تفاصيل مبادرة التوافق التنظيمي المضمنة في NIST SP 800-171 R2

توضح المقالة التالية بالتفصيل كيفية تعيين تعريف مبادرة التوافق التنظيمي مع نهج Azure المضمن إلى مجالات التوافق وعناصر التحكم في NIST SP 800-171 R2. لمزيد من المعلومات المتعلقة بمعيار التوافق المذكور، راجع ⁧NIST SP 800-171 R2⁧. لفهم الملكية، راجع تعريف نهج Azure و المسؤولية المشتركة في السحابة.

التعيينات التالية هي لعناصر تحكم NIST SP 800-171 R2. يتم تنفيذ العديد من عناصر التحكم بتعريف مبادرة ⁧Azure Policy⁧. لمراجعة تعريف المبادرة الكامل، افتح نهج في مدخل Microsoft Azure وحدد صفحة التعريفات. ثم ابحث عن تعريف المبادرة المضمنة للامتثال التنظيمي NIST SP 800-171 Rev. 2 وحدده.

هام

يرتبط كل عنصر تحكم أدناه بتعريف أو أكثر من تعريفات نهج Azure. قد تساعدك هذه السياسات على تقييم الامتثال بعنصر التحكم؛ ومع ذلك، غالباً ما لا يكون هناك تطابق أو تناظر كامل بين عنصر التحكم مع نهج واحد أو أكثر. على هذا النحو، تشير كلمة ⁧متوافق في Azure Policy فقط إلى تعريفات النهج ذاتها؛ وهذا لا يضمن أنك ممتثل تمامًا لكافة متطلبات عنصر التحكم. بالإضافة إلى ذلك، يتضمن معيار التوافق عناصر تحكم لا يتم تناولها بواسطة أي تعريفات خاصة بـ Azure Policy في هذا الوقت. لذلك، فإن التوافق في Azure Policy هو مجرد مظهر جزئي لحالة التوافق الكلي. قد تتغير الاقترانات بين مجالات الامتثال وعناصر التحكم وتعريفات Azure Policy لمعيار الامتثال المذكور بمرور الوقت. لعرض تاريخ التغييرات، راجع تاريخ امتثال شركة GitHub.

التحكم في الوصول

تقييد الوصول إلى نظام المعلومات للمستخدمين المصرح لهم، والعمليات التي تجري بالنيابة عن المستخدمين والأجهزة المسموح بها (بما في ذلك أنظمة المعلومات الأخرى).

المعرّف: NIST SP 800-171 R2 3.1.1 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تعيين 3 مالكين كحد أقصى للاشتراك	يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق.	AuditIfNotExists، معطل	3.0.0
يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA)	يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات	يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم	تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL	راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft	AuditIfNotExists، معطل	1.0.0
يجب أن يستخدم تكوين التطبيق رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
يجب أن تستخدم تطبيقات App Service الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
مراجعة أجهزة Linux التي تسمح بالاتصالات عن بُعد من الحسابات من دون كلمات مرور	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux تسمح بالاتصال عن بعد من الحسابات بدون كلمات مرور	AuditIfNotExists، معطل	3.1.0
تدقيق أجهزة Linux التي لديها حسابات بدون كلمات مرور	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux التي لها حسابات بدون كلمات مرور	AuditIfNotExists، معطل	3.1.0
تدقيق استخدام أدوار RBAC المخصصة	تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات	المراجعة، معطلة	1.0.1
يجب أن تتطلب المصادقة على أجهزة Linux مفاتيح SSH	على الرغم من أن SSH نفسه يوفر اتصالاً مشفراً، فإن استخدام كلمات المرور مع SSH لا يزال يترك الجهاز الظاهري عرضة لهجمات القوة الغاشمة. الخيار الأكثر أماناً للمصادقة إلى جهاز ظاهري Azure Linux عبر SSH يكون باستخدام زوج مفاتيح public-private والذي يُعرف أيضًا باسم مفاتيح SSH. اعرف المزيد:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists، معطل	3.2.0
يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية)	يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth	التدقيق، الرفض، التعطيل	1.1.0
يجب أن تستخدم Azure API for FHIR الرابط الخاص	يجب أن يكون لدى Azure API for FHIR اتصال نقطة نهاية خاصة واحدة معتمد على الأقل. يمكن للعملاء في الشبكة الظاهرية الوصول بأمان إلى الموارد التي لها اتصالات نقطة نهاية خاصة من خلال الروابط الخاصة. لمزيد من المعلومات، يرجى زيارة: https://aka.ms/fhir-privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً	تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص	مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	المراجعة، معطلة	1.0.0
يجب أن تستخدم Azure Data Factory رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا	يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم Azure Key Vaults رابطا خاصا	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	المراجعة، معطلة	1.0.0
يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink.	المراجعة، معطلة	1.0.0
يجب أن يستخدم Azure Spring Cloud ميزة إضافة الشبكة	يجب أن تستخدم مثيلات Azure Spring Cloud إدخال الشبكة الظاهرية للأغراض التالية: 1. عزل Azure Spring Cloud من الإنترنت. 2. تمكين Azure Spring Cloud من التفاعل مع الأنظمة في مركز البيانات المحلية أو خدمة Azure في الشبكات الظاهرية الأخرى. 3. تمكين العملاء من التحكم في اتصالات الشبكة الواردة والصادرة لـ Azure Spring Cloud.	تدقيق، تعطيل، رفض	1.2.0
يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	المراجعة، معطلة	1.0.1
يجب أن تستخدم خدمة Azure Web PubSub رابطاً خاصاً	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. يمكنك تقليل مخاطر تسريب البيانات من خلال تعيين نقاط نهاية خاصة إلى Azure Web PubSub Service الخاصة بك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/awps/privatelink.	المراجعة، معطلة	1.0.0
يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول.	AuditIfNotExists، معطل	1.0.0
يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure	يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800.	المراجعة، معطلة	3.0.0
يجب أن تستخدم سجلات الحاويات رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link.	المراجعة، معطلة	1.0.1
يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	المراجعة، معطلة	1.0.0
تحديد أنواع حسابات نظام المعلومات	CMA_0121 - تعريف أنواع حسابات نظام المعلومات	يدوي، معطل	1.1.0
توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux	ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	deployIfNotExists	3.1.0
يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists، معطل	1.0.0
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
يجب أن تستخدم تطبيقات الوظائف الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure	يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure	يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet.	المراجعة، معطلة	1.0.0
يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL.	المراجعة، معطلة	1.1.0
يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم MySQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل	تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric	التدقيق، الرفض، التعطيل	1.1.0
يجب ترحيل حسابات التخزين إلى موارد Azure Resource Manager الجديدة	استخدم Azure Resource Manager الجديد لحسابات التخزين لتزويد تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، وتحسين التدقيق، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى مخزن البيانات السرية، والمصادقة المستندة إلى Microsoft Azure Active Directory ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تستخدم حسابات التخزين رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview	AuditIfNotExists، معطل	2.0.0
يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة	استخدم إدارة موارد Azure الجديدة للأجهزة الظاهرية لتوفير تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، والمراجعة الأفضل، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى خزنة المفاتيح للأسرار، والمصادقة المستندة إلى Azure AD، ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	تدقيق، تعطيل، رفض	1.1.0

إنهاء (تلقائيا) جلسة عمل مستخدم بعد شرط محدد.

المعرف: NIST SP 800-171 R2 3.1.11 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
إنهاء جلسة عمل المستخدم تلقائيًا	CMA_C1054 - إنهاء جلسة عمل المستخدم تلقائيًا	يدوي، معطل	1.1.0

مراقبة جلسات الوصول عن بُعد والتحكم بها.

المعرّف: NIST SP 800-171 R2 3.1.12 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات	يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم	تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
يجب أن يستخدم تكوين التطبيق رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
مراجعة أجهزة Linux التي تسمح بالاتصالات عن بُعد من الحسابات من دون كلمات مرور	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا كانت أجهزة Linux تسمح بالاتصال عن بعد من الحسابات بدون كلمات مرور	AuditIfNotExists، معطل	3.1.0
يجب أن تستخدم Azure API for FHIR الرابط الخاص	يجب أن يكون لدى Azure API for FHIR اتصال نقطة نهاية خاصة واحدة معتمد على الأقل. يمكن للعملاء في الشبكة الظاهرية الوصول بأمان إلى الموارد التي لها اتصالات نقطة نهاية خاصة من خلال الروابط الخاصة. لمزيد من المعلومات، يرجى زيارة: https://aka.ms/fhir-privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً	تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص	مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	المراجعة، معطلة	1.0.0
يجب أن تستخدم Azure Data Factory رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا	يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم Azure Key Vaults رابطا خاصا	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	المراجعة، معطلة	1.0.0
يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink.	المراجعة، معطلة	1.0.0
يجب أن يستخدم Azure Spring Cloud ميزة إضافة الشبكة	يجب أن تستخدم مثيلات Azure Spring Cloud إدخال الشبكة الظاهرية للأغراض التالية: 1. عزل Azure Spring Cloud من الإنترنت. 2. تمكين Azure Spring Cloud من التفاعل مع الأنظمة في مركز البيانات المحلية أو خدمة Azure في الشبكات الظاهرية الأخرى. 3. تمكين العملاء من التحكم في اتصالات الشبكة الواردة والصادرة لـ Azure Spring Cloud.	تدقيق، تعطيل، رفض	1.2.0
يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	المراجعة، معطلة	1.0.1
يجب أن تستخدم خدمة Azure Web PubSub رابطاً خاصاً	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. يمكنك تقليل مخاطر تسريب البيانات من خلال تعيين نقاط نهاية خاصة إلى Azure Web PubSub Service الخاصة بك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/awps/privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800.	المراجعة، معطلة	3.0.0
يجب أن تستخدم سجلات الحاويات رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link.	المراجعة، معطلة	1.0.1
يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	المراجعة، معطلة	1.0.0
توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux	ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	deployIfNotExists	3.1.0
يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists، معطل	1.0.0
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet.	المراجعة، معطلة	1.0.0
مراقبة الوصول عبر المؤسسة	CMA_0376 - مراقبة الوصول عبر المؤسسة	يدوي، معطل	1.1.0
يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL.	المراجعة، معطلة	1.1.0
يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم MySQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تستخدم حسابات التخزين رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview	AuditIfNotExists، معطل	2.0.0
يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	تدقيق، تعطيل، رفض	1.1.0

استخدم آليات التشفير لحماية سرية جلسات الوصول عن بعد.

المعرف: NIST SP 800-171 R2 3.1.13 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب أن يستخدم تكوين التطبيق رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب أن تستخدم Azure API for FHIR الرابط الخاص	يجب أن يكون لدى Azure API for FHIR اتصال نقطة نهاية خاصة واحدة معتمد على الأقل. يمكن للعملاء في الشبكة الظاهرية الوصول بأمان إلى الموارد التي لها اتصالات نقطة نهاية خاصة من خلال الروابط الخاصة. لمزيد من المعلومات، يرجى زيارة: https://aka.ms/fhir-privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً	تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص	مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	المراجعة، معطلة	1.0.0
يجب أن تستخدم Azure Data Factory رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا	يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم Azure Key Vaults رابطا خاصا	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	المراجعة، معطلة	1.0.0
يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink.	المراجعة، معطلة	1.0.0
يجب أن يستخدم Azure Spring Cloud ميزة إضافة الشبكة	يجب أن تستخدم مثيلات Azure Spring Cloud إدخال الشبكة الظاهرية للأغراض التالية: 1. عزل Azure Spring Cloud من الإنترنت. 2. تمكين Azure Spring Cloud من التفاعل مع الأنظمة في مركز البيانات المحلية أو خدمة Azure في الشبكات الظاهرية الأخرى. 3. تمكين العملاء من التحكم في اتصالات الشبكة الواردة والصادرة لـ Azure Spring Cloud.	تدقيق، تعطيل، رفض	1.2.0
يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	المراجعة، معطلة	1.0.1
يجب أن تستخدم خدمة Azure Web PubSub رابطاً خاصاً	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. يمكنك تقليل مخاطر تسريب البيانات من خلال تعيين نقاط نهاية خاصة إلى Azure Web PubSub Service الخاصة بك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/awps/privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800.	المراجعة، معطلة	3.0.0
يجب أن تستخدم سجلات الحاويات رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link.	المراجعة، معطلة	1.0.1
يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	المراجعة، معطلة	1.0.0
يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet.	المراجعة، معطلة	1.0.0
إعلام المستخدمين عن تسجيل الدخول إلى النظام أو الوصول إليه	CMA_0382 - إعلام المستخدمين عن تسجيل دخول النظام أو الوصول إليه	يدوي، معطل	1.1.0
يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL.	المراجعة، معطلة	1.1.0
يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم MySQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
حماية البيانات أثناء النقل باستخدام التشفير	CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير	يدوي، معطل	1.1.0
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تستخدم حسابات التخزين رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview	AuditIfNotExists، معطل	2.0.0
يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	تدقيق، تعطيل، رفض	1.1.0

توجيه الوصول عن بُعد عبر نقاط التحكم في الوصول المُدارة.

المعرف: NIST SP 800-171 R2 3.1.14 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب أن يستخدم تكوين التطبيق رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب أن تستخدم Azure API for FHIR الرابط الخاص	يجب أن يكون لدى Azure API for FHIR اتصال نقطة نهاية خاصة واحدة معتمد على الأقل. يمكن للعملاء في الشبكة الظاهرية الوصول بأمان إلى الموارد التي لها اتصالات نقطة نهاية خاصة من خلال الروابط الخاصة. لمزيد من المعلومات، يرجى زيارة: https://aka.ms/fhir-privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً	تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص	مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	المراجعة، معطلة	1.0.0
يجب أن تستخدم Azure Data Factory رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا	يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم Azure Key Vaults رابطا خاصا	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	المراجعة، معطلة	1.0.0
يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink.	المراجعة، معطلة	1.0.0
يجب أن يستخدم Azure Spring Cloud ميزة إضافة الشبكة	يجب أن تستخدم مثيلات Azure Spring Cloud إدخال الشبكة الظاهرية للأغراض التالية: 1. عزل Azure Spring Cloud من الإنترنت. 2. تمكين Azure Spring Cloud من التفاعل مع الأنظمة في مركز البيانات المحلية أو خدمة Azure في الشبكات الظاهرية الأخرى. 3. تمكين العملاء من التحكم في اتصالات الشبكة الواردة والصادرة لـ Azure Spring Cloud.	تدقيق، تعطيل، رفض	1.2.0
يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	المراجعة، معطلة	1.0.1
يجب أن تستخدم خدمة Azure Web PubSub رابطاً خاصاً	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. يمكنك تقليل مخاطر تسريب البيانات من خلال تعيين نقاط نهاية خاصة إلى Azure Web PubSub Service الخاصة بك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/awps/privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800.	المراجعة، معطلة	3.0.0
يجب أن تستخدم سجلات الحاويات رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link.	المراجعة، معطلة	1.0.1
يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	المراجعة، معطلة	1.0.0
يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet.	المراجعة، معطلة	1.0.0
يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL.	المراجعة، معطلة	1.1.0
يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم MySQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
توجيه نسبة استخدام الشبكة عبر نقاط وصول الشبكة المُدارة	CMA_0484 - توجيه نسبة استخدام الشبكة من خلال نقاط الوصول إلى الشبكة المدارة	يدوي، معطل	1.1.0
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تستخدم حسابات التخزين رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview	AuditIfNotExists، معطل	2.0.0
يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	تدقيق، تعطيل، رفض	1.1.0

المصادقة على تنفيذ الأوامر المميزة عن بعد والوصول عن بعد إلى المعلومات ذات الصلة بالأمان.

المعرف: NIST SP 800-171 R2 3.1.15 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تخويل الوصول عن بعد	CMA_0024 - تخويل الوصول عن بُعد	يدوي، معطل	1.1.0
تخويل الوصول عن بُعد إلى الأوامر المميزة	CMA_C1064 - تخويل الوصول عن بعد إلى الأوامر المميزة	يدوي، معطل	1.1.0
توثيق إرشادات الوصول عن بعد	CMA_0196 - توثيق إرشادات الوصول عن بُعد	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة	CMA_0315 - تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة	يدوي، معطل	1.1.0
توفير التدريب على الخصوصية	CMA_0415 - توفير التدريب على الخصوصية	يدوي، معطل	1.1.0

تخويل الوصول اللاسلكي قبل السماح بمثل هذه الاتصالات

المعرف: NIST SP 800-171 R2 3.1.16 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
توثيق إرشادات الوصول اللاسلكي وتنفيذه	CMA_0190 - توثيق وتنفيذ إرشادات الوصول اللاسلكي	يدوي، معطل	1.1.0
حماية الوصول اللاسلكي	CMA_0411 - حماية الوصول اللاسلكي	يدوي، معطل	1.1.0

حماية الوصول اللاسلكي باستخدام المصادقة والتشفير

المعرف: NIST SP 800-171 R2 3.1.17 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
توثيق إرشادات الوصول اللاسلكي وتنفيذه	CMA_0190 - توثيق وتنفيذ إرشادات الوصول اللاسلكي	يدوي، معطل	1.1.0
تحديد أجهزة الشبكة ومصادقتها	CMA_0296 - تحديد أجهزة الشبكة ومصادقتها	يدوي، معطل	1.1.0
حماية الوصول اللاسلكي	CMA_0411 - حماية الوصول اللاسلكي	يدوي، معطل	1.1.0

التحكم في اتصال الأجهزة المحمولة.

المعرف: NIST SP 800-171 R2 3.1.18 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تحديد متطلبات الأجهزة المحمولة	CMA_0122 - تحديد متطلبات الجهاز المحمول	يدوي، معطل	1.1.0

تشفير CUI على الأجهزة المحمولة ومنصات الحوسبة المحمولة

المعرف: NIST SP 800-171 R2 3.1.19 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تحديد متطلبات الأجهزة المحمولة	CMA_0122 - تحديد متطلبات الجهاز المحمول	يدوي، معطل	1.1.0
حماية البيانات أثناء النقل باستخدام التشفير	CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير	يدوي، معطل	1.1.0

تقييد وصول النظام إلى أنواع المعاملات والوظائف التي يسمح للمستخدمين المعتمدين بتنفيذها.

المعرف: NIST SP 800-171 R2 3.1.2 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA)	يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL	راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft	AuditIfNotExists، معطل	1.0.0
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
يجب أن تستخدم تطبيقات App Service الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
تدقيق الدوال المميزة	CMA_0019 - تدقيق الوظائف المتميزة	يدوي، معطل	1.1.0
تدقيق استخدام أدوار RBAC المخصصة	تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات	المراجعة، معطلة	1.0.1
السماح بالوصول إلى وظائف الأمان والمعلومات	CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات	يدوي، معطل	1.1.0
تخويل الوصول وإدارته	CMA_0023 - تخويل الوصول وإدارته	يدوي، معطل	1.1.0
تخويل الوصول عن بعد	CMA_0024 - تخويل الوصول عن بُعد	يدوي، معطل	1.1.0
يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية)	يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth	التدقيق، الرفض، التعطيل	1.1.0
يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول.	AuditIfNotExists، معطل	1.0.0
يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure	يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول.	AuditIfNotExists، معطل	1.0.0
فرض الاستخدام المناسب لجميع الحسابات	CMA_C1023 - فرض الاستخدام المناسب لجميع الحسابات	يدوي، معطل	1.1.0
فرض الوصول المنطقي	CMA_0245 - Enforce logical access	يدوي، معطل	1.1.0
فرض نهج التحكم في الوصول الإلزامية والاختيارية	CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية	يدوي، معطل	1.1.0
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
يجب أن تستخدم تطبيقات الوظائف الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure	يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure	يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
مراقبة تعيين الدور المتميز	CMA_0378 - مراقبة تعيين الدور المتميز	يدوي، معطل	1.1.0
طلب الموافقة لإنشاء الحساب	CMA_0431 - طلب الموافقة لإنشاء الحساب	يدوي، معطل	1.1.0
تقييد الوصول إلى الحسابات المتميزة	CMA_0446 - تقييد الوصول إلى الحسابات المتميزة	يدوي، معطل	1.1.0
مراجعة مجموعات المستخدمين والتطبيقات التي لها حق الوصول إلى البيانات الحساسة	CMA_0481 - مراجعة مجموعات المستخدم والتطبيقات التي لها حق الوصول إلى البيانات الحساسة	يدوي، معطل	1.1.0
إبطال الأدوار المتميزة حسب الاقتضاء	CMA_0483 - إبطال الأدوار المتميزة حسب الاقتضاء	يدوي، معطل	1.1.0
يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل	تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric	التدقيق، الرفض، التعطيل	1.1.0
يجب ترحيل حسابات التخزين إلى موارد Azure Resource Manager الجديدة	استخدم Azure Resource Manager الجديد لحسابات التخزين لتزويد تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، وتحسين التدقيق، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى مخزن البيانات السرية، والمصادقة المستندة إلى Microsoft Azure Active Directory ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان	التدقيق، الرفض، التعطيل	1.0.0
استخدم إدارة الهويةَ المتميزة	CMA_0533 - استخدم إدارة الهويةَ المتميزة	يدوي، معطل	1.1.0
يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة	استخدم إدارة موارد Azure الجديدة للأجهزة الظاهرية لتوفير تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، والمراجعة الأفضل، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى خزنة المفاتيح للأسرار، والمصادقة المستندة إلى Azure AD، ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان	التدقيق، الرفض، التعطيل	1.0.0

التحقق من الاتصالات بالأنظمة الخارجية والتحكم فيها/تقييدها واستخدامها.

المعرف: NIST SP 800-171 R2 3.1.20 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
وضع أحكام وشروط للوصول إلى الموارد	CMA_C1076 - وضع أحكام وشروط للوصول إلى الموارد	يدوي، معطل	1.1.0
وضع أحكام وشروط لمعالجة الموارد	CMA_C1077 - وضع أحكام وشروط لمعالجة الموارد	يدوي، معطل	1.1.0

الحد من استخدام أجهزة التخزين المحمولة على الأنظمة الخارجية.

المعرف: NIST SP 800-171 R2 3.1.21 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	يدوي، معطل	1.1.0
التحكم في استخدام أجهزة التخزين المحمولة	CMA_0083 - التحكم في استخدام أجهزة التخزين المحمولة	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0

التحكم في CUI المنشورة أو المعالجة على أنظمة يمكن الوصول إليها بشكل عام.

المعرف: NIST SP 800-171 R2 3.1.22 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تعيين موظفين معتمدين لنشر المعلومات المتاحة للجميع	CMA_C1083 - تعيين موظفين معتمدين لنشر المعلومات التي يمكن الوصول إليها بشكل عام	يدوي، معطل	1.1.0
مراجعة المحتوى قبل نشر معلومات متاحة للجميع	CMA_C1085 - مراجعة المحتوى قبل نشر معلومات يمكن الوصول إليها بشكل عام	يدوي، معطل	1.1.0
مراجعة المحتوى المتاح للجميع للحصول على معلومات غير عامة	CMA_C1086 - مراجعة المحتوى الذي يمكن الوصول إليه بشكل عام للحصول على معلومات غير عامة	يدوي، معطل	1.1.0
تدريب الموظفين على الكشف عن المعلومات غير عامة	CMA_C1084 - تدريب الموظفين على الكشف عن المعلومات غير العامة	يدوي، معطل	1.1.0

التحكم في تدفق المعلومات غير المصنفة الخاضعة للرقابة (CUI) وفقًا للتراخيص المعتمدة.

المعرّف: NIST SP 800-171 R2 3.1.3 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
[معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين	يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك.	تدقيق، Audit، رفض، Deny، معطل، Disabled	3.1.0-المعاينة
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم خدمات APIM شبكة ظاهرية	يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب أن يستخدم تكوين التطبيق رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists، معطل	⁧1.0.2⁧
تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك	يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات.	AuditIfNotExists، معطل	2.0.0
يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة.	المراجعة، معطلة	2.0.1
يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة	من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure.	التدقيق، الرفض، التعطيل	3.2.0
يجب أن تستخدم Azure API for FHIR الرابط الخاص	يجب أن يكون لدى Azure API for FHIR اتصال نقطة نهاية خاصة واحدة معتمد على الأقل. يمكن للعملاء في الشبكة الظاهرية الوصول بأمان إلى الموارد التي لها اتصالات نقطة نهاية خاصة من خلال الروابط الخاصة. لمزيد من المعلومات، يرجى زيارة: https://aka.ms/fhir-privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً	تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص	مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تعطل خدمات Azure Cognitive Search الوصول إلى الشبكة العامة	يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض خدمة Azure Cognitive Search على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض خدمة البحث. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	المراجعة، معطلة	1.0.0
يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية	يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تستخدم Azure Data Factory رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا	يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة.	AuditIfNotExists، معطل	1.0.0
يجب تمكين جدار حماية Azure Key Vault	قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security	التدقيق، الرفض، التعطيل	3.2.1
يجب أن تستخدم Azure Key Vaults رابطا خاصا	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	المراجعة، معطلة	1.0.0
يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	المراجعة، معطلة	1.0.1
يجب أن تستخدم خدمة Azure Web PubSub رابطاً خاصاً	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. يمكنك تقليل مخاطر تسريب البيانات من خلال تعيين نقاط نهاية خاصة إلى Azure Web PubSub Service الخاصة بك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/awps/privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800.	المراجعة، معطلة	3.0.0
يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة	تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تستخدم سجلات الحاويات رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link.	المراجعة، معطلة	1.0.1
التحكم في تدفق المعلومات	CMA_0079 - التحكم في تدفق المعلومات	يدوي، معطل	1.1.0
يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	المراجعة، معطلة	1.0.0
يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists، معطل	1.0.0
استخدام آليات التحكم في التدفق للمعلومات المشفرة	CMA_0211 - استخدام آليات التحكم في التدفق للمعلومات المشفرة	يدوي، معطل	1.1.0
قم بإنشاء وتنفيذ جدار الحماية ومعايير تكوين جهاز التوجيه	CMA_0272 - إنشاء معايير تكوين جدار الحماية والموجه	يدوي، معطل	1.1.0
إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة	CMA_0273 - إنشاء تجزئة الشبكة لبيئة بيانات حامل البطاقة	يدوي، معطل	1.1.0
يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists، معطل	1.0.0
تحديد وإدارة عمليات تبادل المعلومات في المراحل النهائية	CMA_0298 - تحديد وإدارة تبادل المعلومات في المراحل النهائية	يدوي، معطل	1.1.0
التحكم في تدفق المعلومات باستخدام عوامل تصفية نهج الأمان	CMA_C1029 - التحكم في تدفق المعلومات باستخدام عوامل تصفية نهج الأمان	يدوي، معطل	1.1.0
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet.	المراجعة، معطلة	1.0.0
يجب تعطيل إعادة توجيه IP على الجهاز الظاهري	يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة.	AuditIfNotExists، معطل	3.0.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية	تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز.	AuditIfNotExists، معطل	3.0.0
يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة	قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL.	المراجعة، معطلة	1.1.0
يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم MySQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	1.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP.	التدقيق، الرفض، التعطيل	2.0.1
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية	احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك.	التدقيق، الرفض، التعطيل	1.0.1
يجب أن تستخدم حسابات التخزين رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview	AuditIfNotExists، معطل	2.0.0
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة	حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها.	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	تدقيق، تعطيل، رفض	1.1.0

افصل واجبات الأفراد للحد من خطر النشاط السيئ دون تواطؤ.

المعرّف: NIST SP 800-171 R2 3.1.4 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تفقد أجهزة Windows التي تعمل بنظام التشغيل أيّ أعضاء محددين في مجموعة المسؤولين	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت مجموعة Administrators المحلية لا تحتوي على عضو واحد أو أكثر مدرجين في معلمة النهج.	auditIfNotExists	2.0.0
⁧تدوين Windows الأجهزة التي تحتوي على الأعضاء المحددين في مجموعة المسؤولين⁧	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت مجموعة المسؤولين المحليين تحتوي على واحد أو أكثر من الأعضاء المدرجين في معلمة النهج.	auditIfNotExists	2.0.0
تحديد أذونات الوصول لدعم فصل الواجبات	CMA_0116 - تحديد أذونات الوصول لدعم فصل الواجبات	يدوي، معطل	1.1.0
توثيق فصل الواجبات	CMA_0204 - وثيقة فصل الواجبات	يدوي، معطل	1.1.0
فصل واجبات الأفراد	CMA_0492 - واجبات منفصلة للأفراد	يدوي، معطل	1.1.0
يجب تعيين أكثر من مالك واحد لاشتراكك	يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول.	AuditIfNotExists، معطل	3.0.0

استخدام مبدأ أدنى الامتيازات، بما في ذلك وظائف الأمان المحددة والحسابات المميزة.

المعرف: NIST SP 800-171 R2 3.1.5 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تعيين 3 مالكين كحد أقصى للاشتراك	يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق.	AuditIfNotExists، معطل	3.0.0
تدقيق استخدام أدوار RBAC المخصصة	تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات	المراجعة، معطلة	1.0.1
السماح بالوصول إلى وظائف الأمان والمعلومات	CMA_0022 - تخويل الوصول إلى وظائف الأمان والمعلومات	يدوي، معطل	1.1.0
تخويل الوصول وإدارته	CMA_0023 - تخويل الوصول وإدارته	يدوي، معطل	1.1.0
تصميم نموذج التحكم في الوصول	CMA_0129 - تصميم نموذج التحكم في الوصول	يدوي، معطل	1.1.0
استخدام الوصول الأقل امتيازًا	CMA_0212 - استخدام الوصول الأقل امتيازًا	يدوي، معطل	1.1.0
فرض نهج التحكم في الوصول الإلزامية والاختيارية	CMA_0246 - فرض نهج التحكم في الوصول الإلزامية والاختيارية	يدوي، معطل	1.1.0
تقييد الوصول إلى الحسابات المتميزة	CMA_0446 - تقييد الوصول إلى الحسابات المتميزة	يدوي، معطل	1.1.0

امنع المستخدمين غير المميزين من تنفيذ الوظائف المميزة والتقط مرات تنفيذ هذه الوظائف في سجلات التدقيق.

المعرف: NIST SP 800-171 R2 3.1.7 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تدقيق الدوال المميزة	CMA_0019 - تدقيق الوظائف المتميزة	يدوي، معطل	1.1.0
إجراء تحليل نصي كامل للأوامر المميزة المسجلة	CMA_0056 - إجراء تحليل نصي كامل للأوامر المميزة المسجلة	يدوي، معطل	1.1.0
مراقبة تعيين الدور المتميز	CMA_0378 - مراقبة تعيين الدور المتميز	يدوي، معطل	1.1.0
تقييد الوصول إلى الحسابات المتميزة	CMA_0446 - تقييد الوصول إلى الحسابات المتميزة	يدوي، معطل	1.1.0
إبطال الأدوار المتميزة حسب الاقتضاء	CMA_0483 - إبطال الأدوار المتميزة حسب الاقتضاء	يدوي، معطل	1.1.0
استخدم إدارة الهويةَ المتميزة	CMA_0533 - استخدم إدارة الهويةَ المتميزة	يدوي، معطل	1.1.0

الحد من محاولات تسجيل الدخول غير الناجحة.

المعرف: NIST SP 800-171 R2 3.1.8 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
فرض حدّ لمحاولات تسجيل الدخول الفاشلة المتتالية	CMA_C1044 - فرض حد محاولات تسجيل الدخول الفاشلة المتتالية	يدوي، معطل	1.1.0

الحماية المادية

تقييد الوصول المادي إلى الأنظمة التنظيمية والمعدات وبيئات التشغيل المعنية بالأفراد المعتمدين.

المعرف: NIST SP 800-171 R2 3.10.1 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
التحكم في الوصول الفعلي	CMA_0081 - التحكم في الوصول الفعلي	يدوي، معطل	1.1.0

حماية ومراقبة المرفق المادي والبنية التحتية الداعمة للأنظمة التنظيمية.

المعرف: NIST SP 800-171 R2 3.10.2 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تثبيت نظام إنذار	CMA_0338 - تثبيت نظام إنذار	يدوي، معطل	1.1.0
إدارة نظام كاميرا مراقبة آمن	CMA_0354 - إدارة نظام كاميرا مراقبة آمن	يدوي، معطل	1.1.0

مرافقة الزوار ومراقبة نشاط الزوار.

المعرف: NIST SP 800-171 R2 3.10.3 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
التحكم في الوصول الفعلي	CMA_0081 - التحكم في الوصول الفعلي	يدوي، معطل	1.1.0
تنفيذ الأمان الفعلي للمكاتب ومناطق العمل والمناطق الآمنة	CMA_0323 - تنفيذ الأمن المادي للمكاتب ومناطق العمل والمناطق الآمنة	يدوي، معطل	1.1.0

الاحتفاظ بسجلات التدقيق للوصول الفعلي.

المعرف: NIST SP 800-171 R2 3.10.4 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
التحكم في الوصول الفعلي	CMA_0081 - التحكم في الوصول الفعلي	يدوي، معطل	1.1.0

التحكم في أجهزة الوصول الفعلي وإدارتها.

المعرف: NIST SP 800-171 R2 3.10.5 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
التحكم في الوصول الفعلي	CMA_0081 - التحكم في الوصول الفعلي	يدوي، معطل	1.1.0
تعريف عملية إدارة المفاتيح الفعلية	CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية	يدوي، معطل	1.1.0
إنشاء مخزون الأصول والحفاظ عليه	CMA_0266 - إنشاء مخزون الأصول وصيانته	يدوي، معطل	1.1.0
تنفيذ الأمان الفعلي للمكاتب ومناطق العمل والمناطق الآمنة	CMA_0323 - تنفيذ الأمن المادي للمكاتب ومناطق العمل والمناطق الآمنة	يدوي، معطل	1.1.0

فرض تدابير الحماية لواجهة المستخدم في مواقع العمل البديلة.

المعرف: NIST SP 800-171 R2 3.10.6 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة	CMA_0315 - تنفيذ عناصر التحكم لتأمين مواقع العمل البديلة	يدوي، معطل	1.1.0

تقييم المخاطر

تقييم المخاطر بشكل دوري على العمليات التنظيمية والأصول التنظيمية والأفراد، الناتجة عن تشغيل الأنظمة التنظيمية وما يرتبط بها من معالجة أو تخزين أو نقل CUI

المعرف: NIST SP 800-171 R2 3.11.1 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تقييم المخاطر في علاقات الجهات الخارجية	CMA_0014 - تقييم المخاطر في علاقات الجهات الخارجية	يدوي، معطل	1.1.0
إجراء تقييم المخاطر	CMA_0388 - إجراء تقييم للمخاطر	يدوي، معطل	1.1.0

قم بالمسح بحثًا عن الثغرات الأمنية في الأنظمة والتطبيقات التنظيمية دوريًا وعند تحديد الثغرات الأمنية الجديدة التي تؤثر في تلك الأنظمة والتطبيقات.

المعرّف: NIST SP 800-171 R2 3.11.2 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية	تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك.	AuditIfNotExists، معطل	3.0.0
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender for Resource Manager	يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
تنفيذ الوصول المتميز لتنفيذ أنشطة فحص الثغرات الأمنية	CMA_C1555 - تنفيذ الوصول المتميز لتنفيذ أنشطة فحص الثغرات الأمنية	يدوي، معطل	1.1.0
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
معالجة عيوب نظام المعلومات	CMA_0427 - معالجة عيوب نظام المعلومات	يدوي، معطل	1.1.0
ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية	رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات.	AuditIfNotExists، معطل	4.1.0
يجب أن يتم حل نتائج الثغرات الأمنية في خوادم SQL على الأجهزة	يقوم تقييم الثغرات الأمنية في SQL بفحص قاعدة البيانات بحثًا عن أي ثغرات أمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات الزائدة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عُثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات.	AuditIfNotExists، معطل	1.0.0
يجب معالجة الثغرات في تكوينات أمان الحاوية	تدقيق الثغرات الأمنية في تكوين الأمان على الأجهزة مع تثبيت Docker وعرضها كتوصيات في مركز أمان Azure.	AuditIfNotExists، معطل	3.0.0
يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك	ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات	AuditIfNotExists، معطل	3.1.0
يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري	قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات.	AuditIfNotExists، معطل	3.0.0
ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار	مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	1.0.1
ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك	تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	3.0.0
يجب تمكين تقييم الثغرات الأمنية على مساحات عمل Synapse	اكتشف الثغرات الأمنية المحتملة وتعقبها وصلحها عن طريق تكوين عمليات فحص تقييم الضعف المتكررة SQL على مساحات عمل Synapse.	AuditIfNotExists، معطل	1.0.0

معالجة الثغرات الأمنية وفقًا لتقييمات المخاطر.

المعرف: NIST SP 800-171 R2 3.11.3 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية	تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك.	AuditIfNotExists، معطل	3.0.0
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender for Resource Manager	يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
معالجة عيوب نظام المعلومات	CMA_0427 - معالجة عيوب نظام المعلومات	يدوي، معطل	1.1.0
ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية	رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات.	AuditIfNotExists، معطل	4.1.0
يجب أن يتم حل نتائج الثغرات الأمنية في خوادم SQL على الأجهزة	يقوم تقييم الثغرات الأمنية في SQL بفحص قاعدة البيانات بحثًا عن أي ثغرات أمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات الزائدة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عُثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات.	AuditIfNotExists، معطل	1.0.0
يجب معالجة الثغرات في تكوينات أمان الحاوية	تدقيق الثغرات الأمنية في تكوين الأمان على الأجهزة مع تثبيت Docker وعرضها كتوصيات في مركز أمان Azure.	AuditIfNotExists، معطل	3.0.0
يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك	ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات	AuditIfNotExists، معطل	3.1.0
يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري	قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات.	AuditIfNotExists، معطل	3.0.0
ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار	مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	1.0.1
ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك	تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	3.0.0
يجب تمكين تقييم الثغرات الأمنية على مساحات عمل Synapse	اكتشف الثغرات الأمنية المحتملة وتعقبها وصلحها عن طريق تكوين عمليات فحص تقييم الضعف المتكررة SQL على مساحات عمل Synapse.	AuditIfNotExists، معطل	1.0.0

تقييم الأمان

تقييم الضوابط الأمنية في الأنظمة التنظيمية بشكل دوري لتحديد ما إذا كانت الضوابط فعالة في تطبيقها.

المعرف: NIST SP 800-171 R2 3.12.1 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تقييم عناصر التحكم في الأمان	CMA_C1145 - تقييم عناصر التحكم في الأمان	يدوي، معطل	1.1.0
تقديم نتائج تقييم الأمان	CMA_C1147 - تقديم نتائج تقييم الأمان	يدوي، معطل	1.1.0
تطوير خطة تقييم الأمان	CMA_C1144 - تطوير خطة تقييم الأمان	يدوي، معطل	1.1.0
إعداد تقرير تقييم الأمان	CMA_C1146 - إنتاج تقرير تقييم الأمان	يدوي، معطل	1.1.0

وضع وتنفيذ خطط عمل تهدف إلى تصحيح أوجه القصور والحد من الثغرات الأمنية في الأنظمة التنظيمية أو القضاء عليها.

المعرف: NIST SP 800-171 R2 3.12.2 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تطوير POA&M	CMA_C1156 - تطوير POA&M	يدوي، معطل	1.1.0
وضع استراتيجية لإدارة المخاطر	CMA_0258 - وضع استراتيجية لإدارة المخاطر	يدوي، معطل	1.1.0
تنفيذ خطط العمل والمراحل الرئيسية لعملية برنامج الأمان	CMA_C1737 - تنفيذ خطط العمل والأحداث الرئيسية لعملية برنامج الأمان	يدوي، معطل	1.1.0
تحديث عناصر POA	CMA_C1157 - تحديث عناصر POA	يدوي، معطل	1.1.0

مراقبة الضوابط الأمنية بشكل مستمر لضمان استمرار فعالية الضوابط.

المعرف: NIST SP 800-171 R2 3.12.3 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تكوين قائمة بيضاء للكشف	CMA_0068 - تكوين قائمة بيضاء للكشف	يدوي، معطل	1.1.0
تشغيل أجهزة الاستشعار لحل أمان نقطة النهاية	CMA_0514 - تشغيل أدوات الاستشعار لحل أمان نقطة النهاية	يدوي، معطل	1.1.0
الخضوع لمراجعة أمنية مستقلة	CMA_0515 - الخضوع لمراجعة أمنية مستقلة	يدوي، معطل	1.1.0

تطوير وتوثيق وتحديث خطط أمان النظام التي تصف حدود النظام وبيئات تشغيل النظام وكيفية تنفيذ متطلبات الأمان والعلاقات مع الأنظمة الأخرى أو الاتصالات بها.

المعرف: NIST SP 800-171 R2 3.12.4 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
وضع خطة أمان النظام وتطويرها	CMA_0151 - تطوير ووضع خطة أمان النظام	يدوي، معطل	1.1.0
تطوير إجراءات أمان المعلومات ونُهجه	CMA_0158 - تطوير سياسات وإجراءات أمن المعلومات	يدوي، معطل	1.1.0
تطوير SSP يلبي المعايير	CMA_C1492 - تطوير موفر الخدمات المشتركة (SSP) الذي يلبي المعايير	يدوي، معطل	1.1.0
إنشاء برنامج خصوصية	CMA_0257 - إنشاء برنامج خصوصية	يدوي، معطل	1.1.0
إنشاء برنامج أمان المعلومات	CMA_0263 - إنشاء برنامج أمن المعلومات	يدوي، معطل	1.1.0
تحديد متطلبات الأمان لتصنيع الأجهزة المتصلة	CMA_0279 - تحديد متطلبات الأمان لتصنيع الأجهزة المتصلة	يدوي، معطل	1.1.0
تنفيذ مبادئ هندسة الأمان لأنظمة المعلومات	CMA_0325 - تنفيذ مبادئ هندسة الأمان لأنظمة المعلومات	يدوي، معطل	1.1.0
تحديث نُهج أمان المعلومات	CMA_0518 - تحديث نهج أمان المعلومات	يدوي، معطل	1.1.0

حماية الاتصالات والنظام

مراقبة الاتصالات والتحكم بها وحمايتها (أي المعلومات المُرسلة للأنظمة التنظيمية أو المُستلمة منها) عند الحدود الخارجية والحدود الداخلية الرئيسية للأنظمة التنظيمية.

المعرّف: NIST SP 800-171 R2 3.13.1 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
[معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين	يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك.	تدقيق، Audit، رفض، Deny، معطل، Disabled	3.1.0-المعاينة
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم خدمات APIM شبكة ظاهرية	يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب أن يستخدم تكوين التطبيق رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة.	المراجعة، معطلة	2.0.1
يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة	من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure.	التدقيق، الرفض، التعطيل	3.2.0
يجب أن تستخدم Azure API for FHIR الرابط الخاص	يجب أن يكون لدى Azure API for FHIR اتصال نقطة نهاية خاصة واحدة معتمد على الأقل. يمكن للعملاء في الشبكة الظاهرية الوصول بأمان إلى الموارد التي لها اتصالات نقطة نهاية خاصة من خلال الروابط الخاصة. لمزيد من المعلومات، يرجى زيارة: https://aka.ms/fhir-privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً	تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص	مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تعطل خدمات Azure Cognitive Search الوصول إلى الشبكة العامة	يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض خدمة Azure Cognitive Search على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض خدمة البحث. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	المراجعة، معطلة	1.0.0
يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية	يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تستخدم Azure Data Factory رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا	يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة.	AuditIfNotExists، معطل	1.0.0
يجب تمكين جدار حماية Azure Key Vault	قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security	التدقيق، الرفض، التعطيل	3.2.1
يجب أن تستخدم Azure Key Vaults رابطا خاصا	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	المراجعة، معطلة	1.0.0
يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	المراجعة، معطلة	1.0.1
يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب أن تستخدم خدمة Azure Web PubSub رابطاً خاصاً	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. يمكنك تقليل مخاطر تسريب البيانات من خلال تعيين نقاط نهاية خاصة إلى Azure Web PubSub Service الخاصة بك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/awps/privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800.	المراجعة، معطلة	3.0.0
يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة	تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تستخدم سجلات الحاويات رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link.	المراجعة، معطلة	1.0.1
يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	المراجعة، معطلة	1.0.0
يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists، معطل	1.0.0
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet.	المراجعة، معطلة	1.0.0
يجب تعطيل إعادة توجيه IP على الجهاز الظاهري	يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة.	AuditIfNotExists، معطل	3.0.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية	تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز.	AuditIfNotExists، معطل	3.0.0
يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة	قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL.	المراجعة، معطلة	1.1.0
يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم MySQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	1.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP.	التدقيق، الرفض، التعطيل	2.0.1
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية	احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك.	التدقيق، الرفض، التعطيل	1.0.1
يجب أن تستخدم حسابات التخزين رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview	AuditIfNotExists، معطل	2.0.0
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة	حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها.	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	تدقيق، تعطيل، رفض	1.1.0
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	2.0.0

أنشئ مفاتيح التشفير وقم بإدارتها للتشفير المستخدم في الأنظمة التنظيمية.

المعرف: NIST SP 800-171 R2 3.13.10 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب أن تستخدم مخازن خدمات استرداد Azure المفاتيح المُدارة من قبل العملاء لتشفير بيانات النسخ الاحتياطي	استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون لبيانات النسخ الاحتياطي. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/AB-CmkEncryption.	التدقيق، الرفض، التعطيل	1.0.0-المعاينة
[معاينة]: يجب تشفير بيانات خدمة توفير جهاز IoT Hub باستخدام مفاتيح يديرها العميل (CMK)	استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خدمة تزويد جهاز IoT Hub. يتم تشفير البيانات تلقائيًا في حالة ثبات البيانات مع مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء (CMK) مطلوبة عادة لتلبية معايير التوافق التنظيمية. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. تعرف على المزيد حول تشفير CMK على https://aka.ms/dps/CMK.	التدقيق، الرفض، التعطيل	1.0.0-المعاينة
يجب أن تستخدم واجهة برمجة تطبيقات Azure لـ FHIR مفتاحًا مدارًا من قبل العميل لتشفير البيانات في وضع الراحة	استخدم مفتاحًا يديره العميل للتحكم في تشفير البيانات الثابتة المخزنة في Azure API for FHIR عندما يكون هذا شرطًا تنظيميًا أو من متطلبات التوافق. توفر المفاتيح المدارة من قبل العميل أيضًا تشفيرا مزدوجا عن طريق إضافة طبقة ثانية من التشفير فوق الطبقة الافتراضية التي تتم باستخدام المفاتيح المدارة بواسطة الخدمة.	تدقيق، تدقيق، معطل، معطل	1.1.0
يجب أن تستخدم حسابات Azure Automation المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون لحسابات Azure Automation. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/automation-cmk.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن يستخدم حساب Azure Batch المفاتيح المدارة من قبل العميل لتشفير البيانات	استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون لحساب Batch. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/Batch-CMK.	التدقيق، الرفض، التعطيل	1.0.1
يجب أن تستخدم مجموعة حاويات مثيل Azure Container المفتاح المدار من قبل العميل للتشفير	قم بتأمين حاوياتك بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر.	تدقيق، تعطيل، رفض	1.0.0
يجب أن تستخدم حسابات Azure Cosmos DB المفاتيح التي يديرها العملاء لتشفير البيانات في وضع السكون	استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة Azure Cosmos DB. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/cosmosdb-cmk.	تدقيق، Audit، رفض، Deny، معطل، Disabled	1.1.0
يجب أن تستخدم Azure Data Box مفتاحًا مدارًا من قِبل العميل لتشفير كلمة مرور إلغاء قفل الجهاز	استخدم مفتاحا يديره العميل للتحكم في تشفير كلمة مرور إلغاء تأمين الجهاز لـ Azure Data Box. تساعد المفاتيح المدارة من قبل العملاء أيضًا في إدارة الوصول إلى كلمة مرور إلغاء قفل الجهاز بواسطة خدمة Data Box من أجل إعداد الجهاز ونسخ البيانات بطريقة تلقائية. البيانات الموجودة على الجهاز نفسه مشفرة بالفعل في حالة البيانات الثابتة مع مقاييس التشفير المتقدمة 256 بت، ويتم تشفير كلمة مرور إلغاء قفل الجهاز بشكل افتراضي باستخدام مفتاح مدار من Microsoft.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن يستخدم تشفير Azure Data Explorer في وضع السكون مفتاحًا مدارًا من قبل العميل	يتيح تمكين التشفير في وضع ثبات البيانات باستخدام مفتاح مدار من قبل العميل على مجموعة نظام مستكشف البيانات Azure التحكم الإضافي على المفتاح المستخدم بواسطة التشفير في وضع البيانات الثابتة. هذه الميزة غالبًا تكون قابلة للتطبيق على العملاء الذين لديهم متطلبات توافق خاصة وتتطلب حالتهم Key Vault لإدارة المفاتيح.	التدقيق، الرفض، التعطيل	1.0.0
يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل	استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون لـ Azure Data Factory. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/adf-cmk.	التدقيق، الرفض، التعطيل	1.0.1
يجب أن تستخدم مجموعات Azure HDInsight المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	استخدم المفاتيح التي يديرها العملاء لإدارة التشفير للبيانات في وضع السكون بمجموعات Azure HDInsight. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/hdi.cmk.	التدقيق، الرفض، التعطيل	1.0.1
يجب أن تستخدم مجموعات Azure HDInsight التشفير عند المضيف لتشفير البيانات الثابتة	يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير في المضيف، يتم تشفير البيانات المخزنة على مضيف VM عند لثبات البيانات ويتم تدفقها مشفرة إلى خدمة التخزين.	التدقيق، الرفض، التعطيل	1.0.0
يجب تشفير مساحات العمل الخاصة بـ Azure Machine Learning باستخدام مفتاح مُدار من قِبل العميل	إدارة تشفير البيانات الثابتة بيانات مساحة عمل Azure التعلم الآلي باستخدام مفاتيح مدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/azureml-workspaces-cmk.	التدقيق، الرفض، التعطيل	1.0.3
يجب تشفير مجموعات مراقبة سجلات Azure بمفتاح مدار من قبل العملاء	قم بإنشاء مجموعة سجلات مراقبة Azure بتشفير المفاتيح المدارة من قبل العملاء. بشكل افتراضي، يتم تشفير بيانات السجل باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية التوافق التنظيمي. يمنحك المفتاح المدار من قبل العميل في Azure Monitor مزيدًا من التحكم في الوصول إلى البيانات، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	تدقيق، Audit، رفض، Deny، معطل، Disabled	1.1.0
يجب أن تستخدم مهام Azure Stream Analytics المفاتيح التي يديرها العملاء لتشفير البيانات	استخدم المفاتيح التي يديرها العملاء عندما تريد تخزين أي بيانات تعريف وأصول بيانات خاصة لوظائف Stream Analytics بأمان في حساب التخزين الخاص بك. وهذا يمنحك التحكم الكامل في كيفية تشفير بيانات Stream Analytics.	تدقيق، Audit، رفض، Deny، معطل، Disabled	1.1.0
يجب أن تستخدم مساحات عمل Azure Synapse المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	استخدم المفاتيح المدارة من قبل العميل للتحكم في تشفير البيانات الثابتة المخزنة في مساحات عمل Azure Synapse. توفر المفاتيح المدارة من قبل العميل تشفيرا مزدوجا عن طريق إضافة طبقة ثانية من التشفير فوق التشفير الافتراضي باستخدام مفاتيح مدارة بواسطة الخدمة.	التدقيق، الرفض، التعطيل	1.0.0
يجب تشفير Bot Service بمفتاح مُدار من قبل العميل	تقوم خدمة Azure Bot Service تلقائيًا بتشفير المورد لحماية بياناتك والوفاء بالتزامات الأمان والامتثال التنظيمي. افتراضيا، يتم استخدام مفاتيح التشفير المدارة من Microsoft. لمزيد من المرونة في إدارة المفاتيح أو التحكم في الوصول إلى الاشتراك، حدد المفاتيح التي يديرها العميل، والمعروفة أيضًا باسم إحضار المفتاح (BYOK). تعرف على المزيد حول تشفير خدمة Azure Bot: https://docs.microsoft.com/azure/bot-service/bot-service-encryption.	تدقيق، Audit، رفض، Deny، معطل، Disabled	1.1.0
⁧يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل⁧	تشفير نظام التشغيل وأقراص البيانات باستخدام مفاتيح يديرها العملاء يوفر المزيد من التحكم والمرونة في إدارة المفاتيح. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية.	التدقيق، الرفض، التعطيل	1.0.1
يجب أن تقوم حسابات الخدمات المعرفية بتمكين تشفير البيانات باستخدام مفتاح يديره العميل	عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية معايير الامتثال التنظيمية. تمكن المفاتيح المدارة من العملاء من تشفير البيانات المخزنة في الخدمات المعرفية باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول المفاتيح المُدارة من قِبل العملاء على https://go.microsoft.com/fwlink/?linkid=2121321.	التدقيق، الرفض، التعطيل	2.1.0
يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل	استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون بمحتويات السجلات. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/acr/CMK.	التدقيق، الرفض، التعطيل	1.1.2
تعريف عملية إدارة المفاتيح الفعلية	CMA_0115 - تعريف عملية إدارة المفاتيح الفعلية	يدوي، معطل	1.1.0
تعريف استخدام التشفير	CMA_0120 - تعريف استخدام التشفير	يدوي، معطل	1.1.0
تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير	CMA_0123 - تحديد المتطلبات التنظيمية لإدارة مفاتيح التشفير	يدوي، معطل	1.1.0
تحديد متطلبات التأكيد	CMA_0136 - تحديد متطلبات التأكيد	يدوي، معطل	1.1.0
يجب أن تستخدم مساحات أسماء Event Hub مفتاحًا مدارًا من قِبل العميل للتشفير	تدعم مراكز الأحداث خيار تشفير البيانات في وضع البيانات الثابتة إما باستخدام مفاتيح مدارة من Microsoft (افتراضية) أو مفاتيح يديرها العملاء. يتيح لك اختيار تشفير البيانات باستخدام المفاتيح المدارة من قبل العميل تعيين المفاتيح التي سيستخدمها Event Hub لتشفير البيانات في مساحة الاسم وتدويرها وتعطيلها وإبطالها. لاحظ أن مركز الأحداث يعتمد التشفير فقط مع مفاتيح مدارة من قبل العملاء لمساحات الأسماء في مجموعات مخصصة.	المراجعة، معطلة	1.0.0
يجب أن تستخدم حسابات HPC Cache مفتاحًا مدارًا من قبل العميل للتشفير	إدارة تشفير البيانات الثابتة ذاكرة التخزين المؤقت لـ Azure HPC باستخدام المفاتيح المدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة.	تدقيق، تعطيل، رفض	2.0.0
إصدار شهادات المفتاح العام	CMA_0347 - إصدار شهادات المفتاح العام	يدوي، معطل	1.1.0
يجب تشفير بيئة خدمة تكامل تطبيقات المنطق باستخدام المفاتيح المدارة بواسطة العملاء	نشر في بيئة خدمة التكامل لإدارة تشفير البيانات الثابتة بيانات تطبيقات المنطق باستخدام مفاتيح يديرها العملاء. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة.	التدقيق، الرفض، التعطيل	1.0.0
إدارة مفاتيح التشفير المتماثلة	CMA_0367 - إدارة مفاتيح التشفير المتماثلة	يدوي، معطل	1.1.0
يجب تشفير الأقراص المدارة مرتين باستخدام كل من المفاتيح المدارة من النظام الأساسي والمفاتيح التي يديرها العملاء	يمكن للعملاء ذوي الحساسية الأمنية العالية الذين يشعرون بالقلق من المخاطر المرتبطة بأي خوارزمية تشفير معينة أو تنفيذ أو مفتاح يتم اختراقه اختيار طبقة إضافية من التشفير باستخدام خوارزمية /وضع تشفير مختلف في طبقة البنية التحتية باستخدام مفاتيح التشفير المدارة من النظام الأساسي. مجموعات تشفير القرص مطلوبة لاستخدام التشفير المزدوج. تعرّف على المزيد من خلال https://aka.ms/disks-doubleEncryption.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خوادم MySQL. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة.	AuditIfNotExists، معطل	1.0.4
يجب تشفير نظام التشغيل وأقراص البيانات باستخدام مفتاح يُديره العميل	استخدم المفاتيح المدارة من قبل العميل لإدارة تشفير البيانات الثابتة محتويات الأقراص المدارة. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح المدارة من خلال النظام الأساسي، ولكن عادة ما تكون المفاتيح التي يديرها العملاء مطلوبة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/disks-cmk.	التدقيق، الرفض، التعطيل	3.0.0
يجب أن تستخدم خوادم PostgreSQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	استخدم المفاتيح التي يديرها العملاء لإدارة تشفير البيانات الثابتة لخوادم PostgreSQL لديك. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة.	AuditIfNotExists، معطل	1.0.4
تقييد الوصول إلى المفاتيح الخاصة	CMA_0445 - تقييد الوصول إلى المفاتيح الخاصة	يدوي، معطل	1.1.0
يجب حفظ الاستعلامات المحفوظة في Azure Monitor في حساب تخزين العميل لتشفير السجلات	ربط حساب التخزين بمساحة عمل Log Analytics لحماية الاستعلامات المحفوظة باستخدام تشفير حساب التخزين. عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية الامتثال التنظيمي ولمزيد من التحكم في الوصول إلى الاستعلامات المحفوظة في Azure Monitor. لمزيد من التفاصيل حول ما سبق، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries.	تدقيق، Audit، رفض، Deny، معطل، Disabled	1.1.0
يجب أن تستخدم مساحات أسماء Service Bus Premium مفتاحاً مداراً من قِبل العميل للتشفير	يدعم Azure Service Bus خيار تشفير البيانات الثابتة باستخدام مفاتيح مدارة من Microsoft (افتراضي) أو مفاتيح مدارة من قبل العميل. يتيح لك اختيار تشفير البيانات باستخدام المفاتيح التي يديرها العميل تعيين المفاتيح التي ستستخدمها ناقل خدمة Microsoft Azure لتشفير البيانات في مساحة الاسم وتدويرها وتعطيلها وإبطالها. لاحظ أن ناقل خدمة Microsoft Azure يعتمد التشفير فقط مع مفاتيح مدارة من قبل العملاء لمساحات الأسماء المميزة.	المراجعة، معطلة	1.0.0
يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة.	التدقيق، الرفض، التعطيل	2.0.1
يجب أن تستخدم نطاقات تشفير حساب التخزين المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة نطاقات تشفير حساب التخزين. تتيح المفاتيح المدارة من قبل العميل تشفير البيانات باستخدام مفتاح Azure لمخزن البيانات السرية الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول نطاقات تشفير حساب التخزين في https://aka.ms/encryption-scopes-overview.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تستخدم حسابات التخزين مفتاحاً مداراً من قبل العميل للتشفير	أمّن الكائن الثنائي كبير الحجم وحساب تخزين الملفات بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر.	المراجعة، معطلة	1.0.3

استخدم التشفير المعتمد وفقاً لمعايير معالجة المعلومات الفيدرالية عند استخدامه لحماية سرية المعلومات غير السرية الخاضعة للرقابة.

المعرف: NIST SP 800-171 R2 3.13.11 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تعريف استخدام التشفير	CMA_0120 - تعريف استخدام التشفير	يدوي، معطل	1.1.0

حظر التنشيط عن بعد لأجهزة الحوسبة التعاونية وتوفير إشارة إلى الأجهزة المستخدمة للمستخدمين الموجودين على الجهاز

المعرف: NIST SP 800-171 R2 3.13.12 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
إعلام صريح باستخدام أجهزة الحوسبة التعاونية	CMA_C1649 - إعلام صراحة باستخدام أجهزة الحوسبة التعاونية	يدوي، معطل	1.1.1
حظر التنشيط عن بعد لأجهزة الحوسبة التعاونية	CMA_C1648 - حظر التنشيط عن بعد لأجهزة الحوسبة التعاونية	يدوي، معطل	1.1.0

التحكم في استخدام التعليمات البرمجية للأجهزة المحمولة ومراقبته.

المعرف: NIST SP 800-171 R2 3.13.13 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تخويل استخدام تقنيات التعليمات البرمجية المتنقلة ومراقبتها والتحكم بها	CMA_C1653 - تخويل ومراقبة والتحكم في استخدام تقنيات التعليمات البرمجية للأجهزة المحمولة	يدوي، معطل	1.1.0
تحديد التقنيات المقبولة وغير المقبولة للتعليمات البرمجية المتنقلة	CMA_C1651 - تحديد تقنيات التعليمات البرمجية للجوال المقبولة وغير المقبولة	يدوي، معطل	1.1.0
وضع قيود استخدام لتقنيات التعليمات البرمجية المتنقلة	CMA_C1652 - وضع قيود على الاستخدام لتقنيات التعليمات البرمجية للجوال	يدوي، معطل	1.1.0

التحكم في استخدام تقنيات الصوت عبر بروتوكول الإنترنت (VoIP) ومراقبتها.

المعرف: NIST SP 800-171 R2 3.13.14 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تخويل نقل الصوت عبر بروتوكول الإنترنت ومراقبته والتحكم به	CMA_0025 - تخويل الصوت عبر الإنترنت ومراقبته والتحكم فيه	يدوي، معطل	1.1.0
وضع قيود على استخدام نقل الصوت عبر بروتوكول الإنترنت	CMA_0280 - وضع قيود على استخدام voip	يدوي، معطل	1.1.0

حماية مصادقة جلسات الاتصالات.

المعرف: NIST SP 800-171 R2 3.13.15 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تكوين محطات العمل للتحقق من وجود شهادات رقمية	CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية	يدوي، معطل	1.1.0
فرض معرّفات جلسة فريدة عشوائية	CMA_0247 - فرض معرفات جلسة عمل فريدة عشوائية	يدوي، معطل	1.1.0

حماية سرية المعلومات غير النشطة غير المصنفة الخاضعة للرقابة.

المعرّف: NIST SP 800-171 R2 3.13.16 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب أن تمكن App Service Environment التشفير الداخلي	يؤدي تعيين InternalEncryption إلى حقيقي إلى تشفير ملف ترحيل الصفحات وأقراص العاملين وحركة مرور الشبكة الداخلية بين الأطراف الأمامية والعمال في بيئة خدمة التطبيقات. لمعرفة المزيد، انتقل إلى https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption.	المراجعة، معطلة	1.0.1
يجب تشفير متغيرات حساب التنفيذ التلقائي	من المهم تمكين تشفير أصول متغير حساب التنفيذ التلقائي عند تخزين البيانات الحساسة	التدقيق، الرفض، التعطيل	1.1.0
يجب أن تمكّن مهام Azure Data Box التشفير المزدوج للبيانات الثابتة على الجهاز	تمكين طبقة ثانية من التشفير المستند إلى البرامج للبيانات الثابتة الموجودة على الجهاز. الجهاز محمي بالفعل عبر مقاييس التشفير المتقدمة 256 بت للبيانات الثابتة. يضيف هذا الخيار طبقة ثانية من تشفير البيانات.	التدقيق، الرفض، التعطيل	1.0.0
يجب إنشاء مجموعات سجلات مراقبة Azure مع تمكين البنية الأساسية التشفير (التشفير المزدوج)	لضمان تمكين تشفير البيانات الآمن على مستوى الخدمة ومستوى البنية الأساسية باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين، استخدم نظام مجموعة Azure Monitor المخصص. يتم تمكين هذا الخيار بشكل افتراضي عند دعمه في المنطقة، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview.	تدقيق، Audit، رفض، Deny، معطل، Disabled	1.1.0
يجب استخدام التشفير المزدوج على أجهزة Azure Stack Edge	لتأمين البيانات الثابتة على الجهاز، وضمان أنها مزدوجة التشفير، يتم التحكم في الوصول إلى البيانات، وبمجرد إلغاء تنشيط الجهاز، يتم مسح البيانات بأمان من أقراص البيانات. التشفير المزدوج هو استخدام طبقتين من التشفير: تشفير BitLocker XTS-AES 256 بت على وحدات تخزين البيانات والتشفير المضمن لمحركات الأقراص الثابتة. تعرف على المزيد في وثائق نظرة عامة على الأمان لجهاز Stack Edge المحدد.	تدقيق، Audit، رفض، Deny، معطل، Disabled	1.1.0
يجب تمكين تشفير القرص على Azure Data Explorer	يساعد تمكين التشفير المزدوج على حماية بياناتك وحمايتها للوفاء بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي.	التدقيق، الرفض، التعطيل	2.0.0
يجب تمكين التشفير المزدوج على Azure Data Explorer	يساعد تمكين التشفير المزدوج على حماية بياناتك وضمان سلامتها بالتزاماتك المتعلقة بالأمان والامتثال المؤسسي. عند تمكين التشفير المزدوج، يتم تشفير البيانات في حساب التخزين مرتين، مرة على مستوى الخدمة ومرة على مستوى البنية الأساسية، باستخدام خوارزميتي تشفير مختلفتين ومفتاحين مختلفين.	التدقيق، الرفض، التعطيل	2.0.0
إنشاء إجراء إدارة تسرب البيانات	CMA_0255 - إنشاء إجراء إدارة تسرب البيانات	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0
يجب تمكين تشفير البنية التحتية لـ Azure Database لخوادم MySQL	تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم MySQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2.	التدقيق، الرفض، التعطيل	1.0.0
يجب تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL	تمكين تشفير البنية الأساسية لقاعدة بيانات Azure لخوادم PostgreSQL للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات الثابتة مرتين باستخدام مفاتيح إدارة Microsoft المتوافقة مع FIPS 140-2	التدقيق، الرفض، التعطيل	1.0.0
حماية البيانات أثناء النقل باستخدام التشفير	CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير	يدوي، معطل	1.1.0
حماية المعلومات الخاصة	CMA_0409 - حماية المعلومات الخاصة	يدوي، معطل	1.1.0
يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign	يوفر Service Fabric ثلاثة مستويات من الحماية (None، وSign، وEncryptAndSign) للاتصال عقدة إلى عقدة باستخدام شهادة نظام مجموعة أساسية. تعيين مستوى الحماية لضمان تشفير كافة رسائل العقدة إلى العقدة وتوقيعها رقميا	التدقيق، الرفض، التعطيل	1.1.0
يجب أن يكون لدى حسابات التخزين تشفير البنية الأساسية	تمكين تشفير البنية الأساسية للحصول على مستوى أعلى من التأكيد على أن البيانات آمنة. عند تمكين تشفير البنية الأساسية، يتم تشفير البيانات في حساب تخزين مرتين.	التدقيق، الرفض، التعطيل	1.0.0
⁧ يجب تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت لمجموعات عقد الوكيل في مجموعات خدمة Azure Kubernetes لدى المضيف ⁧	لتحسين أمان البيانات، يجب تشفير البيانات المخزنة على مضيف الجهاز الظاهري (VM) لعقد خدمة Azure Kubernetes VMs في حالة السكون. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية.	التدقيق، الرفض، التعطيل	1.0.1
ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL	يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال	AuditIfNotExists، معطل	2.0.0
يجب تمكين التشفير على المضيف في الأجهزة الظاهرية ومجموعات مقياس الجهاز الظاهري	استخدم التشفير في المضيف للحصول على تشفير من طرف إلى طرف لجهازك الظاهري وبيانات مجموعة مقياس الجهاز الظاهري. التشفير في المضيف يتيح تشفير البيانات الثابتة للقرص المؤقت الخاص بك وذاكرة التخزين المؤقت لـ OS/قرص البيانات. يتم تشفير أقراص OS المؤقتة والزائلة باستخدام مفاتيح تتم إدارتها من خلال النظام الأساسي عند تمكين التشفير في المضيف. يتم تشفير ذاكرة التخزين المؤقت لأقراص OS/data في حالة راحة باستخدام مفتاح مدار من قبل العميل أو مفتاح مدار بواسطة النظام الأساسي، وذلك حسب نوع التشفير المحدد على القرص. تعرّف على المزيد من خلال https://aka.ms/vm-hbe.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين	بشكل افتراضي، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة عدم استخدام مفاتيح تُدار بواسطة النظام الأساسي. لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين الحوسبة والتخزين. تجاهل هذه التوصية إذا: 1. باستخدام التشفير في المضيف، أو 2. التشفير من جانب الخادم على الأقراص المُدارة يفي بمتطلبات الأمان. تعرف على المزيد في: تشفير Azure Disk Storage من جانب الخادم: https://aka.ms/disksse، العروض المختلفة لتشفير القرص: https://aka.ms/diskencryptioncomparison	AuditIfNotExists، معطل	2.0.3

قم بتطبيق التصاميم الهندسية وتقنيات تطوير البرمجيات والمبادئ الهندسية للأنظمة التي تعزز أمان المعلومات الفعال داخل الأنظمة التنظيمية.

المعرف: NIST SP 800-171 R2 3.13.2 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
[معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين	يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك.	تدقيق، Audit، رفض، Deny، معطل، Disabled	3.1.0-المعاينة
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم خدمات APIM شبكة ظاهرية	يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب أن يستخدم تكوين التطبيق رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة.	المراجعة، معطلة	2.0.1
يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة	من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure.	التدقيق، الرفض، التعطيل	3.2.0
يجب أن تستخدم Azure API for FHIR الرابط الخاص	يجب أن يكون لدى Azure API for FHIR اتصال نقطة نهاية خاصة واحدة معتمد على الأقل. يمكن للعملاء في الشبكة الظاهرية الوصول بأمان إلى الموارد التي لها اتصالات نقطة نهاية خاصة من خلال الروابط الخاصة. لمزيد من المعلومات، يرجى زيارة: https://aka.ms/fhir-privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً	تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص	مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تعطل خدمات Azure Cognitive Search الوصول إلى الشبكة العامة	يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض خدمة Azure Cognitive Search على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض خدمة البحث. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	المراجعة، معطلة	1.0.0
يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية	يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تستخدم Azure Data Factory رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا	يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة.	AuditIfNotExists، معطل	1.0.0
يجب تمكين جدار حماية Azure Key Vault	قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security	التدقيق، الرفض، التعطيل	3.2.1
يجب أن تستخدم Azure Key Vaults رابطا خاصا	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	المراجعة، معطلة	1.0.0
يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	المراجعة، معطلة	1.0.1
يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب أن تستخدم خدمة Azure Web PubSub رابطاً خاصاً	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. يمكنك تقليل مخاطر تسريب البيانات من خلال تعيين نقاط نهاية خاصة إلى Azure Web PubSub Service الخاصة بك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/awps/privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800.	المراجعة، معطلة	3.0.0
يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة	تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تستخدم سجلات الحاويات رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link.	المراجعة، معطلة	1.0.1
يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	المراجعة، معطلة	1.0.0
يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists، معطل	1.0.0
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet.	المراجعة، معطلة	1.0.0
يجب تعطيل إعادة توجيه IP على الجهاز الظاهري	يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة.	AuditIfNotExists، معطل	3.0.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية	تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز.	AuditIfNotExists، معطل	3.0.0
يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة	قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL.	المراجعة، معطلة	1.1.0
يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم MySQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	1.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP.	التدقيق، الرفض، التعطيل	2.0.1
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية	احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك.	التدقيق، الرفض، التعطيل	1.0.1
يجب أن تستخدم حسابات التخزين رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview	AuditIfNotExists، معطل	2.0.0
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة	حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها.	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	تدقيق، تعطيل، رفض	1.1.0
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	2.0.0

افصل وظائف المستخدم عن وظائف إدارة النظام.

المعرف: NIST SP 800-171 R2 3.13.3 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تخويل الوصول عن بعد	CMA_0024 - تخويل الوصول عن بُعد	يدوي، معطل	1.1.0
فصل وظائف إدارة نظام المعلومات والمستخدم	CMA_0493 - وظيفة إدارة نظام المعلومات والمستخدم المنفصلة	يدوي، معطل	1.1.0
استخدام أجهزة مخصصة للمهام الإدارية	CMA_0527 - استخدام أجهزة مخصصة للمهام الإدارية	يدوي، معطل	1.1.0

تنفيذ أعمال الشبكات الفرعية لمكونات النظام التي يمكن الوصول إليها بشكل عام، والتي تُفصل ماديًا أو منطقيًا عن الشبكات الداخلية.

المعرّف: NIST SP 800-171 R2 3.13.5 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
[معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين	يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك.	تدقيق، Audit، رفض، Deny، معطل، Disabled	3.1.0-المعاينة
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم خدمات APIM شبكة ظاهرية	يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب أن يستخدم تكوين التطبيق رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة.	المراجعة، معطلة	2.0.1
يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة	من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure.	التدقيق، الرفض، التعطيل	3.2.0
يجب أن تستخدم Azure API for FHIR الرابط الخاص	يجب أن يكون لدى Azure API for FHIR اتصال نقطة نهاية خاصة واحدة معتمد على الأقل. يمكن للعملاء في الشبكة الظاهرية الوصول بأمان إلى الموارد التي لها اتصالات نقطة نهاية خاصة من خلال الروابط الخاصة. لمزيد من المعلومات، يرجى زيارة: https://aka.ms/fhir-privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم Azure Cache for Redis رابطاً خاصاً	تتيح نقاط النهاية الخاصة توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. بتعيين نقاط النهاية الخاصة إلى مثيلات Azure Cache for Redis لديك، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم خدمة Azure Cognitive Search SKU يدعم الرابط الخاص	مع وحدات البحث المعرفي المعتمدة من Azure، يتيح Azure Private Link توصيل شبكتك الظاهرية بخدمات Azure بدون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة إلى خدمة البحث، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تعطل خدمات Azure Cognitive Search الوصول إلى الشبكة العامة	يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض خدمة Azure Cognitive Search على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض خدمة البحث. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تستخدم خدمات Azure Cognitive Search رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلىAzure Cognitive Search، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	المراجعة، معطلة	1.0.0
يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية	يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تستخدم Azure Data Factory رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يتم خفض مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى Azure Data Factory. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/data-factory/data-factory-private-link.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا	يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة.	AuditIfNotExists، معطل	1.0.0
يجب تمكين جدار حماية Azure Key Vault	قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security	التدقيق، الرفض، التعطيل	3.2.1
يجب أن تستخدم Azure Key Vaults رابطا خاصا	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	المراجعة، معطلة	1.0.0
يجب أن تستخدم مساحات أسماء Azure Service Bus رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء "ناقل خدمة Microsoft Azure"، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. ومن خلال تعيين نقاط النهاية الخاصة إلى مورد Azure SignalR Service بدلاً من الخدمة بأكملها، ستعمل على خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/asrs/privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم مساحات عمل Azure Synapse رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى مساحة عمل Azure Synapse، يتم خفض مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links.	المراجعة، معطلة	1.0.1
يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب أن تستخدم خدمة Azure Web PubSub رابطاً خاصاً	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. يمكنك تقليل مخاطر تسريب البيانات من خلال تعيين نقاط نهاية خاصة إلى Azure Web PubSub Service الخاصة بك. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/awps/privatelink.	المراجعة، معطلة	1.0.0
يجب أن تستخدم الخدمات المعرفية رابطاً خاصاً	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى الخدمات المعرفية، سوف تقلل من احتمال تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://go.microsoft.com/fwlink/?linkid=2129800.	المراجعة، معطلة	3.0.0
يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة	تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تستخدم سجلات الحاويات رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link.	المراجعة، معطلة	1.0.1
يجب أن تستخدم حسابات CosmosDB رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لحساب CosmosDB، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	المراجعة، معطلة	1.0.0
يجب أن تستخدم موارد الوصول إلى القرص رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. عن طريق تعيين نقاط النهاية الخاصة إلى diskAccesses، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/disksprivatelinksdoc.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم مساحات أسماء Event Hub رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات أسماء Event Hub، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://docs.microsoft.com/azure/event-hubs/private-link-service.	AuditIfNotExists، معطل	1.0.0
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم مثيلات خدمة توفير جهاز IoT Hub رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لخدمة توفير جهاز IoT Hub، يتم خفض مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/iotdpsvnet.	المراجعة، معطلة	1.0.0
يجب تعطيل إعادة توجيه IP على الجهاز الظاهري	يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة.	AuditIfNotExists، معطل	3.0.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية	تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز.	AuditIfNotExists، معطل	3.0.0
يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة	قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL.	المراجعة، معطلة	1.1.0
يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم MySQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	1.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP.	التدقيق، الرفض، التعطيل	2.0.1
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية	احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك.	التدقيق، الرفض، التعطيل	1.0.1
يجب أن تستخدم حسابات التخزين رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview	AuditIfNotExists، معطل	2.0.0
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة	حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها.	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	تدقيق، تعطيل، رفض	1.1.0
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	2.0.0

ارفض حركة مرور اتصالات الشبكة بشكل افتراضي واسمح بحركة اتصالات الشبكة على سبيل الاستثناء (أي: deny all و permit by exception).

المعرف: NIST SP 800-171 R2 3.13.6 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
[معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين	يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك.	تدقيق، Audit، رفض، Deny، معطل، Disabled	3.1.0-المعاينة
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة.	المراجعة، معطلة	2.0.1
يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة	من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure.	التدقيق، الرفض، التعطيل	3.2.0
يجب أن تعطل خدمات Azure Cognitive Search الوصول إلى الشبكة العامة	يؤدي تعطيل الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان عدم عرض خدمة Azure Cognitive Search على الإنترنت العام. يمكن أن يؤدي إنشاء نقاط نهاية خاصة إلى الحد من تعرض خدمة البحث. تعرف على المزيد من خلال: https://aka.ms/azure-cognitive-search/inbound-private-endpoints.	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية	يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية تُعد متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تمكين جدار حماية Azure Key Vault	قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security	التدقيق، الرفض، التعطيل	3.2.1
يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة	تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet.	التدقيق، الرفض، التعطيل	2.0.0
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية	تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز.	AuditIfNotExists، معطل	3.0.0
يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة	قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	1.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP.	التدقيق، الرفض، التعطيل	2.0.1
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية	احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك.	التدقيق، الرفض، التعطيل	1.0.1
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة	حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها.	AuditIfNotExists، معطل	3.0.0
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	2.0.0

منع الأجهزة البعيدة من إنشاء اتصالات غير بعيدة في الوقت نفسه مع الأنظمة التنظيمية والاتصال عبر بعض الاتصالات الأخرى بالموارد في الشبكات الخارجية (أي تقسيم النفق).

المعرف: NIST SP 800-171 R2 3.13.7 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
منع الانقسام النفقي للأجهزة البعيدة	CMA_C1632 - منع تقسيم النفق للأجهزة البعيدة	يدوي، معطل	1.1.0

تنفيذ آليات تشفير لمنع الكشف غير المصرح به عن CUI في أثناء الإرسال ما لم يكن محميًا بخلاف ذلك بضمانات مادية بديلة.

المعرّف: NIST SP 800-171 R2 3.13.8 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	4.0.0
يجب أن تتطلب تطبيقات App Service FTPS فقط	مكن تطبيق FTPS من أجل تعزيز الأمان.	AuditIfNotExists، معطل	3.0.0
إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS"	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير.	AuditIfNotExists، معطل	2.0.1
يجب أن تستخدم مجموعات Azure HDInsight التشفير أثناء النقل لتشفير الاتصال بين عقد نظام المجموعة Azure HDInsight	يمكن العبث بالبيانات أثناء الإرسال بين عقد نظام المجموعة Azure HDInsight. يؤدي تمكين التشفير أثناء النقل إلى معالجة مشكلات إساءة الاستخدام والعبث أثناء عملية الإرسال هذه.	التدقيق، الرفض، التعطيل	1.0.0
تكوين محطات العمل للتحقق من وجود شهادات رقمية	CMA_0073 - تكوين محطات العمل للتحقق من وجود شهادات رقمية	يدوي، معطل	1.1.0
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL	قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات.	المراجعة، معطلة	1.0.1
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL	تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات.	المراجعة، معطلة	1.0.1
يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	⁧5.0.0⁧
يجب أن تتطلب تطبيقات الوظائف FTPS فقط	مكن تطبيق FTPS من أجل تعزيز الأمان.	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار.	AuditIfNotExists، معطل	2.0.1
⁧يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS⁧	يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات التنصت على طبقة الشبكة. هذه الإمكانية متاحة حاليا بشكل عام لخدمة Kubernetes (AKS)، وفي المعاينة ل Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc	تدقيق، Audit، رفض، Deny، معطل، Disabled	8.1.0
يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis	تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة	التدقيق، الرفض، التعطيل	1.0.0
حماية البيانات أثناء النقل باستخدام التشفير	CMA_0403 - حماية البيانات في أثناء النقل باستخدام التشفير	يدوي، معطل	1.1.0
حماية كلمات المرور باستخدام التشفير	CMA_0408 - حماية كلمات المرور باستخدام التشفير	يدوي، معطل	1.1.0
يجب تمكين النقل الآمن إلى حسابات التخزين	متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة	التدقيق، الرفض، التعطيل	2.0.0
يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة	لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة.	AuditIfNotExists، معطل	4.1.1

إنهاء اتصالات الشبكة المقترنة بجلسات الاتصالات في نهاية الجلسات أو بعد فترة محددة من عدم النشاط.

المعرف: NIST SP 800-171 R2 3.13.9 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
إعادة مصادقة جلسة عمل مستخدم أو إنهائها	CMA_0421 - إعادة مصادقة جلسة عمل مستخدم أو إنهائها	يدوي، معطل	1.1.0

سلامة النظام والمعلومات

تحديد عيوب النظام والإبلاغ عنها وتصحيحها في الوقت المناسب.

المعرّف: NIST SP 800-171 R2 3.14.1 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية	تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك.	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم تطبيقات App Service أحدث "إصدار من HTTP"	بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث.	AuditIfNotExists، معطل	4.0.0
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender for Resource Manager	يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري	قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية.	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم تطبيقات الوظائف أحدث "إصدار HTTP"	بشكل دوري، تطلق إصدارات أحدث لـHTTP إما بسبب عيوب أمنية أو لتضمين وظائف إضافية. استخدام أحدث إصدار من HTTP لتطبيقات الويب للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأحدث.	AuditIfNotExists، معطل	4.0.0
دمج إصلاح الخلل في إدارة التكوين	CMA_C1671 - دمج معالجة الخلل في إدارة التكوين	يدوي، معطل	1.1.0
⁧يجب ترقية خدمات Kubernetes إلى إصدار Kubernetes غير عرضة للثغرات الأمنية⁧	قم بترقية مجموعة خدمات Kubernetes إلى إصدار أحدث من Kubernetes للحماية من الثغرات الأمنية المعروفة في إصدار Kubernetes الحالي. تم تصحيح الثغرة الأمنية CVE-2019-9946 في إصدارات Kubernetes 1.11.9+ و1.12.7+ و1.13.5+ و1.14.0+	المراجعة، معطلة	⁧1.0.2⁧
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
مراقبة حماية نقطة النهاية المفقودة في Azure Security Center	ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات	AuditIfNotExists، معطل	3.0.0
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
معالجة عيوب نظام المعلومات	CMA_0427 - معالجة عيوب نظام المعلومات	يدوي، معطل	1.1.0
ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية	رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات.	AuditIfNotExists، معطل	4.1.0
يجب تثبيت تحديثات النظام على مجموعات مقياس الجهاز الظاهري	مراجعة ما إذا كانت هناك أي تحديثات أمان للنظام مفقودة والتحديثات المهمة التي يجب تثبيتها لضمان أن مجموعات نطاقات الجهاز الظاهري Windows وLinux آمنة.	AuditIfNotExists، معطل	3.0.0
ينبغي تثبيت تحديثات النظام على أجهزتك	سيراقب Azure Security Center تحديثات نظام الأمان المفقودة على خوادمك من قبيل التوصيات	AuditIfNotExists، معطل	4.0.0
يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك	ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات	AuditIfNotExists، معطل	3.1.0
يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري	قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات.	AuditIfNotExists، معطل	3.0.0
يجب تمكينWindows Defender Exploit Guard على أجهزتك	يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط).	AuditIfNotExists، معطل	2.0.0

توفير الحماية من التعليمات البرمجية الضارة في المواقع المحددة داخل الأنظمة التنظيمية.

المعرّف: NIST SP 800-171 R2 3.14.2 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender for Resource Manager	يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	يدوي، معطل	1.1.0
يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري	قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية.	AuditIfNotExists، معطل	3.0.0
إدارة البوابات	CMA_0363 - Manage gateways	يدوي، معطل	1.1.0
يجب تكوين برامج Microsoft Antimalware المضادة للبرمجيات الخبيثة لـ Azure بحيث تُحدّث توقيعات الحماية تلقائيًا	يقوم هذا النهج بمراجعة أي جهاز Windows ظاهري لم يتم تكوينه مع التحديث التلقائي لتوقيعات حماية Microsoft Antimalware.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
يجب توزيع ملحق حماية Microsoft IaaSAntimalware على خوادم Windows	يقوم هذا النهج بتدقيق أي جهاز ظاهري لخادم Windows بدون نشر امتداد Microsoft IaaSAntimalware.	AuditIfNotExists، معطل	1.1.0
مراقبة حماية نقطة النهاية المفقودة في Azure Security Center	ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات	AuditIfNotExists، معطل	3.0.0
إجراء تحليل للاتجاهات على التهديدات	CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات	يدوي، معطل	1.1.0
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	يدوي، معطل	1.1.0
مراجعة حالة الحماية من التهديدات أسبوعيًا	CMA_0479 - مراجعة حالة الحماية من التهديدات أسبوعيًا	يدوي، معطل	1.1.0
تحديث تعريفات مكافحة الفيروسات	CMA_0517 - تحديث تعريفات مكافحة الفيروسات	يدوي، معطل	1.1.0
يجب تمكينWindows Defender Exploit Guard على أجهزتك	يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط).	AuditIfNotExists، معطل	2.0.0

مراقبة تنبيهات أمان النظام والنصائح واتخاذ إجراء استجابة لذلك.

المعرف: NIST SP 800-171 R2 3.14.3 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender for Resource Manager	يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
تعميم التنبيهات الأمنية للموظفين	CMA_C1705 - نشر التنبيهات الأمنية على الموظفين	يدوي، معطل	1.1.0
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	1.1.0
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	2.1.0
إنشاء برنامج التحليل الذكي للمخاطر	CMA_0260 - إنشاء برنامج استخباراتي للمخاطر	يدوي، معطل	1.1.0
تنفيذ توجيهات الأمان	CMA_C1706 - تنفيذ توجيهات الأمان	يدوي، معطل	1.1.0
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
مراقبة حماية نقطة النهاية المفقودة في Azure Security Center	ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات	AuditIfNotExists، معطل	3.0.0
يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center.	AuditIfNotExists، معطل	1.0.1

قم بتحديث آليات الحماية من التعليمات البرمجية الضارة عند توفر إصدارات جديدة.

المعرف: NIST SP 800-171 R2 3.14.4 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	يدوي، معطل	1.1.0
يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري	قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية.	AuditIfNotExists، معطل	3.0.0
إدارة البوابات	CMA_0363 - Manage gateways	يدوي، معطل	1.1.0
يجب تكوين برامج Microsoft Antimalware المضادة للبرمجيات الخبيثة لـ Azure بحيث تُحدّث توقيعات الحماية تلقائيًا	يقوم هذا النهج بمراجعة أي جهاز Windows ظاهري لم يتم تكوينه مع التحديث التلقائي لتوقيعات حماية Microsoft Antimalware.	AuditIfNotExists، معطل	1.0.0
يجب توزيع ملحق حماية Microsoft IaaSAntimalware على خوادم Windows	يقوم هذا النهج بتدقيق أي جهاز ظاهري لخادم Windows بدون نشر امتداد Microsoft IaaSAntimalware.	AuditIfNotExists، معطل	1.1.0
مراقبة حماية نقطة النهاية المفقودة في Azure Security Center	ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات	AuditIfNotExists، معطل	3.0.0
إجراء تحليل للاتجاهات على التهديدات	CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات	يدوي، معطل	1.1.0
إجراء عمليات فحص الثغرات الأمنية	CMA_0393 - إجراء عمليات فحص الثغرات الأمنية	يدوي، معطل	1.1.0
مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	CMA_0475 - مراجعة تقرير الكشف عن البرامج الضارة أسبوعيًا	يدوي، معطل	1.1.0
تحديث تعريفات مكافحة الفيروسات	CMA_0517 - تحديث تعريفات مكافحة الفيروسات	يدوي، معطل	1.1.0
يجب تمكينWindows Defender Exploit Guard على أجهزتك	يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط).	AuditIfNotExists، معطل	2.0.0

إجراء عمليات فحص دورية للأنظمة التنظيمية والمسح الضوئي في الوقت الحقيقي للملفات من مصادر خارجية حيث يتم تنزيل الملفات أو فتحها أو تنفيذها.

المعرف: NIST SP 800-171 R2 3.14.5 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري	قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية.	AuditIfNotExists، معطل	3.0.0
يجب تكوين برامج Microsoft Antimalware المضادة للبرمجيات الخبيثة لـ Azure بحيث تُحدّث توقيعات الحماية تلقائيًا	يقوم هذا النهج بمراجعة أي جهاز Windows ظاهري لم يتم تكوينه مع التحديث التلقائي لتوقيعات حماية Microsoft Antimalware.	AuditIfNotExists، معطل	1.0.0
يجب توزيع ملحق حماية Microsoft IaaSAntimalware على خوادم Windows	يقوم هذا النهج بتدقيق أي جهاز ظاهري لخادم Windows بدون نشر امتداد Microsoft IaaSAntimalware.	AuditIfNotExists، معطل	1.1.0
مراقبة حماية نقطة النهاية المفقودة في Azure Security Center	ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات	AuditIfNotExists، معطل	3.0.0
يجب تمكينWindows Defender Exploit Guard على أجهزتك	يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط).	AuditIfNotExists، معطل	2.0.0

راقب الأنظمة التنظيمية، بما في ذلك حركة الاتصالات الواردة والصادرة، للكشف عن الهجمات ومؤشرات الهجمات المحتملة.

المعرّف: NIST SP 800-171 R2 3.14.6 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
[إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً	يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists، معطل	6.0.0-المعاينة
[معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Linux Azure Arc الخاصة بك	يقوم هذا النهج بتدقيق أجهزة Linux Azure Arc إذا لم يتم تثبيت ملحق Log Analytics.	AuditIfNotExists، معطل	1.0.1 - المعاينة
[معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Windows Azure Arc الخاصة بك	يقوم هذا النهج بتدقيق أجهزة Windows Azure Arc إذا لم يتم تثبيت ملحق Log Analytics.	AuditIfNotExists، معطل	1.0.1 - المعاينة
[معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية	يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة.	AuditIfNotExists، معطل	1.0.2-معاينة
[معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية	يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة.	AuditIfNotExists، معطل	1.0.2-معاينة
يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك	لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها.	AuditIfNotExists، معطل	1.0.1
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender for Resource Manager	يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	CMA_C1700 - الكشف عن خدمات الشبكة التي لم يتم التصريح بها أو الموافقة عليها	يدوي، معطل	1.1.0
اكتشاف أي مؤشرات للتسوية	CMA_C1702 - اكتشاف أي مؤشرات للتسوية	يدوي، معطل	1.1.0
عمليات أمان المستند	CMA_0202 - عمليات أمان المستندات	يدوي، معطل	1.1.0
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	1.1.0
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	2.1.0
يجب تثبيت ملحق Guest Configuration على الأجهزة	لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol.	AuditIfNotExists، معطل	1.0.3
يجب تثبيت عامل Azure Log Analtics على الجهاز الظاهري لمراقبة Azure Security Center	يقوم هذا النهج بمراجعة أي أجهزة ظاهرية Windows/Linux (VMs) إذا لم يتم تثبيت عامل Log Analytics الذي يستخدمه Security Center لمراقبة الثغرات الأمنية والتهديدات	AuditIfNotExists، معطل	1.0.0
يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center	من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Network Watcher	تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة.	AuditIfNotExists، معطل	3.0.0
إجراء تحليل للاتجاهات على التهديدات	CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات	يدوي، معطل	1.1.0
يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center.	AuditIfNotExists، معطل	1.0.1
تشغيل أجهزة الاستشعار لحل أمان نقطة النهاية	CMA_0514 - تشغيل أدوات الاستشعار لحل أمان نقطة النهاية	يدوي، معطل	1.1.0
يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام	يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol.	AuditIfNotExists، معطل	1.0.1

حدد الاستخدام غير المصرح به للأنظمة المؤسسية.

المعرف: NIST SP 800-171 R2 3.14.7 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
[إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً	يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists، معطل	6.0.0-المعاينة
[معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Linux Azure Arc الخاصة بك	يقوم هذا النهج بتدقيق أجهزة Linux Azure Arc إذا لم يتم تثبيت ملحق Log Analytics.	AuditIfNotExists، معطل	1.0.1 - المعاينة
[معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Windows Azure Arc الخاصة بك	يقوم هذا النهج بتدقيق أجهزة Windows Azure Arc إذا لم يتم تثبيت ملحق Log Analytics.	AuditIfNotExists، معطل	1.0.1 - المعاينة
[معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية	يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة.	AuditIfNotExists، معطل	1.0.2-معاينة
[معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية	يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة.	AuditIfNotExists، معطل	1.0.2-معاينة
يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك	لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها.	AuditIfNotExists، معطل	1.0.1
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender for Resource Manager	يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تثبيت ملحق Guest Configuration على الأجهزة	لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol.	AuditIfNotExists، معطل	1.0.3
يجب تثبيت عامل Azure Log Analtics على الجهاز الظاهري لمراقبة Azure Security Center	يقوم هذا النهج بمراجعة أي أجهزة ظاهرية Windows/Linux (VMs) إذا لم يتم تثبيت عامل Log Analytics الذي يستخدمه Security Center لمراقبة الثغرات الأمنية والتهديدات	AuditIfNotExists، معطل	1.0.0
يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center	من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Network Watcher	تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة.	AuditIfNotExists، معطل	3.0.0
إجراء تحليل للاتجاهات على التهديدات	CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات	يدوي، معطل	1.1.0
يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام	يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol.	AuditIfNotExists، معطل	1.0.1

التوعية والتدريب

تأكد من أن المديرين ومسؤولي الأنظمة ومستخدمي الأنظمة التنظيمية على دراية بالمخاطر الأمنية المرتبطة بأنشطتهم والسياسات والمعايير والإجراءات المعمول بها المتعلقة بأمن تلك الأنظمة.

المعرف: NIST SP 800-171 R2 3.2.1 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
توفير تدريب دوري على التوعية الأمنية	CMA_C1091 - توفير تدريب دوري على التوعية الأمنية	يدوي، معطل	1.1.0
توفير التدريب الأمني للمستخدمين الجدد	CMA_0419 - توفير التدريب الأمني للمستخدمين الجدد	يدوي، معطل	1.1.0

ضمان تدريب الموظفين على الاضطلاع بواجباتهم ومسؤولياتهم المعينة فيما يتعلق بأمن المعلومات.

المعرف: NIST SP 800-171 R2 3.2.2 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
توفير تدريب أمني دوري قائم على الأدوار	CMA_C1095 - توفير تدريب أمني دوري قائم على الأدوار	يدوي، معطل	1.1.0
توفير التدريب الأمني قبل توفير الوصول	CMA_0418 - توفير التدريب الأمني قبل توفير الوصول	يدوي، معطل	1.1.0

توفير تدريب للتوعية الأمنية حول التعرف على المؤشرات المحتملة للمخاطر الداخلية والإبلاغ عنها.

المعرف: NIST SP 800-171 R2 3.2.3 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تنفيذ برنامج تهديد من الداخل	CMA_C1751 - تنفيذ برنامج تهديد من الداخل	يدوي، معطل	1.1.0
توفير التدريب على التوعية الأمنية للتهديدات الداخلية	CMA_0417 - توفير التدريب على التوعية الأمنية للتهديدات الداخلية	يدوي، معطل	1.1.0

التدقيق والمُساءلة

إنشاء سجلات وسجلات تدقيق النظام والاحتفاظ بها إلى الحد المطلوب لتمكين مراقبة النشاط غير القانوني أو غير المصرح به للنظام وتحليله والتحقيق فيه والإبلاغ عنه

المعرّف: NIST SP 800-171 R2 3.3.1 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً	يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists، معطل	6.0.0-المعاينة
[معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Linux Azure Arc الخاصة بك	يقوم هذا النهج بتدقيق أجهزة Linux Azure Arc إذا لم يتم تثبيت ملحق Log Analytics.	AuditIfNotExists، معطل	1.0.1 - المعاينة
[معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Windows Azure Arc الخاصة بك	يقوم هذا النهج بتدقيق أجهزة Windows Azure Arc إذا لم يتم تثبيت ملحق Log Analytics.	AuditIfNotExists، معطل	1.0.1 - المعاينة
[معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية	يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة.	AuditIfNotExists، معطل	1.0.2-معاينة
[معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية	يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة.	AuditIfNotExists، معطل	1.0.2-معاينة
الالتزام بفترات الاستبقاء المحددة	CMA_0004 - الالتزام بفترات الاستبقاء المحددة	يدوي، معطل	1.1.0
يجب تمكين سجلات الموارد لتطبيقات App Service	قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر.	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين التدقيق على خادم SQL	يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق.	AuditIfNotExists، معطل	2.0.0
يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك	لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها.	AuditIfNotExists، معطل	1.0.1
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender for Resource Manager	يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
تكوين قدرات Azure Audit	CMA_C1108 - تكوين قدرات Azure Audit	يدوي، معطل	1.1.1
ربط سجلات التدقيق	CMA_0087 - ربط سجلات التدقيق	يدوي، معطل	1.1.0
تحديد الأحداث القابلة للتدقيق	CMA_0137 - تحديد الأحداث القابلة للتدقيق	يدوي، معطل	1.1.0
تحديد متطلبات مراجعة التدقيق وإعداد التقارير	CMA_0277 - تحديد متطلبات لمراجعة مراجعة الحسابات والإبلاغ عنها	يدوي، معطل	1.1.0
يجب تثبيت ملحق Guest Configuration على الأجهزة	لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol.	AuditIfNotExists، معطل	1.0.3
تكامل مراجعة التدقيق وتحليله وإعداد التقارير عنه	CMA_0339 - دمج مراجعة التدقيق والتحليل وإعداد التقارير	يدوي، معطل	1.1.0
دمج أمان تطبيق السحابة مع إدارة معلومات الأمان والأحداث	CMA_0340 - دمج أمان تطبيق السحابة مع siem	يدوي، معطل	1.1.0
يجب تثبيت عامل Azure Log Analtics على الجهاز الظاهري لمراقبة Azure Security Center	يقوم هذا النهج بمراجعة أي أجهزة ظاهرية Windows/Linux (VMs) إذا لم يتم تثبيت عامل Log Analytics الذي يستخدمه Security Center لمراقبة الثغرات الأمنية والتهديدات	AuditIfNotExists، معطل	1.0.0
يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center	من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Network Watcher	تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة.	AuditIfNotExists، معطل	3.0.0
⁧يجب تمكين سجلات الموارد في Azure Data Lake Store⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Azure Stream Analytics⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في حسابات Batch	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Data Lake Analytics⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Event Hub⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في مركز IoT⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	3.1.0
⁧يجب تمكين سجلات الموارد في Key Vault⁧	مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Logic Apps⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	5.1.0
⁧يجب تمكين سجلات الموارد في خدمات البحث⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Service Bus⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
الاحتفاظ بسياسات وإجراءات الأمان	CMA_0454 - الاحتفاظ بسياسات وإجراءات الأمان	يدوي، معطل	1.1.0
الاحتفاظ ببيانات المستخدم التي تم إنهاؤها	CMA_0455 - الاحتفاظ ببيانات المستخدم المنتهية	يدوي، معطل	1.1.0
مراجعة سجلات توفير الحساب	CMA_0460 - مراجعة سجلات توفير الحساب	يدوي، معطل	1.1.0
مراجعة مهمات المسؤول أسبوعيًا	CMA_0461 - مراجعة تعيينات المسؤول أسبوعيا	يدوي، معطل	1.1.0
مراجعة بيانات التدقيق	CMA_0466 - مراجعة بيانات التدقيق	يدوي، معطل	1.1.0
مراجعة نظرة عامة على تقرير الهوية السحابية	CMA_0468 - مراجعة نظرة عامة على تقرير الهوية السحابية	يدوي، معطل	1.1.0
مراجعة أحداث الوصول المتحكم به إلى المجلدات	CMA_0471 - مراجعة أحداث الوصول إلى المجلدات التي يتم التحكم فيها	يدوي، معطل	1.1.0
مراجعة نشاط الملف والمجلدات	CMA_0473 - مراجعة نشاط الملفات والمجلدات	يدوي، معطل	1.1.0
مراجعة تغييرات مجموعة الأدوار أسبوعيًا	CMA_0476 - مراجعة تغييرات مجموعة الأدوار أسبوعيا	يدوي، معطل	1.1.0
ينبغي تكوين خوادم SQL لاستخدام التدقيق لوجهة حساب التخزين مع الاحتفاظ بهذه السجلات لمدة 90 يومًا أو أكثر	لأغراض التحقيق في الحوادث، نوصي بتعيين الاحتفاظ بالبيانات لمراجعة SQL Server إلى وجهة حساب التخزين لمدة 90 يومًا على الأقل. تأكد من الاستيفاء بقواعد الاحتفاظ الضرورية للمناطق التي تعمل فيها. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية.	AuditIfNotExists، معطل	3.0.0
⁧يجب تثبيت ملحق Log Analytics على مجموعات مقياس الجهاز الظاهري⁧	يدقق هذا النهج أي مجموعات مقياس جهاز ظاهري في Windows/Linux إذا لم يكن ملحق Log Analytics مثبتاً.	AuditIfNotExists، معطل	1.0.1
يجب توصيل الأجهزة الظاهرية بمساحة عمل محددة	يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تقم بتسجيل الدخول إلى مساحة عمل Log Analytics المحددة في تعيين النهج/المبادرة.	AuditIfNotExists، معطل	1.1.0
يجب أن يكون لدى الأجهزة الظاهرية ملحق Log Analytics مثبتاً	يدقق هذا النهج أي أجهزة ظاهرية لنظامي التشغيل Windows/Linux إذا لم يتم تثبيت ملحق Log Analytics.	AuditIfNotExists، معطل	1.0.1
يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام	يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol.	AuditIfNotExists، معطل	1.0.1

ضمان تتبع إجراءات مُستخدمي النظام الفرديين عَلَى نَحْوٍ فَرِيد إلى هؤلاء المستخدمين حتى يمكن مساءلتهم عن أفعالهم.

المعرّف: NIST SP 800-171 R2 3.3.2 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً	يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists، معطل	6.0.0-المعاينة
[معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Linux Azure Arc الخاصة بك	يقوم هذا النهج بتدقيق أجهزة Linux Azure Arc إذا لم يتم تثبيت ملحق Log Analytics.	AuditIfNotExists، معطل	1.0.1 - المعاينة
[معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Windows Azure Arc الخاصة بك	يقوم هذا النهج بتدقيق أجهزة Windows Azure Arc إذا لم يتم تثبيت ملحق Log Analytics.	AuditIfNotExists، معطل	1.0.1 - المعاينة
[معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية	يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة.	AuditIfNotExists، معطل	1.0.2-معاينة
[معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية	يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة.	AuditIfNotExists، معطل	1.0.2-معاينة
يجب تمكين سجلات الموارد لتطبيقات App Service	قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر.	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين التدقيق على خادم SQL	يجب تمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات الموجودة على الخادم وحفظها في سجل تدقيق.	AuditIfNotExists، معطل	2.0.0
يجب تمكين التوفير التلقائي لوكيل Log Analytics في الاشتراك	لمراقبة الثغرات والتهديدات الأمنية، يجمع مركز أمان Azure البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل السجل التحليلي، المعروف سابقًا باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان، وسجلات الأحداث من الجهاز، وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التزويد التلقائي لنشر العامل تلقائيا على كافة VMs Azure المعتمدة وأية وحدات جديدة يتم إنشاؤها.	AuditIfNotExists، معطل	1.0.1
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender for Resource Manager	يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
تحديد الأحداث القابلة للتدقيق	CMA_0137 - تحديد الأحداث القابلة للتدقيق	يدوي، معطل	1.1.0
إنشاء متطلبات التوقيع والشهادة الإلكترونية	CMA_0271 - وضع متطلبات التوقيع والشهادة الإلكترونية	يدوي، معطل	1.1.0
يجب تثبيت ملحق Guest Configuration على الأجهزة	لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol.	AuditIfNotExists، معطل	1.0.3
يجب تثبيت عامل Azure Log Analtics على الجهاز الظاهري لمراقبة Azure Security Center	يقوم هذا النهج بمراجعة أي أجهزة ظاهرية Windows/Linux (VMs) إذا لم يتم تثبيت عامل Log Analytics الذي يستخدمه Security Center لمراقبة الثغرات الأمنية والتهديدات	AuditIfNotExists، معطل	1.0.0
يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center	من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Network Watcher	تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة.	AuditIfNotExists، معطل	3.0.0
⁧يجب تمكين سجلات الموارد في Azure Data Lake Store⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Azure Stream Analytics⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في حسابات Batch	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Data Lake Analytics⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Event Hub⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في مركز IoT⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	3.1.0
⁧يجب تمكين سجلات الموارد في Key Vault⁧	مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Logic Apps⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	5.1.0
⁧يجب تمكين سجلات الموارد في خدمات البحث⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Service Bus⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
ينبغي تكوين خوادم SQL لاستخدام التدقيق لوجهة حساب التخزين مع الاحتفاظ بهذه السجلات لمدة 90 يومًا أو أكثر	لأغراض التحقيق في الحوادث، نوصي بتعيين الاحتفاظ بالبيانات لمراجعة SQL Server إلى وجهة حساب التخزين لمدة 90 يومًا على الأقل. تأكد من الاستيفاء بقواعد الاحتفاظ الضرورية للمناطق التي تعمل فيها. وهذا مطلوب في بعض الأحيان للتوافق مع المعايير التنظيمية.	AuditIfNotExists، معطل	3.0.0
⁧يجب تثبيت ملحق Log Analytics على مجموعات مقياس الجهاز الظاهري⁧	يدقق هذا النهج أي مجموعات مقياس جهاز ظاهري في Windows/Linux إذا لم يكن ملحق Log Analytics مثبتاً.	AuditIfNotExists، معطل	1.0.1
يجب توصيل الأجهزة الظاهرية بمساحة عمل محددة	يُبلغ عن الأجهزة الظاهرية على أنها غير متوافقة إذا لم تقم بتسجيل الدخول إلى مساحة عمل Log Analytics المحددة في تعيين النهج/المبادرة.	AuditIfNotExists، معطل	1.1.0
يجب أن يكون لدى الأجهزة الظاهرية ملحق Log Analytics مثبتاً	يدقق هذا النهج أي أجهزة ظاهرية لنظامي التشغيل Windows/Linux إذا لم يتم تثبيت ملحق Log Analytics.	AuditIfNotExists، معطل	1.0.1
يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام	يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol.	AuditIfNotExists، معطل	1.0.1

مراجعة الأحداث المسجلة وتحديثها.

المعرف: NIST SP 800-171 R2 3.3.3 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
مراجعة الأحداث المحددة في AU-02 وتحديثها	CMA_C1106 - مراجعة وتحديث الأحداث المحددة في AU-02	يدوي، معطل	1.1.0

إرسال تنبيه في حالة فشل عملية تسجيل التدقيق.

المعرّف: NIST SP 800-171 R2 3.3.4 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender for Resource Manager	يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
إدارة ومراقبة أنشطة معالجة التدقيق	CMA_0289 - إدارة ومراقبة أنشطة معالجة التدقيق	يدوي، معطل	1.1.0
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
توفير تنبيهات في الوقت الحقيقي لفشل أحداث التدقيق	CMA_C1114 - توفير تنبيهات في الوقت الحقيقي لفشل أحداث التدقيق	يدوي، معطل	1.1.0

ربط عمليات مراجعة سجل التدقيق وتحليله والإبلاغ عنه للتحقيق والاستجابة لمؤشرات النشاط غير القانوني أو غير المصرح به أو المشبوه أو غير العادي.

المعرف: NIST SP 800-171 R2 3.3.5 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender for Resource Manager	يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
ربط سجلات التدقيق	CMA_0087 - ربط سجلات التدقيق	يدوي، معطل	1.1.0
تكامل تحليل سجل التدقيق	CMA_C1120 - دمج تحليل سجل التدقيق	يدوي، معطل	1.1.0
دمج أمان تطبيق السحابة مع إدارة معلومات الأمان والأحداث	CMA_0340 - دمج أمان تطبيق السحابة مع siem	يدوي، معطل	1.1.0
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0

توفير تقليل سجل التدقيق وإنشاء التقارير لدعم التحليل وإعداد التقارير عند الطلب.

المعرف: NIST SP 800-171 R2 3.3.6 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تدقيق الدوال المميزة	CMA_0019 - تدقيق الوظائف المتميزة	يدوي، معطل	1.1.0
تدقيق حالة حساب المستخدم	CMA_0020 - تدقيق حالة حساب المستخدم	يدوي، معطل	1.1.0
تجميع سجلات التدقيق في عملية تدقيق على مستوى النظام	CMA_C1140 - تحويل سجلات التدقيق برمجيا إلى تدقيق على مستوى النظام	يدوي، معطل	1.1.0
تحديد الأحداث القابلة للتدقيق	CMA_0137 - تحديد الأحداث القابلة للتدقيق	يدوي، معطل	1.1.0
توفير إمكانية مراجعة التدقيق والتحليل وإعداد التقارير	CMA_C1124 - توفير إمكانية مراجعة المراجعة والتحليل وإعداد التقارير	يدوي، معطل	1.1.0
توفير القدرة على معالجة سجلات التدقيق التي يتحكم فيها العميل	CMA_C1126 - توفير القدرة على معالجة سجلات التدقيق التي يتحكم فيها العميل	يدوي، معطل	1.1.0
مراجعة بيانات التدقيق	CMA_0466 - مراجعة بيانات التدقيق	يدوي، معطل	1.1.0

توفير قدرة النظام التي تقارن وتزامن ساعات النظام الداخلية مع مصدر موثوق لإنشاء طوابع زمنية لسجلات التدقيق

المعرف: NIST SP 800-171 R2 3.3.7 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
استخدام ساعات النظام لسجلات التدقيق	CMA_0535 - استخدام ساعات النظام لسجلات التدقيق	يدوي، معطل	1.1.0

قم بحماية معلومات التدقيق وأدوات تسجيل التدقيق من الوصول غير المصرح به والتعديل والحذف.

المعرف: NIST SP 800-171 R2 3.3.8 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تمكين التخويل المزدوج أو المشترك	CMA_0226 - تمكين التخويل المزدوج أو المشترك	يدوي، معطل	1.1.0
إنشاء إجراءات النسخ الاحتياطي ونُهجه	CMA_0268 - إنشاء نهج وإجراءات النسخ الاحتياطي	يدوي، معطل	1.1.0
الحفاظ على تكامل نظام التدقيق	CMA_C1133 - الحفاظ على سلامة نظام التدقيق	يدوي، معطل	1.1.0
حماية معلومات التدقيق	CMA_0401 - حماية معلومات التدقيق	يدوي، معطل	1.1.0

تقييد إدارة وظائف تسجيل التدقيق إلى مجموعة فرعية من المستخدمين المميزين.

المعرف: NIST SP 800-171 R2 3.3.9 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
حماية معلومات التدقيق	CMA_0401 - حماية معلومات التدقيق	يدوي، معطل	1.1.0

إدارة التكوين

إنشاء تكوينات أساسية وقوائم جرد للأنظمة التنظيمية والمحافظة عليها (بما في ذلك الأجهزة، والبرمجيات، والبرامج الثابتة، والوثائق) طوال دورات حياة تطوير النظام المعنيّ.

المعرف: NIST SP 800-171 R2 3.4.1 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[مهمل]: يجب أن يكون لتطبيقات الوظائف "شهادات العميل (شهادات العميل الواردة)" ممكنة	تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين يحملون شهادات صالحة فقط من الوصول إلى التطبيق. تم استبدال هذا النهج بنهج جديد بنفس الاسم لأن Http 2.0 لا يدعم شهادات العميل.	المراجعة، معطلة	3.1.0 مهمل
يجب تمكين شهادات العميل (شهادات العميل الواردة) لتطبيقات App Service	تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1.	AuditIfNotExists، معطل	1.0.0
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك	يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات.	AuditIfNotExists، معطل	2.0.0
يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات	تمتد الوظيفة الإضافية لسياسة Azure Policy لخدمة Kubernetes (AKS) إلى Gatekeeper v3، webhook وحدة تحكم القبول لعامل Open Policy Agent(OPA)، لتطبيق إنفاذ على نطاق واسع وضمانات على المجموعات بطريقة مركزية ومتسقة.	المراجعة، معطلة	⁧1.0.2⁧
تكوين الإجراءات للأجهزة غير المتوافقة	CMA_0062 - تكوين الإجراءات للأجهزة غير المتوافقة	يدوي، معطل	1.1.0
إنشاء مخزون بيانات	CMA_0096 - إنشاء مخزون بيانات	يدوي، معطل	1.1.0
تطوير التكوينات الأساسية وصيانتها	CMA_0153 - تطوير التكوينات الأساسية وصيانتها	يدوي، معطل	1.1.0
فرض إعدادات تكوين الأمان	CMA_0249 - فرض إعدادات تكوين الأمان	يدوي، معطل	1.1.0
إنشاء لوحة تحكم التكوين	CMA_0254 - إنشاء لوحة تحكم التكوين	يدوي، معطل	1.1.0
إنشاء خطة إدارة تكوين وتوثيقها	CMA_0264 - إنشاء خطة إدارة تكوين وتوثيقها	يدوي، معطل	1.1.0
إنشاء مخزون الأصول والحفاظ عليه	CMA_0266 - إنشاء مخزون الأصول وصيانته	يدوي، معطل	1.1.0
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
تطبيقات الوظائف يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك	يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية.	AuditIfNotExists، معطل	2.0.0
تنفيذ أداة إدارة تكوين تلقائية	CMA_0311 - تنفيذ أداة إدارة تكوين تلقائية	يدوي، معطل	1.1.0
⁧يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة⁧	فرض حاوية CPU وحدود موارد الذاكرة لمنع هجمات استنفاد الموارد في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	9.2.0
يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة	قم بحظر حاويات الجراب من مشاركة مساحة اسم معرف عملية المضيف ومساحة اسم IPC المضيف في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.2 وCIS 5.2.3 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	5.1.0
يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها	يجب أن تستخدم الحاويات ملفات تعريف AppArmor المسموح بها فقط في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	⁧6.1.1⁧
⁧يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها⁧	يجب تقييد القدرات لخفض سطح الهجوم من الحاويات في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.8 وCIS 5.2.9 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	6.1.0
يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط	استخدم الصور من السجلات الموثوق بها لتقليل خطر تعرض مجموعة Kubernetes للثغرات الأمنية غير المعروفة ومشكلات الأمان والصور الضارة. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	9.2.0
يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط	تشغيل حاويات مع نظام ملفات جذر للقراءة فقط للحماية من التغييرات في وقت التشغيل مع الثنائيات الضارة التي يتم إضافتها إلى PATH في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	6.2.0
⁧يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط⁧	تحميل حجم جراب HostPath الحد إلى مسارات المضيف المسموح به في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS) وKubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	⁧6.1.1⁧
⁧يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة⁧	التحكم في المستخدم، المجموعة الأساسية، المجموعة التكميلية ومعرفات مجموعة نظام الملفات التي يمكن استخدامها pods وحاويات لتشغيل في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	⁧6.1.1⁧
يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.4 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	6.1.0
⁧يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها⁧	يجب تقييد الخدمات للاستماع فقط على المنافذ المسموح بها لتأمين الوصول إلى مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	8.1.0
يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة	لا تسمح بإنشاء حاويات مميزة في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.1 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	9.1.0
يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية	لا تسمح بتشغيل الحاويات مع التصعيد امتياز الجذر في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.5 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاص بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	7.1.0
يجب أن تلبي أجهزة Linux المتطلبات الأساسية لأمان حساب Azure	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure.	AuditIfNotExists، معطل	2.2.0
الاحتفاظ بسجلات معالجة البيانات الشخصية	CMA_0353 - الاحتفاظ بسجلات لمعالجة البيانات الشخصية	يدوي، معطل	1.1.0
الاحتفاظ بالإصدارات السابقة من التكوينات الأساسية	CMA_C1181 - الاحتفاظ بالإصدارات السابقة من تكوينات الأساس	يدوي، معطل	1.1.0
يجب أن تفي الأجهزة التي تعمل بنظام التشغيل Windows بمتطلبات أساس أمان حساب Azure	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure.	AuditIfNotExists، معطل	2.0.0

إنشاء وفرض إعدادات تكوين الأمان لمنتجات تكنولوجيا المعلومات المستخدمة في الأنظمة التنظيمية.

المعرف: NIST SP 800-171 R2 3.4.2 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
[مهمل]: يجب أن يكون لتطبيقات الوظائف "شهادات العميل (شهادات العميل الواردة)" ممكنة	تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين يحملون شهادات صالحة فقط من الوصول إلى التطبيق. تم استبدال هذا النهج بنهج جديد بنفس الاسم لأن Http 2.0 لا يدعم شهادات العميل.	المراجعة، معطلة	3.1.0 مهمل
يجب تمكين شهادات العميل (شهادات العميل الواردة) لتطبيقات App Service	تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1.	AuditIfNotExists، معطل	1.0.0
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك	يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات.	AuditIfNotExists، معطل	2.0.0
يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على المجموعات	تمتد الوظيفة الإضافية لسياسة Azure Policy لخدمة Kubernetes (AKS) إلى Gatekeeper v3، webhook وحدة تحكم القبول لعامل Open Policy Agent(OPA)، لتطبيق إنفاذ على نطاق واسع وضمانات على المجموعات بطريقة مركزية ومتسقة.	المراجعة، معطلة	⁧1.0.2⁧
فرض إعدادات تكوين الأمان	CMA_0249 - فرض إعدادات تكوين الأمان	يدوي، معطل	1.1.0
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
تطبيقات الوظائف يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك	يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية.	AuditIfNotExists، معطل	2.0.0
إدارة توافق موفري خدمة السحابة	CMA_0290 - التحكم في توافق موفري خدمات السحابة	يدوي، معطل	1.1.0
⁧يجب ألا تتجاوز حاويات نظام المجموعة Kubernetes CPU وموارد الذاكرة الحدود المحددة⁧	فرض حاوية CPU وحدود موارد الذاكرة لمنع هجمات استنفاد الموارد في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	9.2.0
يجب ألا تشارك حاويات نظام المجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC المضيفة	قم بحظر حاويات الجراب من مشاركة مساحة اسم معرف عملية المضيف ومساحة اسم IPC المضيف في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.2 وCIS 5.2.3 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	5.1.0
يجب أن تستمع حاويات المجموعة Kubernetes فقط إلى المنافذ المسموح بها	يجب أن تستخدم الحاويات ملفات تعريف AppArmor المسموح بها فقط في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	⁧6.1.1⁧
⁧يجب أن تستخدم حاويات الكتلة Kubernetes فقط الإمكانات المسموح بها⁧	يجب تقييد القدرات لخفض سطح الهجوم من الحاويات في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.8 وCIS 5.2.9 التي تهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	6.1.0
يجب أن تستخدم حاويات المجموعة Kubernetes الصور المسموح بها فقط	استخدم الصور من السجلات الموثوق بها لتقليل خطر تعرض مجموعة Kubernetes للثغرات الأمنية غير المعروفة ومشكلات الأمان والصور الضارة. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	9.2.0
يجب تشغيل حاويات نظام المجموعة Kubernetes مع نظام ملف الجذر للقراءة فقط	تشغيل حاويات مع نظام ملفات جذر للقراءة فقط للحماية من التغييرات في وقت التشغيل مع الثنائيات الضارة التي يتم إضافتها إلى PATH في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	6.2.0
⁧يجب أن تستخدم مجموعة Kubernetes أحجام مسارات المضيف الجرابية المسموح بها فقط⁧	تحميل حجم جراب HostPath الحد إلى مسارات المضيف المسموح به في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS) وKubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	⁧6.1.1⁧
⁧يجب تشغيل جرابات مجموعة Kubernetes والحاويات فقط باستخدام معرفات المستخدم والمجموعة المعتمدة⁧	التحكم في المستخدم، المجموعة الأساسية، المجموعة التكميلية ومعرفات مجموعة نظام الملفات التي يمكن استخدامها pods وحاويات لتشغيل في مجموعة نظام Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	⁧6.1.1⁧
يجب أن تستخدم حاويات مجموعة Kubernetes الشبكة المضيفة ونطاق المنفذ المعتمدين فقط	تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.4 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	6.1.0
⁧يجب أن تستمع خدمات مجموعة Kubernetes فقط إلى المنافذ المسموح بها⁧	يجب تقييد الخدمات للاستماع فقط على المنافذ المسموح بها لتأمين الوصول إلى مجموعة Kubernetes. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	8.1.0
يجب ألا تسمح مجموعة Kubernetes بوجود الحاويات المتميزة	لا تسمح بإنشاء حاويات مميزة في مجموعة Kubernetes. هذه التوصية هي جزء من CIS 5.2.1 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاصة بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	9.1.0
يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاوية	لا تسمح بتشغيل الحاويات مع التصعيد امتياز الجذر في مجموعة نظام Kubernetes. هذه التوصية هي جزء من CIS 5.2.5 الذي يهدف إلى تحسين أمن بيئات Kubernetes الخاص بك. يتوفر هذا النهج بشكل عام لخدمة Kubernetes (AKS)، ومعاينة Kubernetes الممكنة في Azure Arc. لمزيد من المعلومات، انظر https://aka.ms/kubepolicydoc.	تدقيق، Audit، رفض، Deny، معطل، Disabled	7.1.0
يجب أن تلبي أجهزة Linux المتطلبات الأساسية لأمان حساب Azure	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure.	AuditIfNotExists، معطل	2.2.0
معالجة عيوب نظام المعلومات	CMA_0427 - معالجة عيوب نظام المعلومات	يدوي، معطل	1.1.0
عرض بيانات تشخيص النظام وتكوينها	CMA_0544 - عرض بيانات تشخيص النظام وتكوينها	يدوي، معطل	1.1.0
يجب أن تفي الأجهزة التي تعمل بنظام التشغيل Windows بمتطلبات أساس أمان حساب Azure	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure.	AuditIfNotExists، معطل	2.0.0

تعقب التغييرات في الأنظمة التنظيمية أو مراجعتها أو الموافقة عليها أو رفضها وتسجيلها.

المعرف: NIST SP 800-171 R2 3.4.3 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تعيين ممثل أمان المعلومات للتحكم بالتغيير	CMA_C1198 - تعيين ممثل أمان المعلومات لتغيير عنصر التحكم	يدوي، معطل	1.1.0
أتمتة طلب الموافقة على التغييرات المقترحة	CMA_C1192 - أتمتة طلب الموافقة على التغييرات المقترحة	يدوي، معطل	1.1.0
التنفيذ التلقائي لإعلامات التغيير المعتمدة	CMA_C1196 - التنفيذ التلقائي لإشعارات التغيير المعتمدة	يدوي، معطل	1.1.0
أتمتة عملية توثيق التغييرات المُنفذّة	CMA_C1195 - أتمتة العملية لتوثيق التغييرات المنفذة	يدوي، معطل	1.1.0
أتمتة عملية تمييز مقترحات التغيير التي لم تُراجع	CMA_C1193 - أتمتة العملية لتمييز مقترحات التغيير غير المنظرة	يدوي، معطل	1.1.0
أتمتة عملية حظر تنفيذ التغييرات غير المعتمدة	CMA_C1194 - أتمتة العملية لحظر تنفيذ التغييرات غير المعتمدة	يدوي، معطل	1.1.0
أتمتة التغييرات المُوثقة المقترحة	CMA_C1191 - أتمتة التغييرات الموثقة المقترحة	يدوي، معطل	1.1.0
إجراء تحليل الأثر الأمني	CMA_0057 - إجراء تحليل للتأثير الأمني	يدوي، معطل	1.1.0
تطوير معيار إدارة الثغرات الأمنية وصيانته	CMA_0152 - تطوير وصيانة معيار إدارة الثغرات الأمنية	يدوي، معطل	1.1.0
وضع استراتيجية لإدارة المخاطر	CMA_0258 - وضع استراتيجية لإدارة المخاطر	يدوي، معطل	1.1.0
إنشاء عمليات التحكم في التغيير وتوثيقها	CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها	يدوي، معطل	1.1.0
إنشاء متطلبات إدارة التكوين للمطورين	CMA_0270 - إنشاء متطلبات إدارة التكوين للمطورين	يدوي، معطل	1.1.0
إجراء تقييم تأثير الخصوصية	CMA_0387 - إجراء تقييم لتأثير الخصوصية	يدوي، معطل	1.1.0
إجراء تقييم المخاطر	CMA_0388 - إجراء تقييم للمخاطر	يدوي، معطل	1.1.0
إجراء التدقيق للتحكم في تغيير التكوين	CMA_0390 - إجراء تدقيق للتحكم في تغيير التكوين	يدوي، معطل	1.1.0

تحليل التأثير الأمني للتغييرات قبل التنفيذ.

المعرف: NIST SP 800-171 R2 3.4.4 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
إجراء تحليل الأثر الأمني	CMA_0057 - إجراء تحليل للتأثير الأمني	يدوي، معطل	1.1.0
تطوير معيار إدارة الثغرات الأمنية وصيانته	CMA_0152 - تطوير وصيانة معيار إدارة الثغرات الأمنية	يدوي، معطل	1.1.0
وضع استراتيجية لإدارة المخاطر	CMA_0258 - وضع استراتيجية لإدارة المخاطر	يدوي، معطل	1.1.0
إنشاء عمليات التحكم في التغيير وتوثيقها	CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها	يدوي، معطل	1.1.0
إنشاء متطلبات إدارة التكوين للمطورين	CMA_0270 - إنشاء متطلبات إدارة التكوين للمطورين	يدوي، معطل	1.1.0
إجراء تقييم تأثير الخصوصية	CMA_0387 - إجراء تقييم لتأثير الخصوصية	يدوي، معطل	1.1.0
إجراء تقييم المخاطر	CMA_0388 - إجراء تقييم للمخاطر	يدوي، معطل	1.1.0
إجراء التدقيق للتحكم في تغيير التكوين	CMA_0390 - إجراء تدقيق للتحكم في تغيير التكوين	يدوي، معطل	1.1.0

تعريف وتوثيق والموافقة وفرض قيود الوصول الفعلية والمنطقية المرتبطة بالتغييرات التي تطرأ على الأنظمة التنظيمية.

المعرف: NIST SP 800-171 R2 3.4.5 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
فرض قيود الوصول وتدقيقها	CMA_C1203 - فرض قيود الوصول والتدقيق	يدوي، معطل	1.1.0
إنشاء عمليات التحكم في التغيير وتوثيقها	CMA_0265 - إنشاء عمليات التحكم في التغيير وتوثيقها	يدوي، معطل	1.1.0
تقييد الامتيازات لإجراء تغييرات في بيئة الإنتاج	CMA_C1206 - الحد من الامتيازات لإجراء تغييرات في بيئة الإنتاج	يدوي، معطل	1.1.0
تقييد تثبيت البرامج والبرامج الثابتة غير المصرح بها	CMA_C1205 - تقييد تثبيت البرامج والبرامج الثابتة غير المصرح بها	يدوي، معطل	1.1.0
مراجعة الامتيازات وإعادة تقييمها	CMA_C1207 - مراجعة الامتيازات وإعادة تقييمها	يدوي، معطل	1.1.0
مراجعة التغييرات بحثاً عن أي تغييرات غير مصرح بها	CMA_C1204 - مراجعة التغييرات لأي تغييرات غير مصرح بها	يدوي، معطل	1.1.0

استخدام مبدأ الأداء الوظيفي الأدنى عن طريق تكوين أنظمة تنظيمية لتوفير القدرات الأساسية فقط.

المعرف: NIST SP 800-171 R2 3.4.6 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك	تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة.	AuditIfNotExists، معطل	3.0.0
يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي	راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية.	AuditIfNotExists، معطل	3.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3

تقييد استخدام البرامج أو الوظائف أو المنافذ أو البروتوكولات أو الخدمات غير الضرورية أو تعطيلها أو منعها.

المعرّف: NIST SP 800-171 R2 3.4.7 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك	تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة.	AuditIfNotExists، معطل	3.0.0
يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي	راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية.	AuditIfNotExists، معطل	3.0.0

تطبيق نهج الرفض عن طريق الاستثناء (القائمة السوداء) لمنع استخدام البرامج غير المصرح بها أو نهج رفض الكل أو السماح بالاستثناء (القائمة البيضاء) للسماح بتنفيذ البرامج المصرح بها.

المعرّف: NIST SP 800-171 R2 3.4.8 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك	تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة.	AuditIfNotExists، معطل	3.0.0
يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي	راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية.	AuditIfNotExists، معطل	3.0.0

تحكَّم في البرمجيات المثبتة من قبل المستخدم وراقبها.

المعرّف: NIST SP 800-171 R2 3.4.9 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك	تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة.	AuditIfNotExists، معطل	3.0.0
يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي	راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية.	AuditIfNotExists، معطل	3.0.0

التعريف والمصادقة

تحديد مستخدمي النظام والعمليات التي تعمل نيابة عن المستخدمين والأجهزة.

المعرّف: NIST SP 800-171 R2 3.5.1 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL	راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم تطبيقات App Service الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
تعيين معرّفات النظام	CMA_0018 - تعيين معرفات النظام	يدوي، معطل	1.1.0
يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية)	يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth	التدقيق، الرفض، التعطيل	1.1.0
فرض تفرد المستخدم	CMA_0250 - فرض تفرد المستخدم	يدوي، معطل	1.1.0
يجب أن تستخدم تطبيقات الوظائف الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
طلب استخدام المصدقين الفرديين	CMA_C1305 - طلب استخدام المصدقين الفرديين	يدوي، معطل	1.1.0
يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل	تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric	التدقيق، الرفض، التعطيل	1.1.0
دعم بيانات اعتماد التحقق الشخصي الصادرة عن السلطات القانونية	CMA_0507 - دعم بيانات اعتماد التحقق الشخصي الصادرة عن السلطات القانونية	يدوي، معطل	1.1.0

خزن وأرسل كلمات المرور المحمية بالتشفير فقط.

المعرّف: NIST SP 800-171 R2 3.5.10 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات	يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم	تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
تدقيق أجهزة Linux التي ليس لديها أذونات ملف passwd المعينة على 0644	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين أجهزة Linux التي لا تحتوي على أذونات ملف passwd على 0644	AuditIfNotExists، معطل	3.1.0
تدقيق أجهزة Windows التي لا تخزن كلمات المرور باستخدام تشفير عكسي	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت الأجهزة التي تعمل بنظام Windows لا تخزن كلمات المرور باستخدام تشفير قابل للعكس	AuditIfNotExists، معطل	2.0.0
توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux	ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	deployIfNotExists	3.1.0
نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows	تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	deployIfNotExists	1.2.0
تأكد من حماية المستخدمين المعتمدين للمصدّقين المقدمين	CMA_C1339 - ضمان حماية المستخدمين المعتمدين للمصادقين المقدمين	يدوي، معطل	1.1.0
حماية كلمات المرور باستخدام التشفير	CMA_0408 - حماية كلمات المرور باستخدام التشفير	يدوي، معطل	1.1.0
يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Network Security"	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - أمان الشبكة" لتضمين سلوك النظام المحلي وPKU2U وLAN Manager وعميل LDAP وNTLM SSP. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

تعليقات حجب معلومات المصادقة

المعرف: NIST SP 800-171 R2 3.5.11 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
إخفاء معلومات الملاحظات أثناء عملية المصادقة	CMA_C1344 - إخفاء معلومات الملاحظات أثناء عملية المصادقة	يدوي، معطل	1.1.0

مصادقة (أو تحقق) من هويات المستخدمين أو العمليات أو الأجهزة، كشرط أساسي للسماح بالوصول إلى الأنظمة التنظيمية.

المعرّف: NIST SP 800-171 R2 3.5.2 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA)	يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات	يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم	تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL	راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم تطبيقات App Service الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
تدقيق أجهزة Linux التي ليس لديها أذونات ملف passwd المعينة على 0644	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا تم تعيين أجهزة Linux التي لا تحتوي على أذونات ملف passwd على 0644	AuditIfNotExists، معطل	3.1.0
تدقيق أجهزة Windows التي لا تخزن كلمات المرور باستخدام تشفير عكسي	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت الأجهزة التي تعمل بنظام Windows لا تخزن كلمات المرور باستخدام تشفير قابل للعكس	AuditIfNotExists، معطل	2.0.0
يجب أن تتطلب المصادقة على أجهزة Linux مفاتيح SSH	على الرغم من أن SSH نفسه يوفر اتصالاً مشفراً، فإن استخدام كلمات المرور مع SSH لا يزال يترك الجهاز الظاهري عرضة لهجمات القوة الغاشمة. الخيار الأكثر أماناً للمصادقة إلى جهاز ظاهري Azure Linux عبر SSH يكون باستخدام زوج مفاتيح public-private والذي يُعرف أيضًا باسم مفاتيح SSH. اعرف المزيد:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists، معطل	3.2.0
يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية)	يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth	التدقيق، الرفض، التعطيل	1.1.0
يجب أن يكون للشهادات أقصى فترة صلاحية محددة	إدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد الحد الأقصى من الوقت الذي يمكن أن تكون الشهادة صالحة داخل مخزن المفتاح الخاص بك.	تدقيق، Audit، رفض، Deny، معطل، Disabled	2.2.1
توزيع ملحق تكوين الضيف على نظام التشغيل Linux لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية التي تعمل بنظام تشغيل Linux	ينشر هذا النهج ملحق Guest Configuration على Linux للأجهزة الظاهرية التي تعمل بنظام Linux المستضافة في Azure التي يدعمها Guest Configuration. ملحق تكوين ضيف Linux هو شرط أساسي لكافة تعيينات تكوين ضيف Linux ويجب نشره على الأجهزة قبل استخدام أي تعريف سياسة تكوين ضيف Linux. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	deployIfNotExists	3.1.0
نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows	تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	deployIfNotExists	1.2.0
إنشاء أنواع المصدّق وعملياته	CMA_0267 - إنشاء أنواع المصدق وعملياته	يدوي، معطل	1.1.0
وضع إجراءات لتوزيع المصدّق الأولّي	CMA_0276 - وضع إجراءات لتوزيع المصدق الأولي	يدوي، معطل	1.1.0
يجب أن تستخدم تطبيقات الوظائف الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية	يجب أن يكون لمفاتيح التشفير تاريخ انتهاء صلاحية محدد وألا تكون دائمة. توفر المفاتيح الصالحة إلى الأبد للمهاجم المحتمل المزيد من الوقت لاختراق المفتاح. من المستحسن أن يتم تعيين تواريخ انتهاء الصلاحية على مفاتيح التشفير.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب أن يكون لأسرار Key Vault تاريخ انتهاء صلاحية	يجب أن يكون للأسرار تاريخ انتهاء صلاحية محدد وألا تكون دائمة. الأسرار التي هي صالحة إلى الأبد توفر للمهاجم المحتمل مع المزيد من الوقت للتنازل عنها. من الممارسات الأمنية الموصى بها تعيين تواريخ انتهاء الصلاحية على الأسرار.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
إدارة مدة بقاء المصدّق وإعادة استخدامه	CMA_0355 - إدارة عمر المصدق وإعادة استخدامه	يدوي، معطل	1.1.0
إدارة المصدقين	CMA_C1321 - إدارة المصدقين	يدوي، معطل	1.1.0
تحديث المصدقين	CMA_0425 - تحديث المصدقين	يدوي، معطل	1.1.0
يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل	تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric	التدقيق، الرفض، التعطيل	1.1.0
التحقق من الهوية قبل توزيع المصدقين	CMA_0538 - التحقق من الهوية قبل توزيع المصدقين	يدوي، معطل	1.1.0

استخدام المصادقة متعددة العوامل للوصول المحلي والشبكي إلى الحسابات المميزة وللوصول إلى الشبكة إلى الحسابات غير المميزة

المعرّف: NIST SP 800-171 R2 3.5.3 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA)	يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
اعتماد آليات المصادقة البيومترية	CMA_0005 - اعتماد آليات المصادقة البيومترية	يدوي، معطل	1.1.0
تحديد أجهزة الشبكة ومصادقتها	CMA_0296 - تحديد أجهزة الشبكة ومصادقتها	يدوي، معطل	1.1.0

استخدم آليات مصادقة مقاومة لإعادة التشغيل للوصول إلى الشبكة إلى الحسابات المتميزة وغير المميزة.

المعرف: NIST SP 800-171 R2 3.5.4 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب أن تفي أجهزة Windows بمتطلبات"Security Options - Network Security"	يجب أن تحتوي أجهزة Windows على إعدادات نهج المجموعة المحددة في فئة "خيارات الأمان - أمان الشبكة" لتضمين سلوك النظام المحلي وPKU2U وLAN Manager وعميل LDAP وNTLM SSP. تتطلب هذه السياسة نشر المتطلبات الأساسية لتكوين الضيف إلى نطاق تعيين السياسة. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol.	AuditIfNotExists، معطل	3.0.0

منع إعادة استخدام المعرفات لفترة محددة.

المعرف: NIST SP 800-171 R2 3.5.5 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL	راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم تطبيقات App Service الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية)	يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth	التدقيق، الرفض، التعطيل	1.1.0
يجب أن تستخدم تطبيقات الوظائف الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
منع إعادة استخدام المعرّف للفترة الزمنية المحددة	CMA_C1314 - منع إعادة استخدام المعرف للفترة الزمنية المحددة	يدوي، معطل	1.1.0
يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل	تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric	التدقيق، الرفض، التعطيل	1.1.0

تعطيل المعرفات بعد فترة محددة من عدم النشاط.

المعرف: NIST SP 800-171 R2 3.5.6 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL	راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم تطبيقات App Service الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
يجب تعطيل الوصول إلى المفتاح لموارد Azure الذكاء الاصطناعي Services (تعطيل المصادقة المحلية)	يوصى بتعطيل الوصول إلى المفتاح (المصادقة المحلية) للأمان. يتطلب Azure OpenAI Studio، المستخدم عادة في التطوير/الاختبار، الوصول إلى المفتاح ولن يعمل إذا تم تعطيل الوصول إلى المفتاح. بعد التعطيل، يصبح معرف Microsoft Entra هو أسلوب الوصول الوحيد، والذي يسمح بالحفاظ على الحد الأدنى من مبدأ الامتياز والتحكم الدقيق. تعرّف على المزيد من خلال: https://aka.ms/AI/auth	التدقيق، الرفض، التعطيل	1.1.0
يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure	يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم تطبيقات الوظائف الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل	تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric	التدقيق، الرفض، التعطيل	1.1.0

فرض حد أدنى من تعقيد كلمة المرور وتغيير الأحرف عند إنشاء كلمات مرور جديدة.

المعرّف: NIST SP 800-171 R2 3.5.7 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات	يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم	تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
تدقيق Windows الأجهزة التي ليس لديها إعداد تعقيد كلمة المرور ممكن	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة في حالة تمكين الأجهزة التي تعمل بنظام التشغيل Windows التي لا تحتوي على إعداد تعقيد كلمة المرور	AuditIfNotExists، معطل	2.0.0
تدقيق أجهزة Windows التي لا تقيد الحد الأدنى لطول كلمة المرور بعدد محدد من الأحرف	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. تكون الأجهزة غير متوافقة إذا كانت أجهزة Windows التي لا تقيد الحد الأدنى لطول كلمة المرور لعدد محدد من الأحرف. القيمة الافتراضية للحد الأدنى لطول كلمة المرور هي 14 حرفا	AuditIfNotExists، معطل	2.1.0
نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows	تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	deployIfNotExists	1.2.0
متطلبات قوة أمان المستندات في عقود الاستحواذ	CMA_0203 - توثيق متطلبات قوة الأمان في عقود الاستحواذ	يدوي، معطل	1.1.0
إنشاء نهج كلمة مرور	CMA_0256 - إنشاء نهج كلمة مرور	يدوي، معطل	1.1.0
تنفيذ معلمات لأدوات التحقق من البيانات السرية المحفوظة	CMA_0321 - تنفيذ معلمات لمدققي البيانات السرية المحفظة	يدوي، معطل	1.1.0

حظر إعادة استخدام كلمة المرور لعدد مرات مُحدد.

المعرّف: NIST SP 800-171 R2 3.5.8 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بدون هويات	يضيف هذا النهج هوية مُدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها Guest Configuration ولكن ليس لديها أي هويات مُدارة. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
إضافة الهوية المُدارة التي يُعينها النظام لتمكين تعيينات تكوين الضيف على الأجهزة الظاهرية بهوية يُعينها المُستخدم	تضيف هذه السياسة هوية مدارة معينة من قبل النظام إلى الأجهزة الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف ولها هوية واحدة على الأقل تم تعيينها من قبل المستخدم ولكن ليس لديها هوية مدارة معينة من قبل النظام. الهوية المدارة المعينة من قبل النظام هي شرط أساسي لكافة تعيينات تكوين الضيف ويجب إضافتها إلى الأجهزة قبل استخدام أية تعريفات سياسة تكوين الضيف. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	تعديل	4.1.0
تدقيق أجهزة Windows التي تسمح بإعادة استخدام كلمات المرور بعد العدد المحدد من كلمات المرور الفريدة	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير متوافقة إذا كانت أجهزة Windows تسمح بإعادة استخدام كلمات المرور بعد العدد المحدد من كلمات المرور الفريدة. القيمة الافتراضية لكلمات المرور الفريدة هي 24	AuditIfNotExists، معطل	2.1.0
نشر ملحق Guest Configuration على Windows لتمكين تعيينات Guest Configuration على الأجهزة الظاهرية التي تعمل بنظام Windows	تقوم هذه السياسة بنشر ملحق تكوين الضيف لـWindows لأجهزة Windows الظاهرية المستضافة في Azure التي يدعمها تكوين الضيف. ملحق تكوين الضيف Windows هو شرط أساسي لكافة تعيينات تكوين الضيف لأجهزة Windows ويجب نشرها على الأجهزة قبل استخدام أي تعريف سياسة تكوين الضيف في Windows. لمزيد من المعلومات حول تكوين الضيف، تفضّل بزيارة ⁧https://aka.ms/gcpol⁧⁧.	deployIfNotExists	1.2.0

الاستجابة للحدث

أنشئ قدرة تشغيلية للتعامل مع الحوادث للأنظمة التنظيمية تشمل أنشطة الإعداد والكشف والتحليل والاحتواء والاسترداد واستجابة المستخدم.

المعرف: NIST SP 800-171 R2 3.6.1 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تنسيق خطط مواجهة المخاطر مع الخطط ذات الصلة	CMA_0086 - تنسيق خطط الطوارئ مع الخطط ذات الصلة	يدوي، معطل	1.1.0
التنسيق مع المؤسسات الخارجية لتحقيق منظور مشترك بين المؤسسات	CMA_C1368 - التنسيق مع المؤسسات الخارجية لتحقيق منظور المؤسسة المشتركة	يدوي، معطل	1.1.0
تطوير خطة استجابة للحوادث	CMA_0145 - تطوير خطة الاستجابة للحوادث	يدوي، معطل	1.1.0
تطوير الضمانات الأمنية	CMA_0161 - تطوير الضمانات الأمنية	يدوي، معطل	1.1.0
عمليات أمان المستند	CMA_0202 - عمليات أمان المستندات	يدوي، معطل	1.1.0
تمكين حماية الشبكة	CMA_0238 - تمكين حماية الشبكة	يدوي، معطل	1.1.0
مَحَو المعلومات التالفة	CMA_0253 - القضاء على المعلومات الملوثة	يدوي، معطل	1.1.0
تنفيذ الإجراءات استجابة لتسرب المعلومات	CMA_0281 - تنفيذ الإجراءات استجابة لتسرب المعلومات	يدوي، معطل	1.1.0
تنفيذ معالجة الحوادث	CMA_0318 - تنفيذ معالجة الحوادث	يدوي، معطل	1.1.0
إجراء تحليل للاتجاهات على التهديدات	CMA_0389 - إجراء تحليل للاتجاهات بشأن التهديدات	يدوي، معطل	1.1.0
توفير تدريب على تسرب المعلومات	CMA_0413 - توفير التدريب على تسرب المعلومات	يدوي، معطل	1.1.0
عرض المستخدمين المقيدين والتحقق منهم	CMA_0545 - عرض المستخدمين المقيدين والتحقيق فيهم	يدوي، معطل	1.1.0

تعقب الحوادث وتوثيقها والإبلاغ عنها إلى المسؤولين المعينين و/أو السلطات الداخلية والخارجية على حد سواء إلى المنظمة.

المعرف: NIST SP 800-171 R2 3.6.2 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	1.1.0
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	2.1.0
يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center.	AuditIfNotExists، معطل	1.0.1

اختبار قدرة الاستجابة للحوادث التنظيمية.

المعرف: NIST SP 800-171 R2 3.6.3 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تنفيذ اختبار الاستجابة للحوادث	CMA_0060 - إجراء اختبار الاستجابة للحوادث	يدوي، معطل	1.1.0
إنشاء برنامج أمان المعلومات	CMA_0263 - إنشاء برنامج أمن المعلومات	يدوي، معطل	1.1.0
تشغيل هجمات المحاكاة	CMA_0486 - تشغيل هجمات المحاكاة	يدوي، معطل	1.1.0

صيانة

إجراء الصيانة على الأنظمة التنظيمية. [26].

المعرف: NIST SP 800-171 R2 3.7.1 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
مراقبة أنشطة الصيانة والإصلاح	CMA_0080 - التحكم في أنشطة الصيانة والإصلاح	يدوي، معطل	1.1.0

توفير ضوابط على الأدوات والتقنيات والآليات والموظفين المستخدمين لإجراء صيانة النظام.

المعرف: NIST SP 800-171 R2 3.7.2 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
مراقبة أنشطة الصيانة والإصلاح	CMA_0080 - التحكم في أنشطة الصيانة والإصلاح	يدوي، معطل	1.1.0
استخدام آلية تعقيم الوسائط	CMA_0208 - توظيف آلية تعقيم إعلامية	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0
إدارة أنشطة التشخيص والصيانة غير المحلية	CMA_0364 - إدارة الصيانة غير المحلية وأنشطة التشخيص	يدوي، معطل	1.1.0

تأكد من تعقيم المعدات التي تمت إزالتها للصيانة خارج الموقع لأي واجهة مستخدم.

المعرف: NIST SP 800-171 R2 3.7.3 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
استخدام آلية تعقيم الوسائط	CMA_0208 - توظيف آلية تعقيم إعلامية	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0
إدارة أنشطة التشخيص والصيانة غير المحلية	CMA_0364 - إدارة الصيانة غير المحلية وأنشطة التشخيص	يدوي، معطل	1.1.0

تحقق من الوسائط التي تحتوي على برامج تشخيص واختبار للتعليمات البرمجية الضارة قبل استخدام الوسائط في الأنظمة التنظيمية.

المعرف: NIST SP 800-171 R2 3.7.4 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
مراقبة أنشطة الصيانة والإصلاح	CMA_0080 - التحكم في أنشطة الصيانة والإصلاح	يدوي، معطل	1.1.0
إدارة أنشطة التشخيص والصيانة غير المحلية	CMA_0364 - إدارة الصيانة غير المحلية وأنشطة التشخيص	يدوي، معطل	1.1.0

طلب مصادقة متعددة العوامل لإنشاء جلسات صيانة غير موقعية عبر اتصالات الشبكة الخارجية وإنهاء مثل هذه الاتصالات عند اكتمال الصيانة غير المحلية.

المعرف: NIST SP 800-171 R2 3.7.5 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
إدارة أنشطة التشخيص والصيانة غير المحلية	CMA_0364 - إدارة الصيانة غير المحلية وأنشطة التشخيص	يدوي، معطل	1.1.0

الإشراف على أنشطة صيانة موظفي الصيانة دون إذن الوصول المطلوب.

المعرف: NIST SP 800-171 R2 3.7.6 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تعيين موظفين للإشراف على أنشطة الصيانة غير المصرح بها	CMA_C1422 - تعيين موظفين للإشراف على أنشطة الصيانة غير المصرح بها	يدوي، معطل	1.1.0
الاحتفاظ بقائمة موظفي الصيانة عن بعد المعتمدين	CMA_C1420 - الاحتفاظ بقائمة موظفي الصيانة عن بعد المعتمدين	يدوي، معطل	1.1.0
إدارة موظفي الصيانة	CMA_C1421 - إدارة موظفي الصيانة	يدوي، معطل	1.1.0

حماية الوسائط

حماية وسائط النظام (أي التحكم المادي وتخزينها بشكل آمن) التي تحتوي على CUI، الورق والرقمي على حد سواء.

المعرف: NIST SP 800-171 R2 3.8.1 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
استخدام آلية تعقيم الوسائط	CMA_0208 - توظيف آلية تعقيم إعلامية	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0

تقييد الوصول إلى CUI على وسائط النظام للمستخدمين المعتمدين

المعرف: NIST SP 800-171 R2 3.8.2 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
استخدام آلية تعقيم الوسائط	CMA_0208 - توظيف آلية تعقيم إعلامية	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0

تعقيم وسائط النظام التي تحتوي على CUI أو إتلافها قبل التخلص منها أو إصدارها لإعادة استخدامها.

المعرف: NIST SP 800-171 R2 3.8.3 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
استخدام آلية تعقيم الوسائط	CMA_0208 - توظيف آلية تعقيم إعلامية	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0

وضع علامة على الوسائط باستخدام علامات CUI وقيود التوزيع الضرورية. [27]

المعرف: NIST SP 800-171 R2 3.8.4 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0

التحكم في الوصول إلى الوسائط التي تحتوي على واجهة المستخدم والحفاظ على المساءلة عن وسائل الإعلام أثناء النقل خارج المناطق الخاضعة للرقابة.

المعرف: NIST SP 800-171 R2 3.8.5 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0
إدارة نقل الأصول	CMA_0370 - إدارة نقل الأصول	يدوي، معطل	1.1.0

تنفيذ آليات التشفير لحماية سرية واجهة المستخدم المخزنة على الوسائط الرقمية أثناء النقل ما لم تكن محمية بخلاف ذلك بضمانات مادية بديلة.

المعرف: NIST SP 800-171 R2 3.8.6 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0
إدارة نقل الأصول	CMA_0370 - إدارة نقل الأصول	يدوي، معطل	1.1.0

التحكم في استخدام الوسائط القابلة للإزالة على مكونات النظام.

المعرف: NIST SP 800-171 R2 3.8.7 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	يدوي، معطل	1.1.0
التحكم في استخدام أجهزة التخزين المحمولة	CMA_0083 - التحكم في استخدام أجهزة التخزين المحمولة	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0
تقييد استخدام الوسائط	CMA_0450 - تقييد استخدام الوسائط	يدوي، معطل	1.1.0

حظر استخدام أجهزة التخزين المحمولة عندما لا يكون لهذه الأجهزة مالك يمكن التعرف عليه.

المعرف: NIST SP 800-171 R2 3.8.8 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	CMA_0050 - حظر العمليات غير الموثوق بها وغير الموقعة التي تعمل من USB	يدوي، معطل	1.1.0
التحكم في استخدام أجهزة التخزين المحمولة	CMA_0083 - التحكم في استخدام أجهزة التخزين المحمولة	يدوي، معطل	1.1.0
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0
تقييد استخدام الوسائط	CMA_0450 - تقييد استخدام الوسائط	يدوي، معطل	1.1.0

حماية سرية واجهة مستخدم النسخ الاحتياطي في مواقع التخزين.

المعرف: NIST SP 800-171 R2 3.8.9 الملكية: مشترك

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
⁧يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية⁧	تأكد من حماية الأجهزة الظاهرية Azure الخاصة بك عن طريق تمكين النسخ الاحتياطي Azure. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure.	AuditIfNotExists، معطل	3.0.0
إنشاء إجراءات النسخ الاحتياطي ونُهجه	CMA_0268 - إنشاء نهج وإجراءات النسخ الاحتياطي	يدوي، معطل	1.1.0
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB	تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم.	المراجعة، معطلة	1.0.1
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL	تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم.	المراجعة، معطلة	1.0.1
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL	تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم.	المراجعة، معطلة	1.0.1
تنفيذ عناصر التحكم لتأمين جميع الوسائط	CMA_0314 - تنفيذ عناصر التحكم لتأمين جميع الوسائط	يدوي، معطل	1.1.0
يجب تمكين حماية الحذف في خزائن المفاتيح	يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي.	التدقيق، الرفض، التعطيل	2.1.0
⁧يجب تمكين الحذف المبدئي في Key vaults⁧	يؤدي حذف key vault من دون حذف مبدئي ممكن إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في key vault نهائيًا. يمكن أن يؤدي الحذف العرضي لمخزن البيانات السرية إلى فقدان دائم للبيانات. يتيح لك الحذف الناعم استرداد مخزن مفاتيح تم حذفها عن طريق الخطأ لفترة استبقاء قابلة للتكوين.	التدقيق، الرفض، التعطيل	3.0.0

أمن الموظفين

فحص الأفراد قبل السماح بالوصول إلى الأنظمة التنظيمية التي تحتوي على CUI.

المعرف: NIST SP 800-171 R2 3.9.1 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
مسح الموظفين الذين يتمتعون بإمكانية الوصول إلى المعلومات السرية	CMA_0054 - مسح الموظفين الذين يتمتعون بإمكانية الوصول إلى المعلومات السرية	يدوي، معطل	1.1.0
تنفيذ فحص الموظفين	CMA_0322 - تنفيذ فحص الموظفين	يدوي، معطل	1.1.0

تأكد من حماية الأنظمة التنظيمية التي تحتوي على CUI أثناء إجراءات الموظفين وبعدها مثل إنهاء الخدمة والنقل

المعرف: NIST SP 800-171 R2 3.9.2 الملكية: مشتركة

الاسم (مدخل Azure)	‏‏الوصف	التأثير (التأثيرات)	إصدار (GitHub)
إجراء مقابلة إنهاء الخدمة	CMA_0058 - إجراء مقابلة إنهاء عند الإنهاء	يدوي، معطل	1.1.0
تعطيل المصدقين عند الإنهاء	CMA_0169 - تعطيل المصدقين عند الإنهاء	يدوي، معطل	1.1.0
بدء إجراءات النقل أو إعادة التعيين	CMA_0333 - بدء إجراءات النقل أو إعادة التعيين	يدوي، معطل	1.1.0
تعديل أذونات الوصول عند نقل الموظفين	CMA_0374 - تعديل أذونات الوصول عند نقل الموظفين	يدوي، معطل	1.1.0
الإعلام عند النقل أو الفصل	CMA_0381 - الإعلام عند الإنهاء أو النقل	يدوي، معطل	1.1.0
منع الموظفين المُغادرين من سرقة البيانات وحمايتها	CMA_0398 - الحماية من سرقة البيانات ومنعها من الموظفين المغادرين	يدوي، معطل	1.1.0
إعادة تقييم الوصول عند نقل الموظفين	CMA_0424 - إعادة تقييم الوصول عند نقل الموظفين	يدوي، معطل	1.1.0

الخطوات التالية

مقالات إضافية حول Azure Policy:

• نظرة عامة على التوافق التنظيمي.
• راجع ⁧بنية تعريف المبادرة⁧.
• مراجعة أمثلة أخرى في ⁧نماذج Azure Policy.
• راجع فهم تأثيرات النهج.
• تعرف على كيفية إصلاح الموارد غير المتوافقة.