطر الموقف
المعرف: FedRAMP High PS-2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعيين عمليات تحديد المخاطر | CMA_0016 - تعيين تعيينات المخاطر | يدوي، معطل | 1.1.0 |
فحص الموظفين
المعرف: FedRAMP High PS-3 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مسح الموظفين الذين يتمتعون بإمكانية الوصول إلى المعلومات السرية | CMA_0054 - مسح الموظفين الذين يتمتعون بإمكانية الوصول إلى المعلومات السرية | يدوي، معطل | 1.1.0 |
| تنفيذ فحص الموظفين | CMA_0322 - تنفيذ فحص الموظفين | يدوي، معطل | 1.1.0 |
| إعادة فحص الأفراد بوتيرة محددة | CMA_C1512 - إعادة فحص الأفراد بتردد محدد | يدوي، معطل | 1.1.0 |
المعلومات باستخدام تدابير الحماية الخاصة
المعرف: FedRAMP High PS-3 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
إنهاء خدمة الموظفين
المعرف: FedRAMP High PS-4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء مقابلة إنهاء الخدمة | CMA_0058 - إجراء مقابلة إنهاء عند الإنهاء | يدوي، معطل | 1.1.0 |
| تعطيل المصدقين عند الإنهاء | CMA_0169 - تعطيل المصدقين عند الإنهاء | يدوي، معطل | 1.1.0 |
| الإعلام عند النقل أو الفصل | CMA_0381 - الإعلام عند الإنهاء أو النقل | يدوي، معطل | 1.1.0 |
| منع الموظفين المُغادرين من سرقة البيانات وحمايتها | CMA_0398 - الحماية من سرقة البيانات ومنعها من الموظفين المغادرين | يدوي، معطل | 1.1.0 |
| الاحتفاظ ببيانات المستخدم التي تم إنهاؤها | CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية | يدوي، معطل | 1.1.0 |
إعلام تلقائي
المعرف: FedRAMP High PS-4 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| أتمتة الإعلام بفصل الموظف | CMA_C1521 - أتمتة الإعلام بإنهاء خدمة الموظف | يدوي، معطل | 1.1.0 |
نقل الموظفين
المعرف: FedRAMP High PS-5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| بدء إجراءات النقل أو إعادة التعيين | CMA_0333 - بدء إجراءات النقل أو إعادة التعيين | يدوي، معطل | 1.1.0 |
| تعديل أذونات الوصول عند نقل الموظفين | CMA_0374 - تعديل أذونات الوصول عند نقل الموظفين | يدوي، معطل | 1.1.0 |
| الإعلام عند النقل أو الفصل | CMA_0381 - الإعلام عند الإنهاء أو النقل | يدوي، معطل | 1.1.0 |
| إعادة تقييم الوصول عند نقل الموظفين | CMA_0424 - إعادة تقييم الوصول عند نقل الموظفين | يدوي، معطل | 1.1.0 |
اتفاقيات الوصول
المعرف: FedRAMP High PS-6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توثيق اتفاقيات الوصول التنظيمية | CMA_0192 - توثيق اتفاقيات الوصول التنظيمي | يدوي، معطل | 1.1.0 |
| فرض قواعد السلوك واتفاقيات الوصول | CMA_0248 - فرض قواعد السلوك واتفاقيات الوصول | يدوي، معطل | 1.1.0 |
| ضمان توقيع اتفاقيات الوصول أو تسجيلها في الوقت المناسب | CMA_C1528 - ضمان توقيع اتفاقيات الوصول أو الاستقالة في الوقت المناسب | يدوي، معطل | 1.1.0 |
| مطالبة المستخدمين بتوقيع اتفاقية الوصول | CMA_0440 - مطالبة المستخدمين بتوقيع اتفاقية الوصول | يدوي، معطل | 1.1.0 |
| تحديث اتفاقيات الوصول التنظيمية | CMA_0520 - تحديث اتفاقيات الوصول التنظيمية | يدوي، معطل | 1.1.0 |
أمن الموظفين التابعين لجهة خارجية
المعرف: FedRAMP High PS-7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توثيق متطلبات أمن الموظفين التابعين لجهة خارجية | CMA_C1531 - توثيق متطلبات أمان الموظفين التابعين لجهة خارجية | يدوي، معطل | 1.1.0 |
| تحديد متطلبات أمان الموظفين التابعين لجهة خارجية | CMA_C1529 - تحديد متطلبات أمان الموظفين التابعين لجهة خارجية | يدوي، معطل | 1.1.0 |
| مراقبة توافق الموفر التابع لجهة خارجية | CMA_C1533 - مراقبة توافق موفري الجهات الخارجية | يدوي، معطل | 1.1.0 |
| طلب إعلام بنقل الموظفين التابعين لجهة خارجية أو فصلهم | CMA_C1532 - المطالبة بالإخطار بنقل أو إنهاء خدمة موظفي الجهات الخارجية | يدوي، معطل | 1.1.0 |
| مطالبة الموفرين التابعين لجهات لخارجية بالامتثال لإجراءات أمن الموظفين والنُهج | CMA_C1530 - مطالبة موفري الجهات الخارجية بالامتثال لسياسات وإجراءات أمن الموظفين | يدوي، معطل | 1.1.0 |
الجزاءات المفروضة على الموظفين
المعرف: FedRAMP High PS-8 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ عملية الجزاءات الرسمية | CMA_0317 - تنفيذ عملية الجزاءات الرسمية | يدوي، معطل | 1.1.0 |
| إعلام الموظفين بالجزاءات | CMA_0380 - إخطار الموظفين عند العقوبات | يدوي، معطل | 1.1.0 |
تقييم المخاطر
إجراءات تقييم المخاطر ونُهجه
المعرف: FedRAMP High RA-1 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة إجراءات تقييم المخاطر ونُهجه وتحديثهما | CMA_C1537 - مراجعة وتحديث سياسات وإجراءات تقييم المخاطر | يدوي، معطل | 1.1.0 |
تصنيف الأمان
المعرف: FedRAMP High RA-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تصنيف المعلومات | CMA_0052 - تصنيف المعلومات | يدوي، معطل | 1.1.0 |
| تطوير مخططات تصنيف الأعمال | CMA_0155 - تطوير أنظمة تصنيف الأعمال | يدوي، معطل | 1.1.0 |
| ضمان الموافقة على تصنيف الأمان | CMA_C1540 - تأكد من الموافقة على تصنيف الأمان | يدوي، معطل | 1.1.0 |
| مراجعة نشاط التسمية والتحليلات | CMA_0474 - مراجعة نشاط التسمية والتحليلات | يدوي، معطل | 1.1.0 |
تقييم المخاطر
المعرف: FedRAMP High RA-3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء تقييم المخاطر | CMA_C1543 - إجراء تقييم للمخاطر | يدوي، معطل | 1.1.0 |
| إجراء تقييم للمخاطر وتوزيع نتائجه | CMA_C1544 - إجراء تقييم للمخاطر وتوزيع نتائجها | يدوي، معطل | 1.1.0 |
| إجراء تقييم للمخاطر وتوثيق نتائجه | CMA_C1542 - إجراء تقييم للمخاطر وتوثيق نتائجها | يدوي، معطل | 1.1.0 |
| إجراء تقييم المخاطر | CMA_0388 - إجراء تقييم للمخاطر | يدوي، معطل | 1.1.0 |
تحديد الثغرات الأمنية
ID: FedRAMP High RA-5 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
| ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية | رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات. | AuditIfNotExists، معطل | 4.1.0 |
| يجب أن يتم حل نتائج الثغرات الأمنية في خوادم SQL على الأجهزة | يقوم تقييم الثغرات الأمنية في SQL بفحص قاعدة البيانات بحثًا عن أي ثغرات أمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات الزائدة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عُثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب معالجة الثغرات في تكوينات أمان الحاوية | تدقيق الثغرات الأمنية في تكوين الأمان على الأجهزة مع تثبيت Docker وعرضها كتوصيات في مركز أمان Azure. | AuditIfNotExists، معطل | 3.0.0 |
| يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
| يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري | قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار | مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 1.0.1 |
| ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك | تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين تقييم الثغرات الأمنية على مساحات عمل Synapse | اكتشف الثغرات الأمنية المحتملة وتعقبها وصلحها عن طريق تكوين عمليات فحص تقييم الضعف المتكررة SQL على مساحات عمل Synapse. | AuditIfNotExists، معطل | 1.0.0 |
تحديث إمكانية الأداة
المعرف: FedRAMP High RA-5 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
التحديث حسب الوتيرة / قبل الفحص الجديد / عند التحديد
المعرف: FedRAMP High RA-5 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
اتساع / عمق التغطية
المعرف: FedRAMP High RA-5 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
معلومات قابلة للاكتشاف
المعرف: FedRAMP High RA-5 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| اتخاذ إجراء استجابة لمعلومات العملاء | CMA_C1554 - اتخاذ إجراء استجابة لمعلومات العملاء | يدوي، معطل | 1.1.0 |
الوصول المتميز
المعرف: FedRAMP High RA-5 (5) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ الوصول المتميز لتنفيذ أنشطة فحص الثغرات الأمنية | CMA_C1555 - تنفيذ الوصول المتميز لتنفيذ أنشطة فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
تحليلات الاتجاه الآلي
المعرف: FedRAMP High RA-5 (6) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراقبة نقاط الضعف الأمنية والإبلاغ عنها | CMA_0384 - مراقبة نقاط الضعف الأمنية والإبلاغ فيها | يدوي، معطل | 1.1.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| تنفيذ نمذجة المخاطر | CMA_0392 - تنفيذ نمذجة المخاطر | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
مراجعة سجلات التدقيق التاريخية
المعرف: FedRAMP High RA-5 (8) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تدقيق الدوال المميزة | CMA_0019 - تدقيق الوظائف المتميزة | يدوي، معطل | 1.1.0 |
| تدقيق حالة حساب المستخدم | CMA_0020 - تدقيق حالة حساب المستخدم | يدوي، معطل | 1.1.0 |
| ربط سجلات التدقيق | CMA_0087 - ربط سجلات التدقيق | يدوي، معطل | 1.1.0 |
| تحديد الأحداث القابلة للتدقيق | CMA_0137 - تحديد الأحداث القابلة للتدقيق | يدوي، معطل | 1.1.0 |
| تحديد متطلبات مراجعة التدقيق وإعداد التقارير | CMA_0277 - تحديد متطلبات لمراجعة مراجعة الحسابات والإبلاغ عنها | يدوي، معطل | 1.1.0 |
| تكامل مراجعة التدقيق وتحليله وإعداد التقارير عنه | CMA_0339 - دمج مراجعة التدقيق والتحليل وإعداد التقارير | يدوي، معطل | 1.1.0 |
| دمج أمان تطبيق السحابة مع إدارة معلومات الأمان والأحداث | CMA_0340 - دمج أمان تطبيق السحابة مع siem | يدوي، معطل | 1.1.0 |
| مراجعة سجلات توفير الحساب | CMA_0460 - مراجعة سجلات توفير الحساب | يدوي، معطل | 1.1.0 |
| مراجعة مهمات المسؤول أسبوعيًا | CMA_0461 - مراجعة تعيينات المسؤول أسبوعيا | يدوي، معطل | 1.1.0 |
| مراجعة بيانات التدقيق | CMA_0466 - مراجعة بيانات التدقيق | يدوي، معطل | 1.1.0 |
| مراجعة نظرة عامة على تقرير الهوية السحابية | CMA_0468 - مراجعة نظرة عامة على تقرير الهوية السحابية | يدوي، معطل | 1.1.0 |
| مراجعة أحداث الوصول المتحكم به إلى المجلدات | CMA_0471 - مراجعة أحداث الوصول إلى المجلدات التي يتم التحكم فيها | يدوي، معطل | 1.1.0 |
| مراجعة أحداث الحماية من الهجمات | CMA_0472 - مراجعة أحداث الحماية من الهجمات | يدوي، معطل | 1.1.0 |
| مراجعة نشاط الملف والمجلدات | CMA_0473 - مراجعة نشاط الملفات والمجلدات | يدوي، معطل | 1.1.0 |
| مراجعة تغييرات مجموعة الأدوار أسبوعيًا | CMA_0476 - مراجعة تغييرات مجموعة الأدوار أسبوعيا | يدوي، معطل | 1.1.0 |
ربط معلومات المسح
المعرف: FedRAMP High RA-5 (10) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ربط معلومات فحص الثغرات الأمنية | CMA_C1558 - ربط معلومات فحص الثغرات الأمنية | يدوي، معطل | 1.1.1 |
الحصول على النظام والخدمات
إجراءات الحصول على النظام والخدمات ونَهجه
المعرف: FedRAMP High SA-1 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة إجراءات الحصول على النظام والخدمات ونُهجه وتحديثهما | CMA_C1560 - مراجعة وتحديث سياسات وإجراءات اكتساب النظام والخدمات | يدوي، معطل | 1.1.0 |
تخصيص الموارد
المعرف: FedRAMP High SA-2 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مواءمة أهداف الأعمال وأهداف تكنولوجيا المعلومات | CMA_0008 - مواءمة أهداف الأعمال وأهداف تكنولوجيا المعلومات | يدوي، معطل | 1.1.0 |
| تخصيص الموارد لتحديد متطلبات نظام المعلومات | CMA_C1561 - تخصيص الموارد في تحديد متطلبات نظام المعلومات | يدوي، معطل | 1.1.0 |
| إنشاء بند منفصل في وثائق الميزانية | CMA_C1563 - إنشاء بند منفصل في وثائق الموازنة | يدوي، معطل | 1.1.0 |
| إنشاء برنامج خصوصية | CMA_0257 - إنشاء برنامج خصوصية | يدوي، معطل | 1.1.0 |
| التحكم في تخصيص الموارد | CMA_0293 - التحكم في تخصيص الموارد | يدوي، معطل | 1.1.0 |
| ضمان التزام القيادة | CMA_0489 - تأمين الالتزام من القيادة | يدوي، معطل | 1.1.0 |
دورة حياة تطوير النظام
المعرف: FedRAMP High SA-3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد أدوار أمان المعلومات ومسؤولياته | CMA_C1565 - تحديد أدوار ومسؤوليات أمان المعلومات | يدوي، معطل | 1.1.0 |
| تحديد الأفراد الذين لديهم أدوار ومسؤوليات أمنية | CMA_C1566 - تحديد الأفراد ذوي الأدوار والمسؤوليات الأمنية | يدوي، معطل | 1.1.1 |
| دمج عملية إدارة المخاطر في SDLC | CMA_C1567 - دمج عملية إدارة المخاطر في SDLC | يدوي، معطل | 1.1.0 |
عملية الاكتساب
المعرف: FedRAMP High SA-4 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد الالتزامات التعاقدية للمورد | CMA_0140 - تحديد التزامات عقد المورد | يدوي، معطل | 1.1.0 |
| توثيق معايير قبول عقد الاستحواذ | CMA_0187 - معايير قبول عقد الحصول على المستندات | يدوي، معطل | 1.1.0 |
| حماية مستندات البيانات الشخصية في عقود الاستحواذ | CMA_0194 - حماية المستندات للبيانات الشخصية في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| حماية مستندات معلومات الأمان في عقود الاستحواذ | CMA_0195 - حماية المستندات لمعلومات الأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق متطلبات استخدام البيانات المشتركة في العقود | CMA_0197 - متطلبات المستند لاستخدام البيانات المشتركة في العقود | يدوي، معطل | 1.1.0 |
| متطلبات ضمان أمان المستندات في عقود الاستحواذ | CMA_0199 - توثيق متطلبات ضمان الأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| متطلبات توثيق أمان المستندات في عقد الاستحواذ | CMA_0200 - توثيق متطلبات وثائق الأمان في عقد الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق المتطلبات الوظيفية للأمان في عقود الاستحواذ | CMA_0201 - توثيق المتطلبات الوظيفية للأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| متطلبات قوة أمان المستندات في عقود الاستحواذ | CMA_0203 - توثيق متطلبات قوة الأمان في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق بيئة نظام المعلومات في عقود الاستحواذ | CMA_0205 - توثيق بيئة نظام المعلومات في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| توثيق حماية بيانات حامل البطاقة في عقود الجهات الخارجية | CMA_0207 - توثيق حماية بيانات حامل البطاقة في عقود الجهات الخارجية | يدوي، معطل | 1.1.0 |
الخصائص الوظيفية لعناصر التحكم في الأمان
المعرف: FedRAMP High SA-4 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الحصول على الخصائص الوظيفية لعناصر التحكم في الأمان | CMA_C1575 - الحصول على خصائص وظيفية لعناصر التحكم في الأمان | يدوي، معطل | 1.1.0 |
معلومات التصميم / التنفيذ لعناصر التحكم في الأمان
المعرف: FedRAMP High SA-4 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الحصول على معلومات التصميم والتنفيذ لعناصر التحكم في الأمان | CMA_C1576 - الحصول على معلومات التصميم والتنفيذ لعناصر التحكم في الأمان | يدوي، معطل | 1.1.1 |
خطة المراقبة المستمرة
المعرف: FedRAMP High SA-4 (8) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الحصول على خطة مراقبة مستمرة لعناصر التحكم في الأمان | CMA_C1577 - الحصول على خطة مراقبة مستمرة لعناصر التحكم في الأمان | يدوي، معطل | 1.1.0 |
الوظائف / المنافذ / البروتوكولات / الخدمات قيد الاستخدام
المعرف: FedRAMP High SA-4 (9) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مطالبة المطور بتحديد منافذ SDLC والبروتوكولات والخدمات | CMA_C1578 - مطالبة المطور بتحديد منافذ SDLC والبروتوكولات والخدمات | يدوي، معطل | 1.1.0 |
استخدام منتجات PIV المعتمدة
المعرف: FedRAMP High SA-4 (10) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استخدام تقنية معتمدة من FIPS 201 لـ PIV | CMA_C1579 - توظيف تقنية معتمدة من FIPS 201 ل PIV | يدوي، معطل | 1.1.0 |
وثائق نظام المعلومات
المعرف: FedRAMP High SA-5 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توزيع وثائق نظام المعلومات | CMA_C1584 - توزيع وثائق نظام المعلومات | يدوي، معطل | 1.1.0 |
| توثيق الإجراءات التي يُحددها العميل | CMA_C1582 - توثيق الإجراءات المعرفة من قبل العميل | يدوي، معطل | 1.1.0 |
| الحصول على وثائق المسؤول | CMA_C1580 - الحصول على وثائق مسؤول | يدوي، معطل | 1.1.0 |
| الحصول على وثائق وظيفة أمان المستخدم | CMA_C1581 - الحصول على وثائق وظيفة أمان المستخدم | يدوي، معطل | 1.1.0 |
| حماية وثائق المسؤول والمستخدم | CMA_C1583 - حماية وثائق المسؤول والمستخدم | يدوي، معطل | 1.1.0 |
خدمات نظام المعلومات الخارجية
المعرف: FedRAMP High SA-9 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد الرقابة الحكومية وتوثيقها | CMA_C1587 - تحديد وتوثيق الرقابة الحكومية | يدوي، معطل | 1.1.0 |
| مطالبة موفري الخدمات الخارجية بالامتثال لمتطلبات الأمان | CMA_C1586 - مطالبة موفري الخدمات الخارجيين بالامتثال لمتطلبات الأمان | يدوي، معطل | 1.1.0 |
| مراجعة توافق موفر خدمة السحابة مع النُهج والاتفاقيات | CMA_0469 - مراجعة امتثال موفر خدمة السحابة للنهج والاتفاقيات | يدوي، معطل | 1.1.0 |
| الخضوع لمراجعة أمنية مستقلة | CMA_0515 - الخضوع لمراجعة أمنية مستقلة | يدوي، معطل | 1.1.0 |
تقييم المخاطر / الموافقات التنظيمية
المعرف: FedRAMP High SA-9 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تقييم المخاطر في علاقات الجهات الخارجية | CMA_0014 - تقييم المخاطر في علاقات الجهات الخارجية | يدوي، معطل | 1.1.0 |
| الحصول على الموافقات على عمليات الاستحواذ والاستعانة بمصادر خارجية | CMA_C1590 - الحصول على الموافقات على عمليات الاستحواذ والاستعانة بمصادر خارجية | يدوي، معطل | 1.1.0 |
تحديد الوظائف / المنافذ / البروتوكولات / الخدمات
المعرف: FedRAMP High SA-9 (2) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تحديد موفري الخدمات الخارجية | CMA_C1591 - تحديد موفري الخدمات الخارجيين | يدوي، معطل | 1.1.0 |
الاهتمامات الثابتة للمستهلكين والموردين
المعرف: FedRAMP High SA-9 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تأكد من أن مقدمي الخدمات الخارجيين يُلبوا اهتمامات العملاء باستمرار | CMA_C1592 - ضمان تلبية موفري الخدمات الخارجيين لاهتمامات العملاء باستمرار | يدوي، معطل | 1.1.0 |
المعالجة والتخزين وموقع الخدمة
المعرف: FedRAMP High SA-9 (5) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تقييد موقع معالجة المعلومات والتخزين والخدمات | CMA_C1593 - تقييد موقع معالجة المعلومات والتخزين والخدمات | يدوي، معطل | 1.1.0 |
إدارة تكوين المطور
المعرف: FedRAMP High SA-10 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| معالجة الثغرات الأمنية البرمجية | CMA_0003 - معالجة الثغرات الأمنية في الترميز | يدوي، معطل | 1.1.0 |
| وضع متطلبات أمان التطبيقات وتوثيقها | CMA_0148 - تطوير وتوثيق متطلبات أمان التطبيقات | يدوي، معطل | 1.1.0 |
| توثيق بيئة نظام المعلومات في عقود الاستحواذ | CMA_0205 - توثيق بيئة نظام المعلومات في عقود الاستحواذ | يدوي، معطل | 1.1.0 |
| إنشاء برنامج آمن لتطوير البرامج | CMA_0259 - إنشاء برنامج آمن لتطوير البرمجيات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
| مطالبة المطورين بتوثيق التغييرات المعتمدة والتأثير المحتمل | CMA_C1597 - مطالبة المطورين بتوثيق التغييرات المعتمدة والتأثير المحتمل | يدوي، معطل | 1.1.0 |
| مطالبة المطورين بتنفيذ التغييرات المعتمدة فقط | CMA_C1596 - مطالبة المطورين بتنفيذ التغييرات المعتمدة فقط | يدوي، معطل | 1.1.0 |
| مطالبة المطورين بإدارة تكامل التغيير | CMA_C1595 - مطالبة المطورين بإدارة تكامل التغيير | يدوي، معطل | 1.1.0 |
التحقق من سلامة البرامج / البرامج الثابتة
المعرف: FedRAMP High SA-10 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحقق من سلامة البرامج والبرامج الثابتة والمعلومات | CMA_0542 - التحقق من سلامة البرامج والبرامج الثابتة والمعلومات | يدوي، معطل | 1.1.0 |
تقييم أمن المطور واختباره
المعرف: FedRAMP High SA-11 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
| مطالبة المطورين بتقديم دليل على تنفيذ خطة تقييم الأمان | CMA_C1602 - مطالبة المطورين بإنتاج أدلة على تنفيذ خطة تقييم الأمان | يدوي، معطل | 1.1.0 |
حماية سلسلة التوريد
المعرف: FedRAMP High SA-12 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تقييم المخاطر في علاقات الجهات الخارجية | CMA_0014 - تقييم المخاطر في علاقات الجهات الخارجية | يدوي، معطل | 1.1.0 |
| تحديد متطلبات توريد السلع والخدمات | CMA_0126 - تحديد متطلبات توريد السلع والخدمات | يدوي، معطل | 1.1.0 |
| تحديد الالتزامات التعاقدية للمورد | CMA_0140 - تحديد التزامات عقد المورد | يدوي، معطل | 1.1.0 |
| وضع سياسات لإدارة مخاطر سلسلة التوريد | CMA_0275 - وضع سياسات لإدارة مخاطر سلسلة التوريد | يدوي، معطل | 1.1.0 |
عملية التطوير والمعايير والأدوات
المعرف: FedRAMP High SA-15 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة عملية التطوير والمعايير والأدوات | CMA_C1610 - مراجعة عملية التطوير والمعايير والأدوات | يدوي، معطل | 1.1.0 |
التدريب المقدم من المطور
المعرف: FedRAMP High SA-16 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مطالبة المطورين بتوفير التدريب | CMA_C1611 - مطالبة المطورين بتوفير التدريب | يدوي، معطل | 1.1.0 |
بنية أمن المطور وتصميمه
المعرف: FedRAMP High SA-17 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مطالبة المطورين بإنشاء بنية الأمان | CMA_C1612 - مطالبة المطورين ببناء بنية الأمان | يدوي، معطل | 1.1.0 |
| مطالبة المطورين بوصف وظائف الأمان الدقيقة | CMA_C1613 - مطالبة المطورين بوصف وظائف الأمان الدقيقة | يدوي، معطل | 1.1.0 |
| مطالبة المطورين بتوفير نهج حماية أمان مُوحدّ | CMA_C1614 - مطالبة المطورين بتوفير نهج حماية أمان موحد | يدوي، معطل | 1.1.0 |
حماية الاتصالات والنظام
إجراءات حماية النظام والاتصالات ونُهجها
المعرف: FedRAMP High SC-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة إجراءات حماية النظام والاتصالات ونُهجها وتحديثهما | CMA_C1616 - مراجعة وتحديث سياسات وإجراءات حماية النظام والاتصالات | يدوي، معطل | 1.1.0 |
تقسيم التطبيق
المعرف: FedRAMP High SC-2 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تخويل الوصول عن بعد | CMA_0024 - تخويل الوصول عن بُعد | يدوي، معطل | 1.1.0 |
| فصل وظائف إدارة نظام المعلومات والمستخدم | CMA_0493 - وظيفة إدارة نظام المعلومات والمستخدم المنفصلة | يدوي، معطل | 1.1.0 |
| استخدام أجهزة مخصصة للمهام الإدارية | CMA_0527 - استخدام أجهزة مخصصة للمهام الإدارية | يدوي، معطل | 1.1.0 |
عزل وظيفة الأمان
ID: FedRAMP High SC-3 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري | قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية. | AuditIfNotExists، معطل | 3.0.0 |
| مراقبة حماية نقطة النهاية المفقودة في Azure Security Center | ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 2.0.0 |
رفض حماية الخدمة
ID: FedRAMP High SC-5 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure DDoS Protection | يجب تمكين حماية DDoS لجميع الشبكات الظاهرية مع شبكة فرعية تعد جزءا من بوابة تطبيق مع IP عام. | AuditIfNotExists، معطل | 3.0.1 |
| يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
| وضع خطة استجابة DDoS وتوثيقها | CMA_0147 - تطوير وتوثيق خطة استجابة DDoS | يدوي، معطل | 1.1.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
توفر الموارد
المعرف: FedRAMP High SC-6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في تخصيص الموارد | CMA_0293 - التحكم في تخصيص الموارد | يدوي، معطل | 1.1.0 |
| إدارة التوفر والقدرة الإنتاجية | CMA_0356 - إدارة التوفر والسعة | يدوي، معطل | 1.1.0 |
| ضمان التزام القيادة | CMA_0489 - تأمين الالتزام من القيادة | يدوي، معطل | 1.1.0 |
حماية الحدود
ID: FedRAMP High SC-7 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور | لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي | AuditIfNotExists، معطل | 3.0.0 - المعاينة |
| [معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين | يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 3.1.0-المعاينة |
| يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت | يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل | AuditIfNotExists، معطل | 3.0.0 |
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم خدمات APIM شبكة ظاهرية | يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes | قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة. | المراجعة، معطلة | 2.0.1 |
| يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة | من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure. | التدقيق، الرفض، التعطيل | 3.2.0 |
| يجب أن تستخدم Azure API for FHIR الرابط الخاص | يجب أن يكون لدى Azure API for FHIR اتصال نقطة نهاية خاصة واحدة معتمد على الأقل. يمكن للعملاء في الشبكة الظاهرية الوصول بأمان إلى الموارد التي لها اتصالات نقطة نهاية خاصة من خلال الروابط الخاصة. لمزيد من المعلومات، يرجى زيارة: https://aka.ms/fhir-privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص | مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل خدمات Azure Cognitive Search الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض خدمة Azure Cognitive Search على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض خدمة البحث. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية | يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم Azure Data Factory رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا | يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين جدار حماية Azure Key Vault | قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security | التدقيق، الرفض، التعطيل | 3.2.1 |
| يجب أن تستخدم Azure Key Vaults رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن تستخدم خدمة Azure Web PubSub رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. يمكنك تقليل مخاطر تسريب البيانات من خلال تعيين نقاط نهاية خاصة إلى Azure Web PubSub Service الخاصة بك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/awps/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | المراجعة، معطلة | 3.0.0 |
| يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة | تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| تنفيذ حماية حدود النظام | CMA_0328 - تنفيذ حماية حدود النظام | يدوي، معطل | 1.1.0 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | المراجعة، معطلة | 1.0.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين نقطة النهاية الخاصة لخوادم MySQL | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP. | التدقيق، الرفض، التعطيل | 2.0.1 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية | احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | تدقيق، تعطيل، رفض | 1.1.0 |
| يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
نقاط الوصول
ID: FedRAMP High SC-7 (3) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور | لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي | AuditIfNotExists، معطل | 3.0.0 - المعاينة |
| [معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين | يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 3.1.0-المعاينة |
| يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت | يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل | AuditIfNotExists، معطل | 3.0.0 |
| يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري | حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم خدمات APIM شبكة ظاهرية | يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes | قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة. | المراجعة، معطلة | 2.0.1 |
| يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة | من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure. | التدقيق، الرفض، التعطيل | 3.2.0 |
| يجب أن تستخدم Azure API for FHIR الرابط الخاص | يجب أن يكون لدى Azure API for FHIR اتصال نقطة نهاية خاصة واحدة معتمد على الأقل. يمكن للعملاء في الشبكة الظاهرية الوصول بأمان إلى الموارد التي لها اتصالات نقطة نهاية خاصة من خلال الروابط الخاصة. لمزيد من المعلومات، يرجى زيارة: https://aka.ms/fhir-privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً | تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص | مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تعطل خدمات Azure Cognitive Search الوصول إلى الشبكة العامة | يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض خدمة Azure Cognitive Search على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض خدمة البحث. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية | يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم Azure Data Factory رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. | المراجعة، معطلة | 1.0.2 |
| يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا | يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين جدار حماية Azure Key Vault | قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security | التدقيق، الرفض، التعطيل | 3.2.1 |
| يجب أن تستخدم Azure Key Vaults رابطا خاصا | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 1.0.2 |
| يجب أن تستخدم خدمة Azure Web PubSub رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. يمكنك تقليل مخاطر تسريب البيانات من خلال تعيين نقاط نهاية خاصة إلى Azure Web PubSub Service الخاصة بك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/awps/privatelink. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً | يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800. | المراجعة، معطلة | 3.0.0 |
| يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة | تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم سجلات الحاويات رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. | المراجعة، معطلة | 1.0.1 |
| يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists، معطل | 1.0.0 |
| يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists، معطل | 1.0.0 |
| يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة | قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet. | المراجعة، معطلة | 1.0.0 |
| يجب تعطيل إعادة توجيه IP على الجهاز الظاهري | يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد | سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز. | AuditIfNotExists، معطل | 3.0.0 |
| يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة | قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc | AuditIfNotExists، معطل | 3.0.0 |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. | المراجعة، معطلة | 1.1.0 |
| يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين نقطة النهاية الخاصة لخوادم MySQL | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL | تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP. | التدقيق، الرفض، التعطيل | 2.0.1 |
| يجب أن تقيد حسابات التخزين الوصول إلى الشبكة | يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة | التدقيق، الرفض، التعطيل | 1.1.1 |
| يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية | احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم حسابات التخزين رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists، معطل | 2.0.0 |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | تدقيق، تعطيل، رفض | 1.1.0 |
| يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway | نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة. | التدقيق، الرفض، التعطيل | 2.0.0 |
خدمات الاتصالات الخارجية
المعرف: FedRAMP High SC-7 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ الواجهة المُدارة لكل خدمة خارجية | CMA_C1626 - تنفيذ الواجهة المدارة لكل خدمة خارجية | يدوي، معطل | 1.1.0 |
| تنفيذ حماية حدود النظام | CMA_0328 - تنفيذ حماية حدود النظام | يدوي، معطل | 1.1.0 |
| تأمين الواجهة للأنظمة الخارجية | CMA_0491 - تأمين الواجهة للأنظمة الخارجية | يدوي، معطل | 1.1.0 |
منع الانقسام النفقي للأجهزة البعيدة
المعرف: FedRAMP High SC-7 (7) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| منع الانقسام النفقي للأجهزة البعيدة | CMA_C1632 - منع تقسيم النفق للأجهزة البعيدة | يدوي، معطل | 1.1.0 |
توجيه نسبة استخدام الشبكة إلى الخوادم الوكيلة المُصدّق عليها
المعرف: FedRAMP High SC-7 (8) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توجيه نسبة استخدام الشبكة عبر شبكة وكيلة مُصدّق عليها | CMA_C1633 - توجيه نسبة استخدام الشبكة من خلال شبكة الوكيل المصادق عليها | يدوي، معطل | 1.1.0 |
الحماية المستندة إلى المضيف
المعرف: FedRAMP High SC-7 (12) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ حماية حدود النظام | CMA_0328 - تنفيذ حماية حدود النظام | يدوي، معطل | 1.1.0 |
عزل أدوات الأمان / الآليات / مكونات الدعم
المعرف: FedRAMP High SC-7 (13) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| عزل أنظمة SecurID وأنظمة إدارة الحوادث الأمنية | CMA_C1636 - عزل أنظمة SecurID وأنظمة إدارة الحوادث الأمنية | يدوي، معطل | 1.1.0 |
تأمين ضد الفشل
المعرف: FedRAMP High SC-7 (18) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ حماية حدود النظام | CMA_0328 - تنفيذ حماية حدود النظام | يدوي، معطل | 1.1.0 |
| إدارة عمليات النقل بين مكونات النظام الاحتياطي والنشط | CMA_0371 - إدارة عمليات النقل بين مكونات النظام في وضع الاستعداد والنشط | يدوي، معطل | 1.1.0 |
العزل / الفصل الديناميكي
المعرف: FedRAMP High SC-7 (20) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| ضمان قدرة النظام على العزل الديناميكي للموارد | CMA_C1638 - ضمان قدرة النظام على العزل الديناميكي للموارد | يدوي، معطل | 1.1.0 |
عزل مكونات نظام المعلومات
المعرف: FedRAMP High SC-7 (21) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استخدام حماية الحدود لعزل أنظمة المعلومات | CMA_C1639 - استخدام حماية الحدود لعزل أنظمة المعلومات | يدوي، معطل | 1.1.0 |
سرية النقل ونزاهته
ID: FedRAMP High SC-8 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
| يجب أن تتطلب تطبيقات App Service FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS" | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. | AuditIfNotExists، معطل | 2.0.1 |
| يجب أن تستخدم مجموعات Azure HDInsight التشفير أثناء النقل لتشفير الاتصال بين عقد نظام المجموعة Azure HDInsight | يمكن العبث بالبيانات أثناء الإرسال بين عقد نظام المجموعة Azure HDInsight. يؤدي تمكين التشفير أثناء النقل إلى معالجة مشكلات إساءة الاستخدام والعبث أثناء عملية الإرسال هذه. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL | قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 5.0.0 |
| يجب أن تتطلب تطبيقات الوظائف FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 2.0.1 |
| يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS | يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. هذه الإمكانية متاحة حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة ل Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.1.0 |
| يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis | تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 1.0.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| حماية كلمات المرور باستخدام التشفير | CMA_0408 - حماية كلمات المرور باستخدام التشفير | يدوي، معطل | 1.1.0 |
| يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة | لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة. | AuditIfNotExists، معطل | 4.1.1 |
حماية التشفير أو الحماية الفعلية البديلة
ID: FedRAMP High SC-8 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 4.0.0 |
| يجب أن تتطلب تطبيقات App Service FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS" | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير. | AuditIfNotExists، معطل | 2.0.1 |
| يجب أن تستخدم مجموعات Azure HDInsight التشفير أثناء النقل لتشفير الاتصال بين عقد نظام المجموعة Azure HDInsight | يمكن العبث بالبيانات أثناء الإرسال بين عقد نظام المجموعة Azure HDInsight. يؤدي تمكين التشفير أثناء النقل إلى معالجة مشكلات إساءة الاستخدام والعبث أثناء عملية الإرسال هذه. | التدقيق، الرفض، التعطيل | 1.0.0 |
| تكوين محطات العمل للتحقق من وجود شهادات رقمية | CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية | يدوي، معطل | 1.1.0 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL | قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات. | المراجعة، معطلة | 1.0.1 |
| يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS | يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. | تدقيق، تعطيل، رفض | 5.0.0 |
| يجب أن تتطلب تطبيقات الوظائف FTPS فقط | مكن تطبيق FTPS من أجل تعزيز الأمان. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS | بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار. | AuditIfNotExists، معطل | 2.0.1 |
| يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS | يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. هذه الإمكانية متاحة حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة ل Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc | تدقيق، Audit، رفض، Deny، معطل، Disabled | 8.1.0 |
| يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis | تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين النقل الآمن إلى حسابات التخزين | متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة | لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة. | AuditIfNotExists، معطل | 4.1.1 |
قطع اتصال الشبكة
المعرف: FedRAMP High SC-10 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إعادة مصادقة جلسة عمل مستخدم أو إنهائها | CMA_0421 - إعادة مصادقة جلسة عمل مستخدم أو إنهائها | يدوي، معطل | 1.1.0 |
إنشاء مفتاح التشفير وإدارته
ID: FedRAMP High SC-12 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب أن تستخدم مخازن خدمات استرداد Azure المفاتيح المُدارة من قبل العملاء لتشفير بيانات النسخ الاحتياطي | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون لبيانات النسخ الاحتياطي. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/AB-CmkEncryption. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| [معاينة]: يجب تشفير بيانات خدمة توفير جهاز IoT Hub باستخدام مفاتيح يديرها العميل (CMK) | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خدمة تزويد جهاز IoT Hub. يتم تشفير البيانات تلقائيًا في حالة ثبات البيانات مع مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء (CMK) مطلوبة عادة لتلبية معايير التوافق التنظيمية. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. تعرف على المزيد حول تشفير CMK على https://aka.ms/dps/CMK. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| يجب أن تستخدم واجهة برمجة تطبيقات Azure لـ FHIR مفتاحًا مدارًا من قبل العميل لتشفير البيانات في وضع الراحة | استخدم مفتاحًا يديره العميل للتحكم في تشفير البيانات الثابتة المخزنة في Azure API for FHIR عندما يكون هذا شرطًا تنظيميًا أو من متطلبات التوافق. توفر المفاتيح المدارة من قبل العميل أيضًا تشفيرا مزدوجا عن طريق إضافة طبقة ثانية من التشفير فوق الطبقة الافتراضية التي تتم باستخدام المفاتيح المدارة بواسطة الخدمة. | تدقيق، تدقيق، معطل، معطل | 1.1.0 |
| يجب أن تستخدم حسابات Azure Automation المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون لحسابات Azure Automation. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/automation-cmk. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يستخدم حساب Azure Batch المفاتيح المدارة من قبل العميل لتشفير البيانات | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون لحساب Batch. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/Batch-CMK. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم مجموعة حاويات مثيل Azure Container المفتاح المدار من قبل العميل للتشفير | قم بتأمين حاوياتك بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | تدقيق، تعطيل، رفض | 1.0.0 |
| يجب أن تستخدم حسابات Azure Cosmos DB المفاتيح التي يديرها العملاء لتشفير البيانات في وضع السكون | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة Azure Cosmos DB. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/cosmosdb-cmk. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب أن تستخدم Azure Data Box مفتاحًا مدارًا من قِبل العميل لتشفير كلمة مرور إلغاء قفل الجهاز | استخدم مفتاحا يديره العميل للتحكم في تشفير كلمة مرور إلغاء تأمين الجهاز لـ Azure Data Box. تساعد المفاتيح المدارة من قبل العملاء أيضًا في إدارة الوصول إلى كلمة مرور إلغاء قفل الجهاز بواسطة خدمة Data Box من أجل إعداد الجهاز ونسخ البيانات بطريقة تلقائية. البيانات الموجودة على الجهاز نفسه مشفرة بالفعل في حالة البيانات الثابتة مع مقاييس التشفير المتقدمة 256 بت، ويتم تشفير كلمة مرور إلغاء قفل الجهاز بشكل افتراضي باستخدام مفتاح مدار من Microsoft. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن يستخدم تشفير Azure Data Explorer في وضع السكون مفتاحًا مدارًا من قبل العميل | يتيح تمكين التشفير في وضع ثبات البيانات باستخدام مفتاح مدار من قبل العميل على مجموعة نظام مستكشف البيانات Azure التحكم الإضافي على المفتاح المستخدم بواسطة التشفير في وضع البيانات الثابتة. هذه الميزة غالبًا تكون قابلة للتطبيق على العملاء الذين لديهم متطلبات توافق خاصة وتتطلب حالتهم Key Vault لإدارة المفاتيح. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون لـ Azure Data Factory. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/adf-cmk. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم مجموعات Azure HDInsight المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون بمجموعات Azure HDInsight. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/hdi.cmk. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم مجموعات Azure HDInsight التشفير عند المضيف لتشفير البيانات الثابتة | يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير في المضيف، يتم تشفير البيانات المخزنة على مضيف VM عند لثبات البيانات ويتم تدفقها مشفرة إلى خدمة التخزين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير مساحات العمل الخاصة بـ Azure Machine Learning باستخدام مفتاح مُدار من قِبل العميل | إدارة تشفير البيانات الثابتة بيانات مساحة عمل Azure التعلم الآلي باستخدام مفاتيح مدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/azureml-workspaces-cmk. | التدقيق، الرفض، التعطيل | 1.0.3 |
| يجب تشفير مجموعات مراقبة سجلات Azure بمفتاح مدار من قبل العملاء | قم بإنشاء مجموعة سجلات مراقبة Azure بتشفير المفاتيح المدارة من قبل العملاء. بشكل افتراضي، يتم تشفير بيانات السجل باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية التوافق التنظيمي. يمنحك المفتاح المدار من قبل العميل في Azure Monitor مزيدًا من التحكم في الوصول إلى البيانات، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب أن تستخدم مهام Azure Stream Analytics المفاتيح التي يديرها العملاء لتشفير البيانات | استخدم المفاتيح التي يديرها العملاء عندما تريد تخزين أي بيانات تعريف وأصول بيانات خاصة لوظائف Stream Analytics بأمان في حساب التخزين الخاص بك. وهذا يمنحك التحكم الكامل في كيفية تشفير بيانات Stream Analytics. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب أن تستخدم مساحات عمل Azure Synapse المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح المدارة من قبل العميل للتحكم في تشفير البيانات الثابتة المخزنة في مساحات عمل Azure Synapse. توفر المفاتيح المدارة من قبل العميل تشفيرا مزدوجا عن طريق إضافة طبقة ثانية من التشفير فوق التشفير الافتراضي باستخدام مفاتيح مدارة بواسطة الخدمة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير Bot Service بمفتاح مُدار من قبل العميل | تقوم خدمة Azure Bot Service تلقائيًا بتشفير المورد لحماية بياناتك والوفاء بالتزامات الأمان والامتثال التنظيمي. افتراضيا، يتم استخدام مفاتيح التشفير المدارة من Microsoft. لمزيد من المرونة في إدارة المفاتيح أو التحكم في الوصول إلى الاشتراك، حدد المفاتيح التي يديرها العميل، والمعروفة أيضًا باسم إحضار المفتاح (BYOK). تعرف على المزيد حول تشفير خدمة Azure Bot: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل | تشفير نظام التشغيل وأقراص البيانات باستخدام مفاتيح يديرها العملاء يوفر المزيد من التحكم والمرونة في إدارة المفاتيح. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تقوم حسابات الخدمات المعرفية بتمكين تشفير البيانات باستخدام مفتاح يديره العميل | عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية معايير الامتثال التنظيمية. تمكن المفاتيح المدارة من العملاء من تشفير البيانات المخزنة في الخدمات المعرفية باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول المفاتيح المُدارة من قِبل العملاء على https://go.microsoft.com/fwlink/?linkid=2121321. | التدقيق، الرفض، التعطيل | 2.1.0 |
| يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون بمحتويات السجلات. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/acr/CMK. | التدقيق، الرفض، التعطيل | 1.1.2 |
| تعريف عملية إدارة المفاتيح الفعلية | CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية | يدوي، معطل | 1.1.0 |
| تعريف استخدام التشفير | CMA_0120 - تعريف استخدام التشفير | يدوي، معطل | 1.1.0 |
| تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | CMA_0123 - تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير | يدوي، معطل | 1.1.0 |
| تحديد متطلبات التأكيد | CMA_0136 - تحديد متطلبات التأكيد | يدوي، معطل | 1.1.0 |
| يجب أن تستخدم مساحات أسماء Event Hub مفتاحًا مدارًا من قِبل العميل للتشفير | تدعم مراكز الأحداث خيار تشفير البيانات في وضع البيانات الثابتة إما باستخدام مفاتيح مدارة من Microsoft (افتراضية) أو مفاتيح يديرها العملاء. يتيح لك اختيار تشفير البيانات باستخدام المفاتيح المدارة من قبل العميل تعيين المفاتيح التي سيستخدمها Event Hub لتشفير البيانات في مساحة الاسم وتدويرها وتعطيلها وإبطالها. لاحظ أن مركز الأحداث يعتمد التشفير فقط مع مفاتيح مدارة من قبل العملاء لمساحات الأسماء في مجموعات مخصصة. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم حسابات HPC Cache مفتاحًا مدارًا من قبل العميل للتشفير | إدارة تشفير البيانات الثابتة ذاكرة التخزين المؤقت لـ Azure HPC باستخدام المفاتيح المدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | تدقيق، تعطيل، رفض | 2.0.0 |
| إصدار شهادات المفتاح العام | CMA_0347 - إصدار شهادات المفتاح العام | يدوي، معطل | 1.1.0 |
| يجب تشفير بيئة خدمة تكامل تطبيقات المنطق باستخدام المفاتيح المدارة بواسطة العملاء | نشر في بيئة خدمة التكامل لإدارة تشفير البيانات الثابتة بيانات تطبيقات المنطق باستخدام مفاتيح يديرها العملاء. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | التدقيق، الرفض، التعطيل | 1.0.0 |
| إدارة مفاتيح التشفير المتماثلة | CMA_0367 - إدارة مفاتيح التشفير المتماثلة | يدوي، معطل | 1.1.0 |
| يجب تشفير الأقراص المدارة مرتين باستخدام كل من المفاتيح المدارة من النظام الأساسي والمفاتيح التي يديرها العملاء | يمكن للعملاء ذوي الحساسية الأمنية العالية الذين يشعرون بالقلق من المخاطر المرتبطة بأي خوارزمية تشفير معينة أو تنفيذ أو مفتاح يتم اختراقه اختيار طبقة إضافية من التشفير باستخدام خوارزمية /وضع تشفير مختلف في طبقة البنية التحتية باستخدام مفاتيح التشفير المدارة من النظام الأساسي. مجموعات تشفير القرص مطلوبة لاستخدام التشفير المزدوج. تعرّف على المزيد من خلال https://aka.ms/disks-doubleEncryption. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خوادم MySQL. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | AuditIfNotExists، معطل | 1.0.4 |
| يجب تشفير نظام التشغيل وأقراص البيانات باستخدام مفتاح يُديره العميل | استخدم المفاتيح المدارة من قبل العميل لإدارة تشفير البيانات الثابتة محتويات الأقراص المدارة. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح المدارة من خلال النظام الأساسي، ولكن عادة ما تكون المفاتيح التي يديرها العملاء مطلوبة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/disks-cmk. | التدقيق، الرفض، التعطيل | 3.0.0 |
| يجب أن تستخدم خوادم PostgreSQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة تشفير البيانات الثابتة لخوادم PostgreSQL لديك. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | AuditIfNotExists، معطل | 1.0.4 |
| تقييد الوصول إلى المفاتيح الخاصة | CMA_0445 - تقييد الوصول إلى المفاتيح الخاصة | يدوي، معطل | 1.1.0 |
| يجب حفظ الاستعلامات المحفوظة في Azure Monitor في حساب تخزين العميل لتشفير السجلات | ربط حساب التخزين بمساحة عمل Log Analytics لحماية الاستعلامات المحفوظة باستخدام تشفير حساب التخزين. عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية الامتثال التنظيمي ولمزيد من التحكم في الوصول إلى الاستعلامات المحفوظة في Azure Monitor. لمزيد من التفاصيل حول ما سبق، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب أن تستخدم مساحات أسماء Service Bus Premium مفتاحاً مداراً من قِبل العميل للتشفير | يدعم Azure Service Bus خيار تشفير البيانات الثابتة باستخدام مفاتيح مدارة من Microsoft (افتراضي) أو مفاتيح مدارة من قبل العميل. يتيح لك اختيار تشفير البيانات باستخدام المفاتيح التي يديرها العميل تعيين المفاتيح التي ستستخدمها ناقل خدمة Microsoft Azure لتشفير البيانات في مساحة الاسم وتدويرها وتعطيلها وإبطالها. لاحظ أن ناقل خدمة Microsoft Azure يعتمد التشفير فقط مع مفاتيح مدارة من قبل العملاء لمساحات الأسماء المميزة. | المراجعة، معطلة | 1.0.0 |
| يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.1 |
| يجب أن تستخدم نطاقات تشفير حساب التخزين المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة نطاقات تشفير حساب التخزين. تتيح المفاتيح المدارة من قبل العميل تشفير البيانات باستخدام مفتاح Azure لمخزن البيانات السرية الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول نطاقات تشفير حساب التخزين في https://aka.ms/encryption-scopes-overview. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم حسابات التخزين مفتاحاً مداراً من قبل العميل للتشفير | أمّن الكائن الثنائي كبير الحجم وحساب تخزين الملفات بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | المراجعة، معطلة | 1.0.3 |
التوافر
المعرف: FedRAMP High SC-12 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الحفاظ على توفر المعلومات | CMA_C1644 - الحفاظ على توفر المعلومات | يدوي، معطل | 1.1.0 |
مفاتيح متماثلة
المعرف: FedRAMP High SC-12 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء مفاتيح التشفير المتماثلة والتحكم فيها وتوزيعها | CMA_C1645 - إنتاج مفاتيح تشفير متماثلة والتحكم فيها وتوزيعها | يدوي، معطل | 1.1.0 |
مفاتيح غير متماثلة
المعرف: FedRAMP High SC-12 (3) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء مفاتيح التشفير غير المتماثلة والتحكم فيها وتوزيعها | CMA_C1646 - إنتاج مفاتيح التشفير غير المتماثلة والتحكم فيها وتوزيعها | يدوي، معطل | 1.1.0 |
حماية التشفير
المعرف: FedRAMP High SC-13 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعريف استخدام التشفير | CMA_0120 - تعريف استخدام التشفير | يدوي، معطل | 1.1.0 |
أجهزة الحوسبة التعاونية
المعرف: FedRAMP High SC-15 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إعلام صريح باستخدام أجهزة الحوسبة التعاونية | CMA_C1649 - إعلام صراحة باستخدام أجهزة الحوسبة التعاونية | يدوي، معطل | 1.1.1 |
| حظر التنشيط عن بعد لأجهزة الحوسبة التعاونية | CMA_C1648 - حظر التنشيط عن بعد لأجهزة الحوسبة التعاونية | يدوي، معطل | 1.1.0 |
شهادات البنية التحتية للمفاتيح العامة
المعرف: FedRAMP High SC-17 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إصدار شهادات المفتاح العام | CMA_0347 - إصدار شهادات المفتاح العام | يدوي، معطل | 1.1.0 |
التعليمة البرمجية المتنقلة
المعرف: FedRAMP High SC-18 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تخويل استخدام تقنيات التعليمات البرمجية المتنقلة ومراقبتها والتحكم بها | CMA_C1653 - تخويل ومراقبة والتحكم في استخدام تقنيات التعليمات البرمجية للأجهزة المحمولة | يدوي، معطل | 1.1.0 |
| تحديد التقنيات المقبولة وغير المقبولة للتعليمات البرمجية المتنقلة | CMA_C1651 - تحديد تقنيات التعليمات البرمجية للجوال المقبولة وغير المقبولة | يدوي، معطل | 1.1.0 |
| وضع قيود استخدام لتقنيات التعليمات البرمجية المتنقلة | CMA_C1652 - وضع قيود على الاستخدام لتقنيات التعليمات البرمجية للجوال | يدوي، معطل | 1.1.0 |
انتقال الصوت عبر بروتوكول الإنترنت
المعرف: FedRAMP High SC-19 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تخويل نقل الصوت عبر بروتوكول الإنترنت ومراقبته والتحكم به | CMA_0025 - تخويل الصوت عبر الإنترنت ومراقبته والتحكم فيه | يدوي، معطل | 1.1.0 |
| وضع قيود على استخدام نقل الصوت عبر بروتوكول الإنترنت | CMA_0280 - وضع قيود على استخدام voip | يدوي، معطل | 1.1.0 |
خدمة تحليل الاسم / العنوان الآمنة (مصدر موثوق)
المعرف: FedRAMP High SC-20 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ خدمة الاسم/العنوان المتسامحة مع الأخطاء | CMA_0305 - تنفيذ خدمة الاسم/العنوان المتسامحة مع الخطأ | يدوي، معطل | 1.1.0 |
| توفير خدمات تحليل الاسم والعنوان الآمنة | CMA_0416 - توفير خدمات تحليل الاسم والعنوان الآمنة | يدوي، معطل | 1.1.0 |
خدمة تحليل الاسم / العنوان الآمن (محلل التخزين المؤقت أو التكرار)
المعرف: FedRAMP High SC-21 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ خدمة الاسم/العنوان المتسامحة مع الأخطاء | CMA_0305 - تنفيذ خدمة الاسم/العنوان المتسامحة مع الخطأ | يدوي، معطل | 1.1.0 |
| التحقق من سلامة البرامج والبرامج الثابتة والمعلومات | CMA_0542 - التحقق من سلامة البرامج والبرامج الثابتة والمعلومات | يدوي، معطل | 1.1.0 |
بنية خدمة تحليل الاسم / العنوان وتوفيرها
المعرف: FedRAMP High SC-22 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنفيذ خدمة الاسم/العنوان المتسامحة مع الأخطاء | CMA_0305 - تنفيذ خدمة الاسم/العنوان المتسامحة مع الخطأ | يدوي، معطل | 1.1.0 |
أصالة الجلسة
المعرف: FedRAMP High SC-23 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تكوين محطات العمل للتحقق من وجود شهادات رقمية | CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية | يدوي، معطل | 1.1.0 |
| فرض معرّفات جلسة فريدة عشوائية | CMA_0247 - فرض معرفات جلسة عمل فريدة عشوائية | يدوي، معطل | 1.1.0 |
إبطال معرّفات الجلسة عند تسجيل الخروج
المعرف: FedRAMP High SC-23 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إبطال معرّفات الجلسة عند تسجيل الخروج | CMA_C1661 - إبطال معرفات الجلسة عند تسجيل الخروج | يدوي، معطل | 1.1.0 |
فشل في الحالة المعروفة
المعرف: FedRAMP High SC-24 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تأكد من فشل نظام المعلومات في الحالة المعروفة | CMA_C1662 - تأكد من فشل نظام المعلومات في حالة معروفة | يدوي، معطل | 1.1.0 |
حماية المعلومات غير النشطة
ID: FedRAMP High SC-28 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تمكن App Service Environment التشفير الداخلي | يؤدي تعيين InternalEncryption إلى حقيقي إلى تشفير ملف ترحيل الصفحات وأقراص العاملين وحركة مرور الشبكة الداخلية بين الأطراف الأمامية والعمال في بيئة خدمة التطبيقات. لمعرفة المزيد، انتقل إلى https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | المراجعة، معطلة | 1.0.1 |
| يجب تشفير متغيرات حساب التنفيذ التلقائي | من المهم تمكين تشفير أصول متغير حساب التنفيذ التلقائي عند تخزين البيانات الحساسة | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تمكّن مهام Azure Data Box التشفير المزدوج للبيانات الثابتة على الجهاز | تمكين طبقة ثانية من التشفير المستند إلى البرامج للبيانات الثابتة الموجودة على الجهاز. الجهاز محمي بالفعل عبر مقاييس التشفير المتقدمة 256 بت للبيانات الثابتة. يضيف هذا الخيار طبقة ثانية من تشفير البيانات. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب إنشاء مجموعات سجلات مراقبة Azure مع تمكين البنية الأساسية التشفير (التشفير المزدوج) | لضمان تمكين تشفير البيانات الآمن على مستوى الخدمة ومستوى البنية الأساسية باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين، استخدم نظام مجموعة Azure Monitor المخصص. يتم تمكين هذا الخيار بشكل افتراضي عند دعمه في المنطقة، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب استخدام التشفير المزدوج على أجهزة Azure Stack Edge | لتأمين البيانات الثابتة على الجهاز، وضمان أنها مزدوجة التشفير، يتم التحكم في الوصول إلى البيانات، وبمجرد إلغاء تنشيط الجهاز، يتم مسح البيانات بأمان من أقراص البيانات. التشفير المزدوج هو استخدام طبقتين من التشفير: تشفير BitLocker XTS-AES 256 بت على وحدات تخزين البيانات والتشفير المضمن لمحركات الأقراص الثابتة. تعرف على المزيد في وثائق نظرة عامة على الأمان لجهاز Stack Edge المحدد. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب تمكين تشفير القرص على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تمكين التشفير المزدوج على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وضمان سلامتها بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير المزدوج، يتم تشفير البيانات في حساب التخزين مرتين، مرة على مستوى الخدمة ومرة على مستوى البنية الأساسية، باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين. | التدقيق، الرفض، التعطيل | 2.0.0 |
| إنشاء إجراء إدارة تسرب البيانات | CMA_0255 - إنشاء إجراء إدارة تسرب البيانات | يدوي، معطل | 1.1.0 |
| يجب تمكين تشفير البنية التحتية لـ Azure Database لخوادم MySQL | تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم MySQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL | تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2 | التدقيق، الرفض، التعطيل | 1.0.0 |
| حماية المعلومات الخاصة | CMA_0409 - حماية المعلومات الخاصة | يدوي، معطل | 1.1.0 |
| يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign | يوفر Service Fabric ثلاثة مستويات من الحماية (None، وSign، وEncryptAndSign) للاتصال عقدة إلى عقدة باستخدام شهادة نظام مجموعة أساسية. تعيين مستوى الحماية لضمان تشفير كافة رسائل العقدة إلى العقدة وتوقيعها رقميا | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن يكون لدى حسابات التخزين تشفير البنية الأساسية | تمكين تشفير البنية الأساسية للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات في حساب تخزين مرتين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف | لتحسين أمان البيانات، يجب تشفير البيانات المخزنة على مضيف الجهاز الظاهري (VM) لعقد خدمة Azure Kubernetes VMs في حالة السكون. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
| ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين التشفير على المضيف في الأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري | استخدم التشفير في المضيف للحصول على تشفير من طرف إلى طرف لجهازك الظاهري وبيانات مجموعة مقياس الجهاز الظاهري. التشفير في المضيف يتيح تشفير البيانات الثابتة للقرص المؤقت الخاص بك وذاكرة التخزين المؤقت لـ OS/قرص البيانات. يتم تشفير أقراص OS المؤقتة والزائلة باستخدام مفاتيح تتم إدارتها من خلال النظام الأساسي عند تمكين التشفير في المضيف. يتم تشفير ذاكرة التخزين المؤقت لأقراص OS/data في حالة راحة باستخدام مفتاح مدار من قبل العميل أو مفتاح مدار بواسطة النظام الأساسي، وذلك حسب نوع التشفير المحدد على القرص. تعرّف على المزيد من خلال https://aka.ms/vm-hbe. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين | بشكل افتراضي، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة عدم استخدام مفاتيح تُدار بواسطة النظام الأساسي. لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين الحوسبة والتخزين. تجاهل هذه التوصية إذا: 1. باستخدام التشفير في المضيف، أو 2. التشفير من جانب الخادم على الأقراص المُدارة يفي بمتطلبات الأمان. تعرف على المزيد في: تشفير Azure Disk Storage من جانب الخادم: https://aka.ms/disksse، العروض المختلفة لتشفير القرص: https://aka.ms/diskencryptioncomparison | AuditIfNotExists، معطل | 2.0.3 |
حماية التشفير
ID: FedRAMP High SC-28 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب أن تمكن App Service Environment التشفير الداخلي | يؤدي تعيين InternalEncryption إلى حقيقي إلى تشفير ملف ترحيل الصفحات وأقراص العاملين وحركة مرور الشبكة الداخلية بين الأطراف الأمامية والعمال في بيئة خدمة التطبيقات. لمعرفة المزيد، انتقل إلى https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | المراجعة، معطلة | 1.0.1 |
| يجب تشفير متغيرات حساب التنفيذ التلقائي | من المهم تمكين تشفير أصول متغير حساب التنفيذ التلقائي عند تخزين البيانات الحساسة | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن تمكّن مهام Azure Data Box التشفير المزدوج للبيانات الثابتة على الجهاز | تمكين طبقة ثانية من التشفير المستند إلى البرامج للبيانات الثابتة الموجودة على الجهاز. الجهاز محمي بالفعل عبر مقاييس التشفير المتقدمة 256 بت للبيانات الثابتة. يضيف هذا الخيار طبقة ثانية من تشفير البيانات. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب إنشاء مجموعات سجلات مراقبة Azure مع تمكين البنية الأساسية التشفير (التشفير المزدوج) | لضمان تمكين تشفير البيانات الآمن على مستوى الخدمة ومستوى البنية الأساسية باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين، استخدم نظام مجموعة Azure Monitor المخصص. يتم تمكين هذا الخيار بشكل افتراضي عند دعمه في المنطقة، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب استخدام التشفير المزدوج على أجهزة Azure Stack Edge | لتأمين البيانات الثابتة على الجهاز، وضمان أنها مزدوجة التشفير، يتم التحكم في الوصول إلى البيانات، وبمجرد إلغاء تنشيط الجهاز، يتم مسح البيانات بأمان من أقراص البيانات. التشفير المزدوج هو استخدام طبقتين من التشفير: تشفير BitLocker XTS-AES 256 بت على وحدات تخزين البيانات والتشفير المضمن لمحركات الأقراص الثابتة. تعرف على المزيد في وثائق نظرة عامة على الأمان لجهاز Stack Edge المحدد. | تدقيق، Audit، رفض، Deny، معطل، Disabled | 1.1.0 |
| يجب تمكين تشفير القرص على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب تمكين التشفير المزدوج على Azure Data Explorer | يساعد تمكين التشفير المزدوج على حماية بياناتك وضمان سلامتها بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير المزدوج، يتم تشفير البيانات في حساب التخزين مرتين، مرة على مستوى الخدمة ومرة على مستوى البنية الأساسية، باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين. | التدقيق، الرفض، التعطيل | 2.0.0 |
| تنفيذ عناصر التحكم لتأمين جميع الوسائط | CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط | يدوي، معطل | 1.1.0 |
| يجب تمكين تشفير البنية التحتية لـ Azure Database لخوادم MySQL | تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم MySQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL | تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2 | التدقيق، الرفض، التعطيل | 1.0.0 |
| حماية البيانات أثناء النقل باستخدام التشفير | CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير | يدوي، معطل | 1.1.0 |
| يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign | يوفر Service Fabric ثلاثة مستويات من الحماية (None، وSign، وEncryptAndSign) للاتصال عقدة إلى عقدة باستخدام شهادة نظام مجموعة أساسية. تعيين مستوى الحماية لضمان تشفير كافة رسائل العقدة إلى العقدة وتوقيعها رقميا | التدقيق، الرفض، التعطيل | 1.1.0 |
| يجب أن يكون لدى حسابات التخزين تشفير البنية الأساسية | تمكين تشفير البنية الأساسية للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات في حساب تخزين مرتين. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف | لتحسين أمان البيانات، يجب تشفير البيانات المخزنة على مضيف الجهاز الظاهري (VM) لعقد خدمة Azure Kubernetes VMs في حالة السكون. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
| ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال | AuditIfNotExists، معطل | 2.0.0 |
| يجب تمكين التشفير على المضيف في الأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري | استخدم التشفير في المضيف للحصول على تشفير من طرف إلى طرف لجهازك الظاهري وبيانات مجموعة مقياس الجهاز الظاهري. التشفير في المضيف يتيح تشفير البيانات الثابتة للقرص المؤقت الخاص بك وذاكرة التخزين المؤقت لـ OS/قرص البيانات. يتم تشفير أقراص OS المؤقتة والزائلة باستخدام مفاتيح تتم إدارتها من خلال النظام الأساسي عند تمكين التشفير في المضيف. يتم تشفير ذاكرة التخزين المؤقت لأقراص OS/data في حالة راحة باستخدام مفتاح مدار من قبل العميل أو مفتاح مدار بواسطة النظام الأساسي، وذلك حسب نوع التشفير المحدد على القرص. تعرّف على المزيد من خلال https://aka.ms/vm-hbe. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين | بشكل افتراضي، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة عدم استخدام مفاتيح تُدار بواسطة النظام الأساسي. لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين الحوسبة والتخزين. تجاهل هذه التوصية إذا: 1. باستخدام التشفير في المضيف، أو 2. التشفير من جانب الخادم على الأقراص المُدارة يفي بمتطلبات الأمان. تعرف على المزيد في: تشفير Azure Disk Storage من جانب الخادم: https://aka.ms/disksse، العروض المختلفة لتشفير القرص: https://aka.ms/diskencryptioncomparison | AuditIfNotExists، معطل | 2.0.3 |
عزل العمليات
المعرف: FedRAMP High SC-39 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الاحتفاظ بمجالات تنفيذ منفصلة لتشغيل العمليات | CMA_C1665 - الاحتفاظ بمجالات تنفيذ منفصلة لتشغيل العمليات | يدوي، معطل | 1.1.0 |
سلامة النظام والمعلومات
إجراءات سلامة النظام والمعلومات ونهجه
المعرف: FedRAMP High SI-1 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| مراجعة إجراءات سلامة المعلومات ونهجه وتحديثهما | CMA_C1667 - مراجعة وتحديث نهج وإجراءات تكامل المعلومات | يدوي، معطل | 1.1.0 |
إصلاح الخلل
ID: FedRAMP High SI-2 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية | تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك. | AuditIfNotExists، معطل | 3.0.0 |
| يجب أن تستخدم تطبيقات App Service أحدث "إصدار من HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب أن تستخدم تطبيقات الوظائف أحدث "إصدار HTTP" | بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث. | AuditIfNotExists، معطل | 4.0.0 |
| دمج إصلاح الخلل في إدارة التكوين | CMA_C1671 - دمج معالجة الخلل في إدارة التكوين | يدوي، معطل | 1.1.0 |
| يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية | قم بترقية مجموعة خدمات Kubernetes إلى إصدار أحدث من Kubernetes للحماية من الثغرات الأمنية المعروفة في إصدار Kubernetes الحالي. تم تصحيح الثغرة الأمنية CVE-2019-9946 في إصدارات Kubernetes 1.11.9+ و1.12.7+ و1.13.5+ و1.14.0+ | المراجعة، معطلة | 1.0.2 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
| ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية | رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات. | AuditIfNotExists، معطل | 4.1.0 |
| يجب تثبيت تحديثات النظام على مجموعات مقياس الجهاز الظاهري | مراجعة ما إذا كانت هناك أي تحديثات أمان للنظام مفقودة والتحديثات المهمة التي يجب تثبيتها لضمان أن مجموعات نطاقات الجهاز الظاهري Windows وLinux آمنة. | AuditIfNotExists، معطل | 3.0.0 |
| ينبغي تثبيت تحديثات النظام على أجهزتك | سيراقب Azure Security Center تحديثات نظام الأمان المفقودة على خوادمك من قبيل التوصيات | AuditIfNotExists، معطل | 4.0.0 |
| يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك | ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات | AuditIfNotExists، معطل | 3.1.0 |
| يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري | قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات. | AuditIfNotExists، معطل | 3.0.0 |
حالة معالجة العيوب التلقائية
المعرف: FedRAMP High SI-2 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| أتمتة إصلاح الخلل | CMA_0027 - أتمتة معالجة الخلل | يدوي، معطل | 1.1.0 |
| معالجة عيوب نظام المعلومات | CMA_0427 - معالجة عيوب نظام المعلومات | يدوي، معطل | 1.1.0 |
حان الوقت لإصلاح العيوب / معايير الإجراءات التصحيحية
المعرف: FedRAMP High SI-2 (3) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| وضع معايير لإصلاح الخلل | CMA_C1675 - وضع معايير لمعالجة الخلل | يدوي، معطل | 1.1.0 |
| قياس الوقت بين تحديد الخلل وإصلاح الخلل | CMA_C1674 - قياس الوقت بين تحديد الخلل ومعالجة الخلل | يدوي، معطل | 1.1.0 |
حماية التعليمات البرمجية الضارة
ID: FedRAMP High SI-3 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري | قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية. | AuditIfNotExists، معطل | 3.0.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| مراقبة حماية نقطة النهاية المفقودة في Azure Security Center | ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| مراجعة حالة الحماية من التهديدات أسبوعيًا | CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
| يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 2.0.0 |
الإدارة المركزية
ID: FedRAMP High SI-3 (1) Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري | قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية. | AuditIfNotExists، معطل | 3.0.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| مراقبة حماية نقطة النهاية المفقودة في Azure Security Center | ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات | AuditIfNotExists، معطل | 3.0.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
| يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 2.0.0 |
التحديثات التلقائية
المعرف: FedRAMP High SI-3 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
الكشف القائم على عدم التوقيع
المعرف: FedRAMP High SI-3 (7) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB | يدوي، معطل | 1.1.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| إجراء عمليات فحص الثغرات الأمنية | CMA_0393 - إجراء عمليات فحص الثغرات الأمنية | يدوي، معطل | 1.1.0 |
| مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا | يدوي، معطل | 1.1.0 |
| تحديث تعريفات مكافحة الفيروسات | CMA_0517 - تحديث تعريفات مكافحة الفيروسات | يدوي، معطل | 1.1.0 |
مراقبة نظام المعلومات
ID: FedRAMP High SI-4 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور | لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي | AuditIfNotExists، معطل | 3.0.0 - المعاينة |
| [إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً | يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists، معطل | 6.0.0-المعاينة |
| [معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Linux Azure Arc الخاصة بك | يقوم هذا النهج بتدقيق أجهزة Linux Azure Arc إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 - المعاينة |
| [معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Windows Azure Arc الخاصة بك | يقوم هذا النهج بتدقيق أجهزة Windows Azure Arc إذا لم يتم تثبيت ملحق Log Analytics. | AuditIfNotExists، معطل | 1.0.1 - المعاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| [معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية | يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة. | AuditIfNotExists، معطل | 1.0.2-معاينة |
| يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك | لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها. | AuditIfNotExists، معطل | 1.0.1 |
| يجب تمكين Azure Defender for App Service | يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender لـ Azure SQL Database | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تمكين Azure Defender for Key Vault | يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين Azure Defender for Resource Manager | يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكين خوادم Azure Defender for SQL على الأجهزة | يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة. | AuditIfNotExists، معطل | 1.0.2 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية | تدقيق خوادم SQL بدون أمان البيانات المتقدم | AuditIfNotExists، معطل | 2.0.1 |
| ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية | دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم. | AuditIfNotExists، معطل | 1.0.2 |
| يجب تثبيت ملحق Guest Configuration على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تثبيت عامل Azure Log Analtics على الجهاز الظاهري لمراقبة Azure Security Center | يقوم هذا النهج بمراجعة أي أجهزة ظاهرية Windows/Linux (VMs) إذا لم يتم تثبيت عامل Log Analytics الذي يستخدمه Security Center لمراقبة الثغرات الأمنية والتهديدات | AuditIfNotExists، معطل | 1.0.0 |
| يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center | من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Azure Defender لـ Storage | يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف. | AuditIfNotExists، معطل | 1.0.0 |
| يجب تمكين Network Watcher | تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة. | AuditIfNotExists، معطل | 3.0.0 |
| التماس رأي قانوني لمراقبة أنشطة النظام | CMA_C1688 - الحصول على رأي قانوني لأنشطة نظام المراقبة | يدوي، معطل | 1.1.0 |
| إجراء تحليل للاتجاهات على التهديدات | CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات | يدوي، معطل | 1.1.0 |
| توفير معلومات المراقبة حسب الحاجة | CMA_C1689 - توفير معلومات المراقبة حسب الحاجة | يدوي، معطل | 1.1.0 |
| يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol. | AuditIfNotExists، معطل | 1.0.1 |
الأدوات التلقائية للتحليل في الوقت الحقيقي
المعرف: FedRAMP High SI-4 (2) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| عمليات أمان المستند | CMA_0202 - عمليات أمان المستندات | يدوي، معطل | 1.1.0 |
| تشغيل أجهزة الاستشعار لحل أمان نقطة النهاية | CMA_0514 - تشغيل أدوات الاستشعار لحل أمان نقطة النهاية | يدوي، معطل | 1.1.0 |
حركة الاتصالات الواردة والصادرة
المعرف: FedRAMP High SI-4 (4) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تخويل نقل الصوت عبر بروتوكول الإنترنت ومراقبته والتحكم به | CMA_0025 - تخويل الصوت عبر الإنترنت ومراقبته والتحكم فيه | يدوي، معطل | 1.1.0 |
| تنفيذ حماية حدود النظام | CMA_0328 - تنفيذ حماية حدود النظام | يدوي، معطل | 1.1.0 |
| إدارة البوابات | CMA_0363 - Manage gateways | يدوي، معطل | 1.1.0 |
| توجيه نسبة استخدام الشبكة عبر نقاط وصول الشبكة المُدارة | CMA_0484 - توجيه نسبة استخدام الشبكة من خلال نقاط الوصول إلى الشبكة المدارة | يدوي، معطل | 1.1.0 |
التنبيهات التي ينشئها النظام
المعرف: FedRAMP High SI-4 (5) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تنبيه موظفي تسرب المعلومات | CMA_0007 - تنبيه موظفي تسرب المعلومات | يدوي، معطل | 1.1.0 |
| تطوير خطة استجابة للحوادث | CMA_0145 - تطوير خطة الاستجابة للحوادث | يدوي، معطل | 1.1.0 |
| تعيين الإعلامات التلقائية للتطبيقات السحابية الجديدة والرائجة في مؤسستك | CMA_0495 - تعيين إعلامات تلقائية لتطبيقات السحابة الجديدة والمتجهة في مؤسستك | يدوي، معطل | 1.1.0 |
الكشف عن التطفل اللاسلكي
المعرف: FedRAMP High SI-4 (14) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| توثيق عناصر التحكم في أمان الوصول اللاسلكي | CMA_C1695 - توثيق عناصر التحكم في أمان الوصول اللاسلكي | يدوي، معطل | 1.1.0 |
خدمات الشبكة غير المصرح بها
المعرف: FedRAMP High SI-4 (22) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها | يدوي، معطل | 1.1.0 |
مؤشرات التسوية
المعرف: FedRAMP High SI-4 (24) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| اكتشاف أي مؤشرات للتسوية | CMA_C1702 - اكتشاف أي مؤشرات للتسوية | يدوي، معطل | 1.1.0 |
تنبيهات الأمان والتحذيرات والتوجيهات
المعرف: FedRAMP High SI-5 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| تعميم التنبيهات الأمنية للموظفين | CMA_C1705 - نشر التنبيهات الأمنية على الموظفين | يدوي، معطل | 1.1.0 |
| إنشاء برنامج التحليل الذكي للمخاطر | CMA_0260 - إنشاء برنامج استخباراتي للمخاطر | يدوي، معطل | 1.1.0 |
| إنشاء تنبيهات أمان داخلية | CMA_C1704 - إنشاء تنبيهات الأمان الداخلي | يدوي، معطل | 1.1.0 |
| تنفيذ توجيهات الأمان | CMA_C1706 - تنفيذ توجيهات الأمان | يدوي، معطل | 1.1.0 |
التنبيهات والنصائح التلقائية
المعرف: FedRAMP High SI-5 (1) الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استخدام الآليات التلقائية للتنبيهات الأمنية | CMA_C1707 - استخدام الآليات التلقائية للتنبيهات الأمنية | يدوي، معطل | 1.1.0 |
التحقق من وظيفة الأمان
المعرف: FedRAMP High SI-6 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء إجراءات بديلة للحالات الخارجة عن المألوف التي حُددت | CMA_C1711 - إنشاء إجراءات بديلة للحالات الشاذة المحددة | يدوي، معطل | 1.1.0 |
| إعلام الموظفين بأي اختبارات تحقق أمنية فاشلة | CMA_C1710 - إعلام الموظفين بأي اختبارات تحقق أمنية فاشلة | يدوي، معطل | 1.1.0 |
| إجراء التحقق من وظيفة الأمان بوتيرة محدد | CMA_C1709 - إجراء التحقق من وظيفة الأمان بتردد محدد | يدوي، معطل | 1.1.0 |
| التحقق من وظائف الأمان | CMA_C1708 - التحقق من وظائف الأمان | يدوي، معطل | 1.1.0 |
سلامة البرامج والبرامج الثابتة والمعلومات
المعرف: FedRAMP High SI-7 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحقق من سلامة البرامج والبرامج الثابتة والمعلومات | CMA_0542 - التحقق من سلامة البرامج والبرامج الثابتة والمعلومات | يدوي، معطل | 1.1.0 |
التحقق من النزاهة
المعرف: FedRAMP High SI-7 (1) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحقق من سلامة البرامج والبرامج الثابتة والمعلومات | CMA_0542 - التحقق من سلامة البرامج والبرامج الثابتة والمعلومات | يدوي، معطل | 1.1.0 |
| عرض بيانات تشخيص النظام وتكوينها | CMA_0544 - عرض بيانات تشخيص النظام وتكوينها | يدوي، معطل | 1.1.0 |
الاستجابة التلقائية لانتهاكات السلامة
المعرف: FedRAMP High SI-7 (5) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| استخدام إيقاف التشغيل/إعادة التشغيل التلقائي عند الكشف عن الانتهاكات | CMA_C1715 - استخدام إيقاف التشغيل/إعادة التشغيل التلقائي عند الكشف عن الانتهاكات | يدوي، معطل | 1.1.0 |
التعليمات البرمجية الثنائية أو للجهاز القابلة للتنفيذ
المعرف: FedRAMP High SI-7 (14) الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| حظر التعليمات البرمجية الثنائية / للجهاز القابلة للتنفيذ | CMA_C1717 - حظر التعليمات البرمجية الثنائية/القابلة للتنفيذ بواسطة الجهاز | يدوي، معطل | 1.1.0 |
التحقق من صحة إدخال المعلومات
المعرف: FedRAMP High SI-10 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إجراء التحقق من صحة إدخال المعلومات | CMA_C1723 - إجراء التحقق من صحة إدخال المعلومات | يدوي، معطل | 1.1.0 |
Error Handling
المعرف: FedRAMP High SI-11 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| إنشاء رسائل الأخطاء | CMA_C1724 - إنشاء رسائل خطأ | يدوي، معطل | 1.1.0 |
| الكشف عن رسائل الخطأ | CMA_C1725 - الكشف عن رسائل الخطأ | يدوي، معطل | 1.1.0 |
معالجة المعلومات والاحتفاظ بها
المعرف: FedRAMP High SI-12 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| التحكم في الوصول الفعلي | CMA_0081 - التحكم في الوصول الفعلي | يدوي، معطل | 1.1.0 |
| إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | CMA_0369 - إدارة إدخال البيانات وإخراجها ومعالجتها وتخزينها | يدوي، معطل | 1.1.0 |
| مراجعة نشاط التسمية والتحليلات | CMA_0474 - مراجعة نشاط التسمية والتحليلات | يدوي، معطل | 1.1.0 |
حماية الذاكرة
ID: FedRAMP High SI-16 Ownership: Shared
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| يجب تمكين Azure Defender للخوادم | يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة. | AuditIfNotExists، معطل | 1.0.3 |
| يجب تمكينWindows Defender Exploit Guard على أجهزتك | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). | AuditIfNotExists، معطل | 2.0.0 |
الخطوات التالية
مقالات إضافية حول Azure Policy:
- نظرة عامة على التوافق التنظيمي.
- راجع بنية تعريف المبادرة.
- مراجعة أمثلة أخرى في نماذج Azure Policy.
- راجع فهم تأثيرات النهج.
- تعرف على كيفية إصلاح الموارد غير المتوافقة.