تفاصيل المبادرة المضمنة للامتثال التنظيمي لمصرف الاحتياطي الهندي لإطار عمل تكنولوجيا المعلومات للبنوك الإصدار 2016

مقالة
04/17/2024

توضح المقالة التالية كيفية تعيين تعريف المبادرة المضمنة للامتثال التنظيمي لنهج Azure إلى مجالات الامتثال وعناصر التحكم في إطار عمل تكنولوجيا المعلومات ل Reserve Bank of India للبنوك الإصدار 2016. لمزيد من المعلومات حول معيار التوافق هذا، راجع Reserve Bank of India IT Framework for Banks v2016. لفهم الملكية، راجع تعريف نهج Azure و المسؤولية المشتركة في السحابة.

التعيينات التالية مخصصة لضوابط إطار عمل تكنولوجيا المعلومات لمصرف احتياطي الهند للمصارف الإصدار 2016 . يتم تنفيذ العديد من عناصر التحكم بتعريف مبادرة ⁧Azure Policy⁧. لمراجعة تعريف المبادرة الكامل، افتح نهج في مدخل Microsoft Azure وحدد صفحة التعريفات. ثم ابحث عن تعريف المبادرة المضمنة [Preview]: Reserve Bank of India - IT Framework for Banks Regulatory Compliance وحدده.

هام

يرتبط كل عنصر تحكم أدناه بتعريف أو أكثر من تعريفات نهج Azure. قد تساعدك هذه السياسات على تقييم الامتثال بعنصر التحكم؛ ومع ذلك، غالباً ما لا يكون هناك تطابق أو تناظر كامل بين عنصر التحكم مع نهج واحد أو أكثر. على هذا النحو، تشير كلمة ⁧متوافق في Azure Policy فقط إلى تعريفات النهج ذاتها؛ وهذا لا يضمن أنك ممتثل تمامًا لكافة متطلبات عنصر التحكم. بالإضافة إلى ذلك، يتضمن معيار التوافق عناصر تحكم لا يتم تناولها بواسطة أي تعريفات خاصة بـ Azure Policy في هذا الوقت. لذلك، فإن التوافق في Azure Policy هو مجرد مظهر جزئي لحالة التوافق الكلي. قد تتغير الاقترانات بين مجالات الامتثال وعناصر التحكم وتعريفات Azure Policy لمعيار الامتثال المذكور بمرور الوقت. لعرض تاريخ التغييرات، راجع تاريخ امتثال شركة GitHub.

إطار عمل المصادقة للعملاء

إطار عمل المصادقة للعملاء-9.1

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA)	يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب أن تتطلب المصادقة على أجهزة Linux مفاتيح SSH	على الرغم من أن SSH نفسه يوفر اتصالاً مشفراً، فإن استخدام كلمات المرور مع SSH لا يزال يترك الجهاز الظاهري عرضة لهجمات القوة الغاشمة. الخيار الأكثر أماناً للمصادقة إلى جهاز ظاهري Azure Linux عبر SSH يكون باستخدام زوج مفاتيح public-private والذي يُعرف أيضًا باسم مفاتيح SSH. اعرف المزيد:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists، معطل	3.2.0

إطار عمل المصادقة للعملاء-9.3

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA)	يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب أن تتطلب المصادقة على أجهزة Linux مفاتيح SSH	على الرغم من أن SSH نفسه يوفر اتصالاً مشفراً، فإن استخدام كلمات المرور مع SSH لا يزال يترك الجهاز الظاهري عرضة لهجمات القوة الغاشمة. الخيار الأكثر أماناً للمصادقة إلى جهاز ظاهري Azure Linux عبر SSH يكون باستخدام زوج مفاتيح public-private والذي يُعرف أيضًا باسم مفاتيح SSH. اعرف المزيد:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists، معطل	3.2.0
يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure	يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure	يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0

إدارة الشبكة والأمان

مخزون الشبكة-4.2

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
[معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية	يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة.	AuditIfNotExists، معطل	1.0.2-معاينة
[معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية	يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة.	AuditIfNotExists، معطل	1.0.2-معاينة
يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك	تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة.	AuditIfNotExists، معطل	3.0.0
يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي	راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية.	AuditIfNotExists، معطل	3.0.0
يجب تمكين تحليلات نسبة استخدام الشبكة لسجلات تدفق Network Watcher	تحلل تحليلات نسبة استخدام الشبكة سجلات التدفق لتوفير رؤى حول تدفق نسبة استخدام الشبكة في سحابة Azure. ويمكن استخدامه لتصور نشاط الشبكة عبر اشتراكات Azure وتحديد النقاط الساخنة والتهديدات الأمنية وفهم أنماط تدفق الحركة وتحديد التهيئات الخاطئة للشبكة وغيرها.	المراجعة، معطلة	1.0.1

Network Device Configuration Management-4.3

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
[معاينة]: يجب تمكين vTPM على الأجهزة الظاهرية المعتمدة	تمكين جهاز TPM الظاهري على الأجهزة الظاهرية المدعومة لتسهيل Measured Boot، وميزات أمان نظام التشغيل الأخرى التي تتطلب TPM. بمجرد تمكين vTPM يمكن استخدامها لتشهد تكامل التمهيد. ينطبق هذا التقييم فقط على الأجهزة الظاهرية الموثوق بها التي تم تمكينها من التشغيل.	المراجعة، معطلة	2.0.0-المعاينة
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
يجب تمكين شهادات العميل (شهادات العميل الواردة) لتطبيقات App Service	تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1.	AuditIfNotExists، معطل	1.0.0
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
يجب أن يتيح نهج جدار حماية Azure فحص TLS ضمن قواعد التطبيق	يُوصى بتمكين فحص TLS لجميع قواعد التطبيق للكشف عن النشاط الضار في HTTPS وتنبيهه والتخفيف من حدته. لمعرفة المزيد حول فحص TLS باستخدام Azure Firewall، تفضل بزيارة https://aka.ms/fw-tlsinspect	التدقيق، الرفض، التعطيل	1.0.0
يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب تعطيل إعادة توجيه IP على الجهاز الظاهري	يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة.	AuditIfNotExists، معطل	3.0.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية	تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز.	AuditIfNotExists، معطل	3.0.0
يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة	قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة	حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها.	AuditIfNotExists، معطل	3.0.0
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن يتيح جدار حماية تطبيق الويب (WAF) جميع قواعد جدار الحماية لبوابة التطبيق	يؤدي تمكين جميع قواعد جدار حماية تطبيقات الويب (WAF) إلى تعزيز أمان التطبيق الخاص بك وحماية تطبيقات الويب الخاصة بك من الثغرات الأمنية الشائعة. لمعرفة المزيد حول جدار حماية تطبيق الويب (WAF) باستخدام بوابة التطبيق، تفضل بزيارة https://aka.ms/waf-ag	التدقيق، الرفض، التعطيل	1.0.1

الكشف عن الحالات الشاذة-4.7

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	1.1.0
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	2.1.0
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب تعطيل إعادة توجيه IP على الجهاز الظاهري	يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة.	AuditIfNotExists، معطل	3.0.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية	تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز.	AuditIfNotExists، معطل	3.0.0
يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة	قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة	حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها.	AuditIfNotExists، معطل	3.0.0
يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center.	AuditIfNotExists، معطل	1.0.1
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	2.0.0

مركز العمليات الأمنية- 4-9

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر	يكتشف Azure Defender لقواعد البيانات العلائقية مفتوحة المصدر الأنشطة الشاذة التي تشير إلى محاولات غير عادية، وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. تعرف على المزيد حول قدرات Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر في https://aka.ms/AzDforOpenSourceDBsDocu. مهم: سيؤدي تمكين هذه الخطة إلى فرض رسوم على حماية قواعد البيانات العلائقية مفتوحة المصدر. تعرف على الأسعار في صفحة التسعير الخاصة بمركز الأمان: https://aka.ms/pricing-security-center	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender for Resource Manager	يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	1.1.0
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	2.1.0
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Network Watcher	تُعد خدمةNetwork Watcher خدمة إقليمية تمكّنك من مراقبة الحالات وتشخيصها على مستوى سيناريوهات الشبكة في منصة Azure ومنها وإليها. تُتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من البداية إلى النهاية. من الضروري أن تكون لديك مجموعة موارد لمراقبة الشبكة ليتم إنشاؤها في كل منطقة توجد بها شبكة ظاهرية. يتم تمكين تنبيه في حالة عدم توفر مجموعة موارد مراقب الشبكة في منطقة معينة.	AuditIfNotExists، معطل	3.0.0
يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center.	AuditIfNotExists، معطل	1.0.1

Perimeter Protection And Detection-4.10

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب تعطيل إعادة توجيه IP على الجهاز الظاهري	يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة.	AuditIfNotExists، معطل	3.0.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية	تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز.	AuditIfNotExists، معطل	3.0.0
يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة	قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة	حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها.	AuditIfNotExists، معطل	3.0.0
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	2.0.0

منع تنفيذ البرامج غير المصرح بها

مخزون البرامج-2.1

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك	تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة.	AuditIfNotExists، معطل	3.0.0
يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي	راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية.	AuditIfNotExists، معطل	3.0.0

تثبيت البرامج المعتمدة-2.2

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك	تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة.	AuditIfNotExists، معطل	3.0.0
يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي	راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية.	AuditIfNotExists، معطل	3.0.0

Security Update Management-2.3

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية	رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات.	AuditIfNotExists، معطل	4.1.0
يجب أن يتم حل نتائج الثغرات الأمنية في خوادم SQL على الأجهزة	يقوم تقييم الثغرات الأمنية في SQL بفحص قاعدة البيانات بحثًا عن أي ثغرات أمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات الزائدة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عُثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات.	AuditIfNotExists، معطل	1.0.0
يجب تثبيت تحديثات النظام على مجموعات مقياس الجهاز الظاهري	مراجعة ما إذا كانت هناك أي تحديثات أمان للنظام مفقودة والتحديثات المهمة التي يجب تثبيتها لضمان أن مجموعات نطاقات الجهاز الظاهري Windows وLinux آمنة.	AuditIfNotExists، معطل	3.0.0
ينبغي تثبيت تحديثات النظام على أجهزتك	سيراقب Azure Security Center تحديثات نظام الأمان المفقودة على خوادمك من قبيل التوصيات	AuditIfNotExists، معطل	4.0.0
يجب معالجة الثغرات في تكوينات أمان الحاوية	تدقيق الثغرات الأمنية في تكوين الأمان على الأجهزة مع تثبيت Docker وعرضها كتوصيات في مركز أمان Azure.	AuditIfNotExists، معطل	3.0.0
يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك	ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات	AuditIfNotExists، معطل	3.1.0
يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري	قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات.	AuditIfNotExists، معطل	3.0.0

تصحيح/ثغرة أمنية وإدارة التغيير

تصحيح/ثغرة أمنية وإدارة التغيير-7.1

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية	تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك.	AuditIfNotExists، معطل	3.0.0
ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية	رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات.	AuditIfNotExists، معطل	4.1.0
يجب أن يتم حل نتائج الثغرات الأمنية في خوادم SQL على الأجهزة	يقوم تقييم الثغرات الأمنية في SQL بفحص قاعدة البيانات بحثًا عن أي ثغرات أمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات الزائدة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عُثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات.	AuditIfNotExists، معطل	1.0.0
يجب تثبيت تحديثات النظام على مجموعات مقياس الجهاز الظاهري	مراجعة ما إذا كانت هناك أي تحديثات أمان للنظام مفقودة والتحديثات المهمة التي يجب تثبيتها لضمان أن مجموعات نطاقات الجهاز الظاهري Windows وLinux آمنة.	AuditIfNotExists، معطل	3.0.0
ينبغي تثبيت تحديثات النظام على أجهزتك	سيراقب Azure Security Center تحديثات نظام الأمان المفقودة على خوادمك من قبيل التوصيات	AuditIfNotExists، معطل	4.0.0
يجب معالجة الثغرات في تكوينات أمان الحاوية	تدقيق الثغرات الأمنية في تكوين الأمان على الأجهزة مع تثبيت Docker وعرضها كتوصيات في مركز أمان Azure.	AuditIfNotExists، معطل	3.0.0
يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك	ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات	AuditIfNotExists، معطل	3.1.0
يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري	قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات.	AuditIfNotExists، معطل	3.0.0
ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار	مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	1.0.1
ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك	تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	3.0.0

تصحيح/ثغرة أمنية وإدارة التغيير-7.2

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية	تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك.	AuditIfNotExists، معطل	3.0.0
ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية	رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات.	AuditIfNotExists، معطل	4.1.0
يجب أن يتم حل نتائج الثغرات الأمنية في خوادم SQL على الأجهزة	يقوم تقييم الثغرات الأمنية في SQL بفحص قاعدة البيانات بحثًا عن أي ثغرات أمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات الزائدة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عُثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات.	AuditIfNotExists، معطل	1.0.0
يجب تثبيت تحديثات النظام على مجموعات مقياس الجهاز الظاهري	مراجعة ما إذا كانت هناك أي تحديثات أمان للنظام مفقودة والتحديثات المهمة التي يجب تثبيتها لضمان أن مجموعات نطاقات الجهاز الظاهري Windows وLinux آمنة.	AuditIfNotExists، معطل	3.0.0
ينبغي تثبيت تحديثات النظام على أجهزتك	سيراقب Azure Security Center تحديثات نظام الأمان المفقودة على خوادمك من قبيل التوصيات	AuditIfNotExists، معطل	4.0.0
يجب معالجة الثغرات في تكوينات أمان الحاوية	تدقيق الثغرات الأمنية في تكوين الأمان على الأجهزة مع تثبيت Docker وعرضها كتوصيات في مركز أمان Azure.	AuditIfNotExists، معطل	3.0.0
يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك	ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات	AuditIfNotExists، معطل	3.1.0
يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري	قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات.	AuditIfNotExists، معطل	3.0.0
ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار	مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	1.0.1
ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك	تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	3.0.0

Patch/Vulnerability &Change Management-7.6

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر	يكتشف Azure Defender لقواعد البيانات العلائقية مفتوحة المصدر الأنشطة الشاذة التي تشير إلى محاولات غير عادية، وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. تعرف على المزيد حول قدرات Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر في https://aka.ms/AzDforOpenSourceDBsDocu. مهم: سيؤدي تمكين هذه الخطة إلى فرض رسوم على حماية قواعد البيانات العلائقية مفتوحة المصدر. تعرف على الأسعار في صفحة التسعير الخاصة بمركز الأمان: https://aka.ms/pricing-security-center	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender for Resource Manager	يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية	رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات.	AuditIfNotExists، معطل	4.1.0
يجب أن يتم حل نتائج الثغرات الأمنية في خوادم SQL على الأجهزة	يقوم تقييم الثغرات الأمنية في SQL بفحص قاعدة البيانات بحثًا عن أي ثغرات أمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات الزائدة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عُثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات.	AuditIfNotExists، معطل	1.0.0
يجب تثبيت تحديثات النظام على مجموعات مقياس الجهاز الظاهري	مراجعة ما إذا كانت هناك أي تحديثات أمان للنظام مفقودة والتحديثات المهمة التي يجب تثبيتها لضمان أن مجموعات نطاقات الجهاز الظاهري Windows وLinux آمنة.	AuditIfNotExists، معطل	3.0.0
ينبغي تثبيت تحديثات النظام على أجهزتك	سيراقب Azure Security Center تحديثات نظام الأمان المفقودة على خوادمك من قبيل التوصيات	AuditIfNotExists، معطل	4.0.0
يجب معالجة الثغرات في تكوينات أمان الحاوية	تدقيق الثغرات الأمنية في تكوين الأمان على الأجهزة مع تثبيت Docker وعرضها كتوصيات في مركز أمان Azure.	AuditIfNotExists، معطل	3.0.0
يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك	ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات	AuditIfNotExists، معطل	3.1.0
يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري	قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات.	AuditIfNotExists، معطل	3.0.0

تصحيح/ثغرة أمنية وإدارة التغيير-7.7

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
[معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين	يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك.	تدقيق، Audit، رفض، Deny، معطل، Disabled	3.1.0-المعاينة
يجب أن تستخدم خدمات APIM شبكة ظاهرية	يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب أن يستخدم تكوين التطبيق رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب أن تتطلب المصادقة على أجهزة Linux مفاتيح SSH	على الرغم من أن SSH نفسه يوفر اتصالاً مشفراً، فإن استخدام كلمات المرور مع SSH لا يزال يترك الجهاز الظاهري عرضة لهجمات القوة الغاشمة. الخيار الأكثر أماناً للمصادقة إلى جهاز ظاهري Azure Linux عبر SSH يكون باستخدام زوج مفاتيح public-private والذي يُعرف أيضًا باسم مفاتيح SSH. اعرف المزيد:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists، معطل	3.2.0
يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة.	المراجعة، معطلة	2.0.1
يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب تمكين جدار حماية Azure Key Vault	قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security	التدقيق، الرفض، التعطيل	3.2.1
يجب أن تستخدم Azure Key Vaults رابطا خاصا	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	المراجعة، معطلة	1.0.0
يجب أن يستخدم Azure Spring Cloud ميزة إضافة الشبكة	يجب أن تستخدم مثيلات Azure Spring Cloud إدخال الشبكة الظاهرية للأغراض التالية: 1. عزل Azure Spring Cloud من الإنترنت. 2. تمكين Azure Spring Cloud من التفاعل مع الأنظمة في مركز البيانات المحلية أو خدمة Azure في الشبكات الظاهرية الأخرى. 3. تمكين العملاء من التحكم في اتصالات الشبكة الواردة والصادرة لـ Azure Spring Cloud.	تدقيق، تعطيل، رفض	1.2.0
يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة	تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تستخدم سجلات الحاويات رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link.	المراجعة، معطلة	1.0.1
يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL.	المراجعة، معطلة	1.1.0
يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم MySQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	1.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP.	التدقيق، الرفض، التعطيل	2.0.1
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية	احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك.	التدقيق، الرفض، التعطيل	1.0.1
يجب أن تستخدم حسابات التخزين رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview	AuditIfNotExists، معطل	2.0.0
يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	تدقيق، تعطيل، رفض	1.1.0

صيانة سجلات التدقيق ومراقبتها وتحليلها

صيانة سجلات التدقيق ومراقبتها وتحليلها- 16.1

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب أن تكون جميع موارد سجل التدفق في حالة التمكين	تدقيق موارد سجل التدفق للتحقق من تمكين سجل التدفق. يتيح تمكين سجلات التدفق تسجيل معلومات حول تدفق حركة مرور IP. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره.	المراجعة، معطلة	1.0.1
يجب أن يجمع Azure Monitor سجلات الأنشطة من جميع المناطق	يقوم هذا النهج بتدقيق ملف تعريف سجل Azure Monitor الذي لا يقوم بتصدير الأنشطة من كل المناطق المعتمدة من Azure بما في ذلك المناطق العمومية.	AuditIfNotExists، معطل	2.0.0
يجب تكوين سجلات Flow لكل مجموعة أمان شبكة	تدقيق مجموعات أمان الشبكة للتحقق من تهيئة سجلات التدفق. يُتيح تمكين سجلات التدفق تسجيل معلومات حول حركة استخدام IP التي تتدفق عبر مجموعة أمان الشبكة. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره.	المراجعة، معطلة	1.1.0
يجب تمكين مدة السجل لخوادم قاعدة بيانات PostgreSQL	يساعد هذا النهج على تدقيق أي قواعد بيانات لنظام PostgreSQL في بيئتك من دون تمكين إعداد "log_duration".	AuditIfNotExists، معطل	1.0.0
يجب تمكين تحليلات نسبة استخدام الشبكة لسجلات تدفق Network Watcher	تحلل تحليلات نسبة استخدام الشبكة سجلات التدفق لتوفير رؤى حول تدفق نسبة استخدام الشبكة في سحابة Azure. ويمكن استخدامه لتصور نشاط الشبكة عبر اشتراكات Azure وتحديد النقاط الساخنة والتهديدات الأمنية وفهم أنماط تدفق الحركة وتحديد التهيئات الخاطئة للشبكة وغيرها.	المراجعة، معطلة	1.0.1

صيانة سجلات التدقيق ومراقبتها وتحليلها-16.2

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
[معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Linux Azure Arc الخاصة بك	يقوم هذا النهج بتدقيق أجهزة Linux Azure Arc إذا لم يتم تثبيت ملحق Log Analytics.	AuditIfNotExists، معطل	1.0.1 - المعاينة
[معاينة]: يجب تثبيت ملحق سجل التحليلات على أجهزة Windows Azure Arc الخاصة بك	يقوم هذا النهج بتدقيق أجهزة Windows Azure Arc إذا لم يتم تثبيت ملحق Log Analytics.	AuditIfNotExists، معطل	1.0.1 - المعاينة
يجب أن يقوم ملف تعريف سجل Azure Monitor بتجميع سجلات للفئات "الكتابة" و"الحذف" و"الإجراء"	يضمن هذا النهج أن ملف تعريف السجل يجمع سجلات للفئات 'الكتابة' و'حذف' و'إجراء'	AuditIfNotExists، معطل	1.0.0
يجب أن تحتوي اشتراكات Azure على ملف تعريف سجل لسجل النشاط	يضمن هذا النهج ما إذا تم تمكين أحد ملفات تعريف السجلات لتصدير سجلات النشاط. ويقوم بتدقيق ما إذا لم يتم إنشاء ملف تعريف سجل لتصدير السجلات إما إلى حساب تخزين أو إلى مركز أحداث.	AuditIfNotExists، معطل	1.0.0

صيانة سجلات التدقيق ومراقبتها وتحليلها-16.3

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
[معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية	يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة.	AuditIfNotExists، معطل	1.0.2-معاينة
[معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية	يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة.	AuditIfNotExists، معطل	1.0.2-معاينة
يجب أن يجمع Azure Monitor سجلات الأنشطة من جميع المناطق	يقوم هذا النهج بتدقيق ملف تعريف سجل Azure Monitor الذي لا يقوم بتصدير الأنشطة من كل المناطق المعتمدة من Azure بما في ذلك المناطق العمومية.	AuditIfNotExists، معطل	2.0.0
يجب تثبيت عامل Azure Log Analtics على مجموعات مقياس الجهاز الظاهري لمراقبة Azure Security Center	من أجل مراقبة الثغرات الأمنية والتهديدات، يقوم مركز أمان Azure بجمع البيانات من أجهزة Azure الظاهرية.	AuditIfNotExists، معطل	1.0.0
⁧يجب تمكين سجلات الموارد في Key Vault⁧	مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة	AuditIfNotExists، معطل	⁧5.0.0⁧

التكوين الآمن

التكوين الآمن-5.1

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Resource Manager	يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Microsoft Defender لـ Azure Cosmos DB	يعد Microsoft Defender لـ Azure Cosmos DB طبقة أمان أصلية من Azure تكتشف محاولات استغلال قواعد البيانات في حسابات Azure Cosmos DB الخاصة بك. يكتشف Defender for Azure Cosmos DB عمليات إدخال SQL المحتملة والعناصر السيئة المعروفة استناداً إلى Microsoft Threat Intelligence وأنماط الوصول المشبوهة والاستغلال المحتمل لقاعدة البيانات الخاصة بك من خلال الهويات المخترقة أو المطلعين الضارين.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
يجب تمكينWindows Defender Exploit Guard على أجهزتك	يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط).	AuditIfNotExists، معطل	2.0.0

التكوين الآمن-5.2

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين التصحيح السريع للأجهزة الظاهرية Windows Server Azure Edition	تقليل عمليات إعادة التشغيل وتثبيت التحديثات بسرعة باستخدام التصحيح السريع. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/automanage/automanage-hotpatch.	التدقيق، الرفض، التعطيل	1.0.0
يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري	قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات.	AuditIfNotExists، معطل	3.0.0

أنظمة البريد والمراسلة الآمنة

تأمين أنظمة البريد والمراسلة-10.1

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	4.0.0
يجب أن تتطلب تطبيقات App Service FTPS فقط	مكن تطبيق FTPS من أجل تعزيز الأمان.	AuditIfNotExists، معطل	3.0.0
إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS"	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير.	AuditIfNotExists، معطل	2.0.1
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL	قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات.	المراجعة، معطلة	1.0.1
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL	تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات.	المراجعة، معطلة	1.0.1
يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	⁧5.0.0⁧
يجب أن تتطلب تطبيقات الوظائف FTPS فقط	مكن تطبيق FTPS من أجل تعزيز الأمان.	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار.	AuditIfNotExists، معطل	2.0.1
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة	قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis	تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة	التدقيق، الرفض، التعطيل	1.0.0
يجب تمكين النقل الآمن إلى حسابات التخزين	متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة	حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها.	AuditIfNotExists، معطل	3.0.0
يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة	لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة.	AuditIfNotExists، معطل	4.1.1

أنظمة البريد والمراسلة الآمنة-10.2

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	4.0.0
يجب أن تتطلب تطبيقات App Service FTPS فقط	مكن تطبيق FTPS من أجل تعزيز الأمان.	AuditIfNotExists، معطل	3.0.0
إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS"	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير.	AuditIfNotExists، معطل	2.0.1
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL	قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات.	المراجعة، معطلة	1.0.1
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL	تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات.	المراجعة، معطلة	1.0.1
يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	⁧5.0.0⁧
يجب أن تتطلب تطبيقات الوظائف FTPS فقط	مكن تطبيق FTPS من أجل تعزيز الأمان.	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار.	AuditIfNotExists، معطل	2.0.1
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة	قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis	تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة	التدقيق، الرفض، التعطيل	1.0.0
يجب تمكين النقل الآمن إلى حسابات التخزين	متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة	حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها.	AuditIfNotExists، معطل	3.0.0
يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة	لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة.	AuditIfNotExists، معطل	4.1.1

التحكم في وصول المستخدم / الإدارة

التحكم في وصول المستخدم / Management-8.1

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين الحسابات التي لها أذونات المالك على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها أذونات المالك لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات قراءة على موارد Azure مصادقة متعددة العوامل (MFA)	يجب تمكين مصادقة متعددة العوامل (MFA) لجميع حسابات الاشتراك التي لديها امتيازات قراءة؛ لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
يجب تمكين الحسابات التي لها أذونات الكتابة على موارد Azure MFA	يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد.	AuditIfNotExists، معطل	1.0.0
تدقيق استخدام أدوار RBAC المخصصة	تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات	المراجعة، معطلة	1.0.1
يجب استخدام Azure Role-Based Access Control (RBAC) على خدمات Kubernetes	لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم Azure Role-Based Access Control (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة.	المراجعة، معطلة	1.0.3
يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول.	AuditIfNotExists، معطل	1.0.0
يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure	يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure	يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure	يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0

التحكم في وصول المستخدم / Management-8.2

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL	راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft	AuditIfNotExists، معطل	1.0.0
يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول.	AuditIfNotExists، معطل	1.0.0
يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure	يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure	يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure	يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل	تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric	التدقيق، الرفض، التعطيل	1.1.0

التحكم في وصول المستخدم / Management-8.3

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تعيين 3 مالكين كحد أقصى للاشتراك	يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق.	AuditIfNotExists، معطل	3.0.0
يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب تعيين أكثر من مالك واحد لاشتراكك	يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول.	AuditIfNotExists، معطل	3.0.0

التحكم في وصول المستخدم / Management-8.4

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب أن تستخدم تطبيقات App Service الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم تطبيقات الوظائف الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام	يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol.	AuditIfNotExists، معطل	1.0.1

التحكم في وصول المستخدم / Management-8.5

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تعيين 3 مالكين كحد أقصى للاشتراك	يُوصى بتعيين ما يصل إلى 3 من مالكي الاشتراكات من أجل خفض احتمال وقوع مخالفة من قبل مالك تعرَّض حسابه للاختراق.	AuditIfNotExists، معطل	3.0.0
ينبغي توفير مسؤول Microsoft Azure Active Directory لخوادم SQL	راجع توفير مسؤولMicrosoft Azure Active Directory لخادم SQL لديك لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قاعدة البيانات وغيرها من خدمات Microsoft	AuditIfNotExists، معطل	1.0.0
تدقيق استخدام أدوار RBAC المخصصة	تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات	المراجعة، معطلة	1.0.1
يجب استخدام Azure Role-Based Access Control (RBAC) على خدمات Kubernetes	لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم Azure Role-Based Access Control (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة.	المراجعة، معطلة	1.0.3
يجب إزالة الحسابات المحظورة التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات المهملة التي لها أذونات مالك من الاشتراك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول.	AuditIfNotExists، معطل	1.0.0
يجب إزالة الحسابات المحظورة التي لها أذونات القراءة والكتابة على موارد Azure	يجب إزالة الحسابات المهملة من اشتراكاتك. الحسابات المهملة هي حسابات تم حظرها من تسجيل الدخول.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات المالك على موارد Azure	يجب إزالة الحسابات الخارجية التي لها أذونات مالك من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات القراءة على موارد Azure	يجب إزالة الحسابات الخارجية التي لها امتيازات قراءة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب إزالة حسابات الضيوف التي لها أذونات الكتابة على موارد Azure	يجب إزالة الحسابات الخارجية ذات امتيازات الكتابة من اشتراكك لمنع الوصول غير الخاضع للرقابة.	AuditIfNotExists، معطل	1.0.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب ألا تستخدم نظم مجموعات Service Fabric إلا Azure Active Directory لمصادقة العميل	تدقيق استخدام مصادقة العميل فقط عبر Microsoft Azure Active Directory في Service Fabric	التدقيق، الرفض، التعطيل	1.1.0
يجب تعيين أكثر من مالك واحد لاشتراكك	يستحسن تعيين أكثر من مالك واحد للاشتراك من أجل الحصول على تكرار وصول المسؤول.	AuditIfNotExists، معطل	3.0.0

التحكم في وصول المستخدم / Management-8.8

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تدقيق استخدام أدوار RBAC المخصصة	تدقيق الأدوار المضمنة مثل Owner وContributer وReader بدلاً من أدوار RBAC المخصصة، والتي تعد عرضة للخطأ. يتم التعامل مع استخدام الأدوار المخصصة كاستثناء، ويتطلب مراجعة صارمة ووضع نمذجة للتهديدات	المراجعة، معطلة	1.0.1
يجب استخدام Azure Role-Based Access Control (RBAC) على خدمات Kubernetes	لتوفير تصفية دقيقة للإجراءات التي يمكن للمستخدمين تنفيذها، استخدم Azure Role-Based Access Control (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نهج التخويل ذات الصلة.	المراجعة، معطلة	1.0.3

تقييم الثغرات الأمنية واختبار الاختراق وتمارين الفريق الأحمر

تقييم الثغرات الأمنية واختبار الاختراق وتمارين الفريق الأحمر-18.1

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية	تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك.	AuditIfNotExists، معطل	3.0.0
ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار	مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	1.0.1
ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك	تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	3.0.0

تقييم الثغرات الأمنية واختبار الاختراق وتمارين الفريق الأحمر-18.2

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية	تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك.	AuditIfNotExists، معطل	3.0.0
ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية	رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات.	AuditIfNotExists، معطل	4.1.0
ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار	مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	1.0.1
ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك	تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	3.0.0

تقييم الثغرات الأمنية واختبار الاختراق وتمارين الفريق الأحمر-18.4

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
ينبغي أن يكون لدى قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية	رصد نتائج فحص تقييم الضعف والتوصيات حول كيفية معالجة نقاط الضعف في قاعدة البيانات.	AuditIfNotExists، معطل	4.1.0
يجب أن يتم حل نتائج الثغرات الأمنية في خوادم SQL على الأجهزة	يقوم تقييم الثغرات الأمنية في SQL بفحص قاعدة البيانات بحثًا عن أي ثغرات أمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات الزائدة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عُثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات.	AuditIfNotExists، معطل	1.0.0
يجب معالجة الثغرات في تكوينات أمان الحاوية	تدقيق الثغرات الأمنية في تكوين الأمان على الأجهزة مع تثبيت Docker وعرضها كتوصيات في مركز أمان Azure.	AuditIfNotExists، معطل	3.0.0
يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك	ستتم مراقبة الخوادم التي لا تفي بالقاعدة المكونة من قِبل مركز أمان Azure حسب التوصيات	AuditIfNotExists، معطل	3.1.0
يجب معالجة الثغرات في تكوين الأمان في مجموعات مقياس الجهاز الظاهري	قم بتدقيق الثغرات الأمنية في نظام التشغيل على مجموعات نطاقات الجهاز الظاهري لحمايتها من الهجمات.	AuditIfNotExists، معطل	3.0.0

مراقبة المعاملات المستندة إلى المخاطر

مراقبة المعاملات المستندة إلى المخاطر-20.1

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية	تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك.	AuditIfNotExists، معطل	3.0.0
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	1.1.0
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	2.1.0
يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center.	AuditIfNotExists، معطل	1.0.1
ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار	مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	1.0.1
ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك	تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	3.0.0

المقاييس

Metrics-21.1

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب أن تستخدم حسابات Azure Cosmos DB المفاتيح التي يديرها العملاء لتشفير البيانات في وضع السكون	استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة Azure Cosmos DB. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/cosmosdb-cmk.	تدقيق، Audit، رفض، Deny، معطل، Disabled	1.1.0
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين جدار حماية Azure Key Vault	قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security	التدقيق، الرفض، التعطيل	3.2.1
يجب أن تستخدم Azure Key Vaults رابطا خاصا	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
يجب تشفير مساحات العمل الخاصة بـ Azure Machine Learning باستخدام مفتاح مُدار من قِبل العميل	إدارة تشفير البيانات الثابتة بيانات مساحة عمل Azure التعلم الآلي باستخدام مفاتيح مدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/azureml-workspaces-cmk.	التدقيق، الرفض، التعطيل	1.0.3
يجب أن يكون للشهادات أقصى فترة صلاحية محددة	إدارة متطلبات التوافق التنظيمية الخاصة بك عن طريق تحديد الحد الأقصى من الوقت الذي يمكن أن تكون الشهادة صالحة داخل مخزن المفتاح الخاص بك.	تدقيق، Audit، رفض، Deny، معطل، Disabled	2.2.1
يجب أن تقوم حسابات الخدمات المعرفية بتمكين تشفير البيانات باستخدام مفتاح يديره العميل	عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية معايير الامتثال التنظيمية. تمكن المفاتيح المدارة من العملاء من تشفير البيانات المخزنة في الخدمات المعرفية باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول المفاتيح المُدارة من قِبل العملاء على https://go.microsoft.com/fwlink/?linkid=2121321.	التدقيق، الرفض، التعطيل	2.1.0
يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل	استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون بمحتويات السجلات. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/acr/CMK.	التدقيق، الرفض، التعطيل	1.1.2
يجب تمكين حماية الحذف في خزائن المفاتيح	يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكنك منع فقدان البيانات بشكل دائم عن طريق تمكين الحماية من المسح والحذف المبدئي. تحميك حماية التطهير من هجمات من الداخل من خلال فرض فترة استبقاء إلزامية لخزائن المفاتيح المحذوفة الناعمة. لن يتمكن أحد داخل مؤسستك أو Microsoft من إزالة خزائن المفاتيح أثناء فترة الاحتفاظ بالحذف الناعمة. ضع في اعتبارك أن خزائن المفاتيح التي تم إنشاؤها بعد 1 سبتمبر 2019 قد تم تمكين الحذف المبدئي بشكل افتراضي.	التدقيق، الرفض، التعطيل	2.1.0
⁧يجب تمكين الحذف المبدئي في Key vaults⁧	يؤدي حذف key vault من دون حذف مبدئي ممكن إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في key vault نهائيًا. يمكن أن يؤدي الحذف العرضي لمخزن البيانات السرية إلى فقدان دائم للبيانات. يتيح لك الحذف الناعم استرداد مخزن مفاتيح تم حذفها عن طريق الخطأ لفترة استبقاء قابلة للتكوين.	التدقيق، الرفض، التعطيل	3.0.0
يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خوادم MySQL. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة.	AuditIfNotExists، معطل	1.0.4
يجب أن تستخدم خوادم PostgreSQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	استخدم المفاتيح التي يديرها العملاء لإدارة تشفير البيانات الثابتة لخوادم PostgreSQL لديك. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة.	AuditIfNotExists، معطل	1.0.4
يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة.	التدقيق، الرفض، التعطيل	2.0.1
يجب أن تستخدم حسابات التخزين مفتاحاً مداراً من قبل العميل للتشفير	أمّن الكائن الثنائي كبير الحجم وحساب تخزين الملفات بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر.	المراجعة، معطلة	1.0.3

Metrics-21.2

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين التصحيح السريع للأجهزة الظاهرية Windows Server Azure Edition	تقليل عمليات إعادة التشغيل وتثبيت التحديثات بسرعة باستخدام التصحيح السريع. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/automanage/automanage-hotpatch.	التدقيق، الرفض، التعطيل	1.0.0

الإعدادات سجل التدقيق

سجل التدقيق الإعدادات-17.1

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
[معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على أجهزة Linux الظاهرية	يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة.	AuditIfNotExists، معطل	1.0.2-معاينة
[معاينة]: يجب تثبيت وكيل تجميع بيانات حركة مرور الشبكة على الأجهزة Windows الظاهرية	يستخدم مركز الأمان عامل تبعية Microsoft لجمع بيانات حركة مرور الشبكة من أجهزة Azure الظاهرية لتمكين ميزات حماية الشبكة المتقدمة مثل مرئيات حركة المرور على خريطة الشبكة وتوصيات صلابة الشبكة وتهديدات الشبكة المحددة.	AuditIfNotExists، معطل	1.0.2-معاينة
يجب تمكين سجلات الموارد لتطبيقات App Service	قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر.	AuditIfNotExists، معطل	2.0.1
يجب تثبيت ملحق Guest Configuration على الأجهزة	لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol.	AuditIfNotExists، معطل	1.0.3
يجب أن تلبي أجهزة Linux المتطلبات الأساسية لأمان حساب Azure	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure.	AuditIfNotExists، معطل	2.2.0
⁧يجب تمكين سجلات الموارد في Azure Data Lake Store⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Azure Stream Analytics⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Data Lake Analytics⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Event Hub⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Key Vault⁧	مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Logic Apps⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	5.1.0
⁧يجب تمكين سجلات الموارد في Service Bus⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	⁧5.0.0⁧
يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام	يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol.	AuditIfNotExists، معطل	1.0.1
يجب أن تفي الأجهزة التي تعمل بنظام التشغيل Windows بمتطلبات أساس أمان حساب Azure	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure.	AuditIfNotExists، معطل	2.0.0

مكافحة التصيد الاحتيالي

مكافحة التصيد الاحتيالي-14.1

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
[معاينة]: يجب أن تستخدم مخازن خدمات استرداد Azure رابطًا خاصًا للنسخ الاحتياطي	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى Recovery Services Vaults، يتم تقليل مخاطر تسرب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/AB-PrivateEndpoints.	المراجعة، معطلة	2.0.0-المعاينة
[معاينة]: يجب عدم السماح بالوصول العام لحساب التخزين	يعد الوصول إلى القراءة العامة المجهولة إلى الحاويات والنقطة في Azure Storage طريقة ملائمة لمشاركة البيانات ولكنه قد يمثل مخاطر أمنية. لمنع خرق البيانات بسبب الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع وصول الجمهور إلى حساب تخزين إلا إذا تطلب السيناريو الخاص بك فعل ذلك.	تدقيق، Audit، رفض، Deny، معطل، Disabled	3.1.0-المعاينة
يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك	تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة.	AuditIfNotExists، معطل	3.0.0
يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي	راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية.	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم خدمات APIM شبكة ظاهرية	يوفر نشر Azure Virtual Network أمانًا معززًا وعزلاً محسنًا ويسمح لك بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم أنت في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكّن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. يمكن تكوين مدخل المطور وبوابة واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب أن يستخدم تكوين التطبيق رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي Private Link الاتصال بين المستهلك والخدمات عبر شبكة التجميع لـ Azure. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق لديك بدلاً من تعيين الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تعريف نطاقات IP المعتمدة على خدمات Kubernetes	قم بتقييد الوصول إلى إدارة خدمة واجهة برمجة التطبيقات Kubernetes عن طريق منح الوصول إليها فقط إلى عناوين IP في نطاقات معينة. يستحسن الحد من الوصول إلى نطاقات IP المعتمدة لضمان أن التطبيقات من الشبكات المسموح بها فقط يمكنها الوصول إلى المجموعة.	المراجعة، معطلة	2.0.1
يجب أن تقيد موارد Azure الذكاء الاصطناعي Services الوصول إلى الشبكة	من خلال تقييد الوصول إلى الشبكة، يمكنك التأكد من أن الشبكات المسموح بها فقط يمكنها الوصول إلى الخدمة. يمكن تحقيق ذلك عن طريق تكوين قواعد الشبكة بحيث يمكن للتطبيقات من الشبكات المسموح بها فقط الوصول إلى خدمة الذكاء الاصطناعي Azure.	التدقيق، الرفض، التعطيل	3.2.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مجال Event Grid بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسريب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم مواضيع شبكة الأحداث في Azure رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموضوع شبكة الأحداث بدلاً من الخدمة بأكملها، ستكون أيضًا محميًا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints.	المراجعة، معطلة	⁧1.0.2⁧
يجب أن تستخدم خدمة Azure File Sync رابطًا خاصًا	يتيح إنشاء نقطة نهاية خاصة لمورد Storage Sync Service المشار إليها إمكانية معالجة مورد Storage Sync Service لديك من داخل مساحة عنوان IP الخاص بشبكة مؤسستك، بدلاً من نقطة النهاية العامة التي يمكن الوصول إليها عبر الإنترنت. لا يؤدي إنشاء نقطة نهاية خاصة في حد ذاتها إلى تعطيل نقطة النهاية العامة.	AuditIfNotExists، معطل	1.0.0
يجب تمكين جدار حماية Azure Key Vault	قم بتمكين جدار حماية مخزن المفاتيح حتى لا يمكن الوصول إلى مخزن المفاتيح بطريقة افتراضية لأي عناوين IP عامة. اختياريا، يمكنك تكوين نطاقات IP محددة للحد من الوصول إلى تلك الشبكات. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/key-vault/general/network-security	التدقيق، الرفض، التعطيل	3.2.1
يجب أن تستخدم Azure Key Vaults رابطا خاصا	يتيح لك Azure Private Link توصيل شبكاتك الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. يمكنك تقليل مخاطر تسرب البيانات عن طريق تعيين نقاط النهاية الخاصة إلى key vault. تعرف على المزيد عن الروابط الخاصة من خلال: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1
يجب أن تستخدم مساحات عمل Azure Machine Learning رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. بتعيين نقاط النهاية الخاصة إلى مساحات عمل التعلم الآلي في Azure، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link.	المراجعة، معطلة	1.0.0
يجب أن يستخدم Azure Spring Cloud ميزة إضافة الشبكة	يجب أن تستخدم مثيلات Azure Spring Cloud إدخال الشبكة الظاهرية للأغراض التالية: 1. عزل Azure Spring Cloud من الإنترنت. 2. تمكين Azure Spring Cloud من التفاعل مع الأنظمة في مركز البيانات المحلية أو خدمة Azure في الشبكات الظاهرية الأخرى. 3. تمكين العملاء من التحكم في اتصالات الشبكة الواردة والصادرة لـ Azure Spring Cloud.	تدقيق، تعطيل، رفض	1.2.0
يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة	تقبل سجلات حاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة. لحماية السجلات الخاصة بك من التهديدات المحتملة، اسمح بالوصول من نقاط نهاية خاصة محددة فحسب أو عناوين IP عامة أو نطاقات عناوين. إذا لم يتم تكوين قواعد الشبكة في السجل الخاص بك، فسيظهر في الموارد غير السليمة. التعرف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/privatelink،https://aka.ms/acr/portal/public-networkوهنا https://aka.ms/acr/vnet.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تستخدم سجلات الحاويات رابطًا خاصًا	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. وستكون محميًا أيضًا من مخاطر تسرب البيانات من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات بدلاً من الخدمة بأكملها. تعرف على المزيد من خلال: https://aka.ms/acr/private-link.	المراجعة، معطلة	1.0.1
يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL.	المراجعة، معطلة	1.1.0
يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم MySQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن من خلال تمكين الاتصال الخاص بـ Azure Database for MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL	تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بـ Azure Database for PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى Azure SQL Database فقط من نقطة نهاية خاصة. هذا التكوين يرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	1.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP.	التدقيق، الرفض، التعطيل	2.0.1
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية	احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك.	التدقيق، الرفض، التعطيل	1.0.1
يجب أن تستخدم حسابات التخزين رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى حساب التخزين الخاص بك، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة على - https://aka.ms/azureprivatelinkoverview	AuditIfNotExists، معطل	2.0.0
يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً	يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. يعالج النظام الأساسي لـPrivate Link الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لموارد بناء VM Image Builder، يتم تقليل مخاطر تسريب البيانات. تعرف على المزيد عن الروابط الخاصة من خلال: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet.	تدقيق، تعطيل، رفض	1.1.0

Advanced Real-Timethreat Defenceand Management

Advanced Real-Timethreat Defenceand Management-13.1

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
[مهمل]: يجب أن يكون لتطبيقات الوظائف "شهادات العميل (شهادات العميل الواردة)" ممكنة	تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين يحملون شهادات صالحة فقط من الوصول إلى التطبيق. تم استبدال هذا النهج بنهج جديد بنفس الاسم لأن Http 2.0 لا يدعم شهادات العميل.	المراجعة، معطلة	3.1.0 مهمل
[معاينة]: يجب تثبيت ملحق "شهادة الضيف" على أجهزة Linux الظاهرية المعتمدة	قم بتثبيت ملحق Guest Attestation على أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على أجهزة التشغيل الموثوقة وLinux الظاهرية السرية.	AuditIfNotExists، معطل	6.0.0-المعاينة
[معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس أجهزة Linux الظاهرية المعتمدة	قم بتثبيت ملحق Guest Attestation على مجموعات مقياس أجهزة Linux الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري Trusted Launch و Confidential Linux.	AuditIfNotExists، معطل	معاينة 5.1.0
[معاينة]: يجب تثبيت ملحق "شهادة الضيف" على الأجهزة Windows الظاهرية المعتمدة	قم بتثبيت ملحق Guest Attestation على الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق بشكل استباقي على سلامة التمهيد ومراقبتها. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية.	AuditIfNotExists، معطل	معاينة 4.0.0
[معاينة]: يجب تثبيت ملحق "شهادة الضيف" على مجموعات مقياس الأجهزة Windows الظاهرية المعتمدة	قم بتثبيت ملحق Guest Attestation على مجموعات مقياس الأجهزة الظاهرية المدعومة للسماح لـ Azure Security Center بالتصديق على تكامل التمهيد، ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم على مجموعات مقياس الجهاز الظاهري الموثوق بها وWindows السرية.	AuditIfNotExists، معطل	3.1.0-المعاينة
[معاينة]: يجب تمكين التشغيل الآمن على الأجهزة Windows الظاهرية المعتمدة	قم بتمكين التمهيد الآمن على أجهزة Windows الظاهرية المدعومة؛ للتخفيف من التغييرات الضارة وغير المصرح بها لسلسلة التمهيد. بمجرد التمكين، سيتم السماح بتشغيل أدوات تحميل التشغيل وkernel وبرامج تشغيله فقط. ينطبق هذا التقييم على الأجهزة الظاهرية الموثوق بها التي تعمل بنظام التشغيل Windows والسرية.	المراجعة، معطلة	معاينة 4.0.0
[معاينة]: يجب تمكين vTPM على الأجهزة الظاهرية المعتمدة	تمكين جهاز TPM الظاهري على الأجهزة الظاهرية المدعومة لتسهيل Measured Boot، وميزات أمان نظام التشغيل الأخرى التي تتطلب TPM. بمجرد تمكين vTPM يمكن استخدامها لتشهد تكامل التمهيد. ينطبق هذا التقييم فقط على الأجهزة الظاهرية الموثوق بها التي تم تمكينها من التشغيل.	المراجعة، معطلة	2.0.0-المعاينة
يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك	تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة.	AuditIfNotExists، معطل	3.0.0
يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي	راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية.	AuditIfNotExists، معطل	3.0.0
يجب تمكين شهادات العميل (شهادات العميل الواردة) لتطبيقات App Service	تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. ينطبق هذا النهج على التطبيقات التي تم تعيين إصدار Http عليها إلى 1.1.	AuditIfNotExists، معطل	1.0.0
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات App Service	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيق App Service. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
تطبيقات App Service يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك	يجب ألا تسمح مشاركة الموارد عبر الأصل (CORS) لجميع المجالات بالوصول إلى تطبيقك. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات.	AuditIfNotExists، معطل	2.0.0
إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS"	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير.	AuditIfNotExists، معطل	2.0.1
يجب حل المشاكل المتعلقة بحماية نقطة النهاية على أجهزتك	حل مشكلات صحة حماية نقطة النهاية على أجهزتك الظاهرية لحمايتها من أحدث التهديدات ونقاط الضعف. يتم توثيق حلول حماية نقطة النهاية المدعومة من Azure Security Center هنا - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. يتم توثيق تقييم حماية نقطة النهاية هنا - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection.	AuditIfNotExists، معطل	1.0.0
يجب تثبيت حماية نقطة النهاية على أجهزتك	لحماية أجهزتك من التهديدات والثغرات، قم بتثبيت حل مدعوم لحماية نقطة النهاية.	AuditIfNotExists، معطل	1.0.0
يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري	قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية.	AuditIfNotExists، معطل	3.0.0
يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف	يتطلب تصحيح الأخطاء عن بُعد فتح منافذ واردة في تطبيقات الوظائف. يجب إيقاف تشغيل التصحيح عن بُعد.	AuditIfNotExists، معطل	2.0.0
تطبيقات الوظائف يجب ألا تكون وحدات CORS فيها مكونة للسماح لكل مورد بالوصول إلى تطبيقاتك	يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى تطبيق الدالة. اسمح للمجالات المطلوبة فقط بالتفاعل مع التطبيقات الوظيفية.	AuditIfNotExists، معطل	2.0.0
يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار.	AuditIfNotExists، معطل	2.0.1
يجب تثبيت ملحق Guest Configuration على الأجهزة	لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحقGuest Configuration. إعدادات الضيف التي تتضمن أجهزة عرض الملحق تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون سياسات الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرّف على المزيد من خلال https://aka.ms/gcpol.	AuditIfNotExists، معطل	1.0.3
يجب أن تلبي أجهزة Linux المتطلبات الأساسية لأمان حساب Azure	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure.	AuditIfNotExists، معطل	2.2.0
مراقبة حماية نقطة النهاية المفقودة في Azure Security Center	ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات	AuditIfNotExists، معطل	3.0.0
يجب ترحيل حسابات التخزين إلى موارد Azure Resource Manager الجديدة	استخدم Azure Resource Manager الجديد لحسابات التخزين لتزويد تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، وتحسين التدقيق، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى مخزن البيانات السرية، والمصادقة المستندة إلى Microsoft Azure Active Directory ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان	التدقيق، الرفض، التعطيل	1.0.0
يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة	استخدم إدارة موارد Azure الجديدة للأجهزة الظاهرية لتوفير تحسينات أمنية مثل: التحكم في الوصول الأقوى (RBAC)، والمراجعة الأفضل، والنشر والإدارة المستندة إلى Azure Resource Manager، والوصول إلى الهويات المدارة، والوصول إلى خزنة المفاتيح للأسرار، والمصادقة المستندة إلى Azure AD، ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان	التدقيق، الرفض، التعطيل	1.0.0
يجب توزيع ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة يُعينها النظام	يتطلب ملحق Guest Configuration هوية مدارة معينة للنظام. أجهزة Azure الظاهرية في نطاق هذا النهج ستكون غير ممتثلة عندما يكون ملحق تكوين الضيف بها مثبتًا؛ ولكن ليس لها هوية مدارة معيّنة من قبل النظام. تعرّف على المزيد من خلال: https://aka.ms/gcpol.	AuditIfNotExists، معطل	1.0.1
يجب تمكينWindows Defender Exploit Guard على أجهزتك	يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط).	AuditIfNotExists، معطل	2.0.0
يجب أن تفي الأجهزة التي تعمل بنظام التشغيل Windows بمتطلبات أساس أمان حساب Azure	يتطلب نشر المتطلبات الأساسية في نطاق تعيين النهج. لمزيد من التفاصيل، تفضل بزيارة: https://aka.ms/gcpol. الأجهزة غير ممتثلة إذا لم يتم تكوين الجهاز بشكل صحيح لإحدى التوصيات ذات الصلة بعوامل الأمان الأساسية لحساب Azure.	AuditIfNotExists، معطل	2.0.0

Advanced Real-Timethreat Defenceand Management-13.2

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
[إصدار أولي]: يجب أن تحتوي مجموعات Kubernetes الممكّنة من Azure Arc على Microsoft Defender for Cloud مثبتاً	يوفر ملحق Azure Defender لـ Azure Arc حماية من التهديدات لمجموعات نظام Kubernetes المُمكنة من Arc. يقوم الملحق بجمع البيانات من العقد في المجموعة ويرسلها إلى Azure Defender لخلفية Kubernetes في السحابة لمزيد من التحليل. تعرّف على المزيد من خلال: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc.	AuditIfNotExists، معطل	6.0.0-المعاينة
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية	تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك.	AuditIfNotExists، معطل	3.0.0
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender for Key Vault	يوفر Azure Defender for Key Vault طبقة إضافية من الحماية وذكاء الأمان من خلال الكشف عن المحاولات غير العادية، والتي يحتمل أن تكون ضارة للوصول إلى حسابات المخزن الرئيسية أو استغلالها.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر	يكتشف Azure Defender لقواعد البيانات العلائقية مفتوحة المصدر الأنشطة الشاذة التي تشير إلى محاولات غير عادية، وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. تعرف على المزيد حول قدرات Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر في https://aka.ms/AzDforOpenSourceDBsDocu. مهم: سيؤدي تمكين هذه الخطة إلى فرض رسوم على حماية قواعد البيانات العلائقية مفتوحة المصدر. تعرف على الأسعار في صفحة التسعير الخاصة بمركز الأمان: https://aka.ms/pricing-security-center	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender for Resource Manager	يراقب Azure Defender لإدارة الموارد تلقائيًا عمليات إدارة الموارد في مؤسستك. يكتشف Azure Defender التهديدات، وينبهك إلى أي نشاط مريب. تعرف على المزيد حول قدرات Azure Defender for Resource Manager في https://aka.ms/defender-for-resource-manager. يؤدي تمكين خطة Azure Defender المذكورة إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة في صفحة التسعير بـ Security Center: https://aka.ms/pricing-security-center.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
ينبغي تمكين Azure Defender for SQL فيما يتعلق بخوادم Azure SQL غير المحمية	تدقيق خوادم SQL بدون أمان البيانات المتقدم	AuditIfNotExists، معطل	2.0.1
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب أن يتم تمكين ملف تعريف Azure Defender لمجموعات خدمة Azure Kubernetes	يوفر Microsoft Defender for Containers إمكانات أمان Kubernetes الأصلية في السحابة بما في ذلك تعزيز البيئة وحماية أحمال العمل وحماية وقت التشغيل. عند تمكين SecurityProfile.AzureDefender على مجموعة خدمة Azure Kubernetes، يتم نشر وكيل في المجموعة الخاصة بك لجمع بيانات أحداث الأمان. تعرف على المزيد حول Microsoft Defender for Containers في https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks	المراجعة، معطلة	2.0.1
يجب حل المشاكل المتعلقة بحماية نقطة النهاية على أجهزتك	حل مشكلات صحة حماية نقطة النهاية على أجهزتك الظاهرية لحمايتها من أحدث التهديدات ونقاط الضعف. يتم توثيق حلول حماية نقطة النهاية المدعومة من Azure Security Center هنا - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. يتم توثيق تقييم حماية نقطة النهاية هنا - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection.	AuditIfNotExists، معطل	1.0.0
يجب تثبيت حماية نقطة النهاية على أجهزتك	لحماية أجهزتك من التهديدات والثغرات، قم بتثبيت حل مدعوم لحماية نقطة النهاية.	AuditIfNotExists، معطل	1.0.0
يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري	قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية.	AuditIfNotExists، معطل	3.0.0
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
مراقبة حماية نقطة النهاية المفقودة في Azure Security Center	ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات	AuditIfNotExists، معطل	3.0.0
ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار	مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	1.0.1
ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك	تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	3.0.0
يجب تمكينWindows Defender Exploit Guard على أجهزتك	يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط).	AuditIfNotExists، معطل	2.0.0

Advanced Real-Timethreat Defenceand Management-13.3

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
يجب تمكين عناصر التحكم في التطبيق من تحديد التطبيقات الآمنة على أجهزتك	تمكين عناصر تحكم التطبيق لتعريف قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة الخاصة بك، وتنبيهك عند تشغيل التطبيقات الأخرى. يساعد هذا في تقوية أجهزتك ضد البرامج الضارة. لتبسيط عملية تكوين القواعد الخاصة بك والحفاظ عليها، يستخدم Security Center التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات الآمنة المعروفة.	AuditIfNotExists، معطل	3.0.0
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي	راقب التغييرات في السلوك على مجموعات الأجهزة المكونة للمراجعة بواسطة عناصر تحكم التطبيق التكيفي في مركز أمان Azure. يستخدم Security Center التعلم الآلي لتحليل العمليات الجارية على الأجهزة واقتراح قائمة بالتطبيقات الآمنة المعروفة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح في نُهج التحكم في التطبيقات التكيفية.	AuditIfNotExists، معطل	3.0.0
⁧يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية⁧	تأكد من حماية الأجهزة الظاهرية Azure الخاصة بك عن طريق تمكين النسخ الاحتياطي Azure. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure.	AuditIfNotExists، معطل	3.0.0
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB	تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم.	المراجعة، معطلة	1.0.1
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL	تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم.	المراجعة، معطلة	1.0.1
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL	تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم.	المراجعة، معطلة	1.0.1
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب تعطيل إعادة توجيه IP على الجهاز الظاهري	يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة.	AuditIfNotExists، معطل	3.0.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية	تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز.	AuditIfNotExists، معطل	3.0.0
يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة	قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة	حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها.	AuditIfNotExists، معطل	3.0.0

Advanced Real-Timethreat Defenceand Management-13.4

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
[معاينة]: يجب توجيه جميع حركات استخدام الإنترنت عبر جدار حماية Azure المنشور	لقد حدد Azure Security Center أن بعض الشبكات الفرعية لديك غير محمية بجدار حماية من الجيل التالي. احمِ الشبكات الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام جدار حماية Azure أو جدار حماية معتمد من الجيل التالي	AuditIfNotExists، معطل	3.0.0 - المعاينة
يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الظاهرية	تدقيق الأجهزة الظاهرية للكشف عما إذا كانت تقوم بتشغيل حل تقييم ثغرات أمنية معتمد. من المكونات الأساسية لكل برنامج للمخاطر والأمن عبر الإنترنت تحديد وتحليل نقاط الضعف. يتضمن مستوى التسعير القياسي لـ Azure Security Center مسحًا للبحث عن الثغرات الأمنية للأجهزة الظاهرية لديك دون أي تكلفة إضافية. بالإضافة إلى ذلك، يمكن لـ Security Center نشر هذه الأداة تلقائيًّا من أجلك.	AuditIfNotExists، معطل	3.0.0
يجب تطبيق توصيات زيادة حماية الشبكة التكيفية على الأجهزة الظاهرية على واجهة الإنترنت	يحلل مركز أمان Azure أنماط حركة الاستخدام في إنترنت التي تواجه الأجهزة الظاهرية، ويوفر توصيات قاعدة مجموعة أمان الشبكة التي تقلل من سطح الهجوم المحتمل	AuditIfNotExists، معطل	3.0.0
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
يجب أن يكون الوصول إلى خدمة التطبيقات عبر بروتوكول HTTPS فقط	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	4.0.0
يجب أن تتطلب تطبيقات App Service FTPS فقط	مكن تطبيق FTPS من أجل تعزيز الأمان.	AuditIfNotExists، معطل	3.0.0
إعادة تسمية النهج إلى "يجب أن تستخدم تطبيقات App Service أحدث إصدار من TLS"	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات App Service للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة للإصدار الأخير.	AuditIfNotExists، معطل	2.0.1
يجب أن تتطلب المصادقة على أجهزة Linux مفاتيح SSH	على الرغم من أن SSH نفسه يوفر اتصالاً مشفراً، فإن استخدام كلمات المرور مع SSH لا يزال يترك الجهاز الظاهري عرضة لهجمات القوة الغاشمة. الخيار الأكثر أماناً للمصادقة إلى جهاز ظاهري Azure Linux عبر SSH يكون باستخدام زوج مفاتيح public-private والذي يُعرف أيضًا باسم مفاتيح SSH. اعرف المزيد:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed.	AuditIfNotExists، معطل	3.2.0
يجب تشفير متغيرات حساب التنفيذ التلقائي	من المهم تمكين تشفير أصول متغير حساب التنفيذ التلقائي عند تخزين البيانات الحساسة	التدقيق، الرفض، التعطيل	1.1.0
يجب أن تستخدم حسابات Azure Cosmos DB المفاتيح التي يديرها العملاء لتشفير البيانات في وضع السكون	استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة Azure Cosmos DB. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/cosmosdb-cmk.	تدقيق، Audit، رفض، Deny، معطل، Disabled	1.1.0
يجب تمكين خوادم Azure Defender لـ Azure SQL Database	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تمكين Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر	يكتشف Azure Defender لقواعد البيانات العلائقية مفتوحة المصدر الأنشطة الشاذة التي تشير إلى محاولات غير عادية، وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. تعرف على المزيد حول قدرات Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر في https://aka.ms/AzDforOpenSourceDBsDocu. مهم: سيؤدي تمكين هذه الخطة إلى فرض رسوم على حماية قواعد البيانات العلائقية مفتوحة المصدر. تعرف على الأسعار في صفحة التسعير الخاصة بمركز الأمان: https://aka.ms/pricing-security-center	AuditIfNotExists، معطل	1.0.0
يجب تمكين خوادم Azure Defender for SQL على الأجهزة	يوفر Azure Defender لـ SQL وظائف للتصفح، والتخفيف من الثغرات الأمنية المحتملة في قاعدة البيانات، والكشف عن الأنشطة المخالفة التي يمكن أن تنطوي على تهديدات لقواعد البيانات SQL، واكتشاف وتصنيف البيانات الحساسة.	AuditIfNotExists، معطل	⁧1.0.2⁧
ينبغي تمكين Azure Defender for SQL فيما يتعلق بمثيلات SQL المُدارة غير المحمية	دقق كل خدمة من خدمات SQL المدارة بدون أمان البيانات المتقدم.	AuditIfNotExists، معطل	⁧1.0.2⁧
يجب تشفير مساحات العمل الخاصة بـ Azure Machine Learning باستخدام مفتاح مُدار من قِبل العميل	إدارة تشفير البيانات الثابتة بيانات مساحة عمل Azure التعلم الآلي باستخدام مفاتيح مدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/azureml-workspaces-cmk.	التدقيق، الرفض، التعطيل	1.0.3
يجب تمكين Azure Web Application Firewall لخدمة Azure Front Door entry-points	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	⁧1.0.2⁧
يجب أن تقوم حسابات الخدمات المعرفية بتمكين تشفير البيانات باستخدام مفتاح يديره العميل	عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية معايير الامتثال التنظيمية. تمكن المفاتيح المدارة من العملاء من تشفير البيانات المخزنة في الخدمات المعرفية باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول المفاتيح المُدارة من قِبل العملاء على https://go.microsoft.com/fwlink/?linkid=2121321.	التدقيق، الرفض، التعطيل	2.1.0
يجب تشفير سجلات الحاويات باستخدام مفتاح مُدار من قِبل العميل	استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون بمحتويات السجلات. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/acr/CMK.	التدقيق، الرفض، التعطيل	1.1.2
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL	قاعدة بيانات Azure لـ MySQL يدعم ربط قاعدة بيانات Azure لخادم MySQL إلى تطبيقات العميل باستخدام طبقة مآخذ التوصيل الآمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات.	المراجعة، معطلة	1.0.1
يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL	تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL التي تتم بين خادم قاعدة البيانات وتطبيقات العميل في الحماية ضد «هجمات الوسطاء» عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين بروتوكول SSL يتم تمكينه دائمًا للوصول إلى خادم قاعدة البيانات.	المراجعة، معطلة	1.0.1
يجب أن تكون تطبيقات الوظائف متاحة فقط عبر HTTPS	يضمن استخدام HTTPS مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة.	تدقيق، تعطيل، رفض	⁧5.0.0⁧
يجب أن تتطلب تطبيقات الوظائف FTPS فقط	مكن تطبيق FTPS من أجل تعزيز الأمان.	AuditIfNotExists، معطل	3.0.0
يجب أن تستخدم تطبيقات الوظائف أحدث إصدار من TLS	بشكل دوري، يتم إصدار إصدارات أحدث ل TLS إما بسبب عيوب أمنية، وتشمل وظائف إضافية، وتحسين السرعة. قم بالترقية إلى أحدث إصدار TLS لتطبيقات الوظائف للاستفادة من إصلاحات الأمان، إن وجدت، و/أو الوظائف الجديدة لأحدث إصدار.	AuditIfNotExists، معطل	2.0.1
يجب حماية الأجهزة الظاهرية على واجهة الإنترنت بمجموعات أمان الشبكة	قم بحماية أجهزتك الافتراضية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب تعطيل إعادة توجيه IP على الجهاز الظاهري	يتيح تمكين إعادة توجيه IP على NIC للجهاز الظاهري للجهاز تلقي حركة استخدام موجهة إلى وجهات أخرى. نادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، ومن ثمَّ، يجب مراجعة ذلك من قبل فريق أمان الشبكة.	AuditIfNotExists، معطل	3.0.0
يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المحدَّد	سيراقب Azure Security Center إمكانية الوصول المحتمل إلى الشبكة في نفس الوقت (JIT) وفقاً للتوصيات	AuditIfNotExists، معطل	3.0.0
يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية	تُعرّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. هذه الهجمات تحاول استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للحصول على وصول كمسؤول إلى الجهاز.	AuditIfNotExists، معطل	3.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خوادم MySQL. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة.	AuditIfNotExists، معطل	1.0.4
يجب حماية الأجهزة الظاهرية التي لا يمكن الوصول إليها عبر الإنترنت بمجموعات أمان الشبكة	قم بحماية الأجهزة الظاهرية غير المواجهة للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول مع مجموعات أمان الشبكة (NSG). تعرَّف على المزيد حول التحكم في حركة المرور باستخدام NSGs في https://aka.ms/nsg-doc	AuditIfNotExists، معطل	3.0.0
يجب ألا يتم تمكين الاتصالات الآمنة إلا بـ Azure Cache for Redis	تدقيق تمكين الاتصالات فقط عبر SSL إلى Azure Cache for Redis. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة، ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل هجمات الوسيط والتنصت واختطاف الجلسة	التدقيق، الرفض، التعطيل	1.0.0
يجب أن تستخدم خوادم PostgreSQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	استخدم المفاتيح التي يديرها العملاء لإدارة تشفير البيانات الثابتة لخوادم PostgreSQL لديك. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة.	AuditIfNotExists، معطل	1.0.4
يجب تمكين النقل الآمن إلى حسابات التخزين	متطلبات المراجعة للتحويل الآمن في حساب التخزين. النقل الآمن هو خيار يفرض على حساب التخزين الخاص بك قبول الطلبات من الاتصالات الآمنة فقط (HTTPS). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات في أثناء النقل من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة	يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة.	التدقيق، الرفض، التعطيل	2.0.1
يجب أن تستخدم حسابات التخزين مفتاحاً مداراً من قبل العميل للتشفير	أمّن الكائن الثنائي كبير الحجم وحساب تخزين الملفات بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر.	المراجعة، معطلة	1.0.3
يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة	حماية الشبكة الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكات على قائمة بقواعد التحكم في الوصول (ACL) التي تسمح بحركة مرور الشبكة إلى شبكتك الفرعية أو ترفضها.	AuditIfNotExists، معطل	3.0.0
ينبغي تمكين تشفير البيانات الشفاف في قواعد بيانات SQL	يجب تمكين تشفير البيانات الشفاف لحماية البيانات الثابتة وتلبية متطلبات الامتثال	AuditIfNotExists، معطل	2.0.0
يجب أن تُشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرة التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين	بشكل افتراضي، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة عدم استخدام مفاتيح تُدار بواسطة النظام الأساسي. لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات والبيانات المتدفقة بين الحوسبة والتخزين. تجاهل هذه التوصية إذا: 1. باستخدام التشفير في المضيف، أو 2. التشفير من جانب الخادم على الأقراص المُدارة يفي بمتطلبات الأمان. تعرف على المزيد في: تشفير Azure Disk Storage من جانب الخادم: https://aka.ms/disksse، العروض المختلفة لتشفير القرص: https://aka.ms/diskencryptioncomparison	AuditIfNotExists، معطل	2.0.3
ينبغي تمكين تقييم الثغرات الأمنية على مثيل SQL المُدار	مراجعة كل مثيل مدار من قِبل SQL لا يحتوي على عمليات تمكين لفحص تقييم نقاط الضعف المتكررة. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	1.0.1
ينبغي تمكين تقييم الثغرات الأمنية على خوادم SQL لديك	تدقيق خوادم Azure SQL التي لا تحتوي على تقييم الثغرات الأمنية التي تم تكوينها بشكل صحيح. يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات.	AuditIfNotExists، معطل	3.0.0
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تكوين أجهزة Windows لاستخدام بروتوكولات الاتصال الآمنة	لحماية خصوصية المعلومات التي يتم توصيلها عبر الإنترنت، يجب أن تستخدم أجهزتك أحدث إصدار من بروتوكول التشفير القياسي للصناعة، بروتوكول أمان طبقة النقل (TLS). يؤمن TLS الاتصالات عبر شبكة عن طريق تشفير اتصال بين الأجهزة.	AuditIfNotExists، معطل	4.1.1

دورة حياة أمان التطبيق (Aslc)

دورة حياة أمان التطبيق (Aslc)-6.1

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب معالجة الثغرات في تكوينات أمان الحاوية	تدقيق الثغرات الأمنية في تكوين الأمان على الأجهزة مع تثبيت Docker وعرضها كتوصيات في مركز أمان Azure.	AuditIfNotExists، معطل	3.0.0

دورة حياة أمان التطبيق (Aslc)-6.3

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب معالجة الثغرات في تكوينات أمان الحاوية	تدقيق الثغرات الأمنية في تكوين الأمان على الأجهزة مع تثبيت Docker وعرضها كتوصيات في مركز أمان Azure.	AuditIfNotExists، معطل	3.0.0

دورة حياة أمان التطبيق (Aslc)-6.4

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين سجلات الموارد لتطبيقات App Service	قم بتدقيق تمكين سجلات الموارد على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر.	AuditIfNotExists، معطل	2.0.1
يجب أن تستخدم تطبيقات App Service الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
يجب أن تمنع مكونات Application Insights عرض السجلات والاستعلام عن السجلات من الشبكات العامة	ويمكنك تحسين أمان Application Insights عن طريق حظر عرض السجلات والاستعلام من الشبكات العامة. ولن تتمكن سوى الشبكات المتصلة ذات الارتباط الخاص من استيعاب سجلات هذا المكون والاستعلام عنها. تعرّف على المزيد من خلال https://aka.ms/AzMonPrivateLink#configure-application-insights.	تدقيق، Audit، رفض، Deny، معطل، Disabled	1.1.0
يجب أن تحظر مكونات Application Insights العرض غير المستند إلى Azure Active Directory.	ويؤدي فرض عرض السجلات حتى تتطلب مصادقة Azure Active Directory إلى منع السجلات غير المصادق عليها من المهاجم التي قد يؤدي إلى حالة غير صحيحة وتنبيهات خاطئة وسجلات غير صحيحة مخزنة في النظام.	تعديل، تدقيق، مُعطل	1.0.0
يجب أن تستخدم مكونات Application Insights مع تمكين الارتباط الخاص، Bring Your Own Storage لمحلل ملفات التعريف ومصحح الأخطاء.	ولدعم الرابط الخاص وسياسات المفاتيح المُدارة بواسطة العملاء، أنشئ حساب تخزين خاصاً بك لمحلل ملفات التعريف ومصحح الأخطاء. تعرّف على المزيد في https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage	تعديل، تدقيق، مُعطل	1.0.0
يجب تمكين Azure Defender for App Service	يستفيد Azure Defender لـ App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كمزود سحابي؛ لمراقبة هجمات تطبيقات الويب الشائعة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر	يكتشف Azure Defender لقواعد البيانات العلائقية مفتوحة المصدر الأنشطة الشاذة التي تشير إلى محاولات غير عادية، وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. تعرف على المزيد حول قدرات Azure Defender لقواعد البيانات الارتباطية مفتوحة المصدر في https://aka.ms/AzDforOpenSourceDBsDocu. مهم: سيؤدي تمكين هذه الخطة إلى فرض رسوم على حماية قواعد البيانات العلائقية مفتوحة المصدر. تعرف على الأسعار في صفحة التسعير الخاصة بمركز الأمان: https://aka.ms/pricing-security-center	AuditIfNotExists، معطل	1.0.0
يجب ربط سجلات Azure Monitor لـ Application Insights بمساحة عمل Log Analytics	قم بربط مكون Application Insights بمساحة عمل Log Analytics لتشفير السجلات. عادة ما تكون المفاتيح المدارة من قبل العملاء مطلوبة لتلبية الامتثال التنظيمي ولمزيد من التحكم في الوصول إلى البيانات في Azure Monitor. كما يضمن ربط المكون الخاص بك بمساحة عمل Log Analytics التي تم تمكينها بمفتاح يديره العميل أن تفي سجلات Application Insights الخاصة بك بمتطلبات الامتثال هذه، راجع https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys.	تدقيق، Audit، رفض، Deny، معطل، Disabled	1.1.0
يجب أن تستخدم تطبيقات الوظائف الهوية المدارة	استخدم هوية مُدارة لتحسين أمان المصادقة	AuditIfNotExists، معطل	3.0.0
يجب تمكين Microsoft Defender للحاويات	يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات.	AuditIfNotExists، معطل	1.0.0
يجب تمكين Azure Defender لـ Storage⁧	يكتشف Microsoft Defender for Storage التهديدات المحتملة لحسابات التخزين الخاصة بك. يساعد على منع التأثيرات الرئيسية الثلاثة على البيانات وحمل العمل: تحميل الملفات الضارة، واختراق البيانات الحساسة، وفساد البيانات. تتضمن خطة Defender for Storage الجديدة مسح البرامج الضارة واكتشاف تهديدات البيانات الحساسة. توفر هذه الخطة أيضا هيكل تسعير يمكن التنبؤ به (لكل حساب تخزين) للتحكم في التغطية والتكاليف.	AuditIfNotExists، معطل	1.0.0
⁧يجب تمكين سجلات الموارد في Key Vault⁧	مراجعة تمكين سجلات الموارد. يتيح لك ذلك إعادة إنشاء مسارات الأنشطة لاستخدامها لأغراض التحقيق عند حدوث حادث أمني أو عند اختراق الشبكة	AuditIfNotExists، معطل	⁧5.0.0⁧
⁧يجب تمكين سجلات الموارد في Logic Apps⁧	مراجعة تمكين سجلات الموارد. يُمكِّنك هذا الأمر من إعادة إنشاء مسارات النشاط لاستخدامها لأغراض التحري؛ عند حدوث حادث أمني، أو عند اختراق شبكتك	AuditIfNotExists، معطل	5.1.0

دورة حياة أمان التطبيق (Aslc)-6.6

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب معالجة الثغرات في تكوينات أمان الحاوية	تدقيق الثغرات الأمنية في تكوين الأمان على الأجهزة مع تثبيت Docker وعرضها كتوصيات في مركز أمان Azure.	AuditIfNotExists، معطل	3.0.0

دورة حياة أمان التطبيق (Aslc)-6.7

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب معالجة الثغرات في تكوينات أمان الحاوية	تدقيق الثغرات الأمنية في تكوين الأمان على الأجهزة مع تثبيت Docker وعرضها كتوصيات في مركز أمان Azure.	AuditIfNotExists، معطل	3.0.0
يجب تمكين جدار حماية تطبيق ويب (WAF) لـ Application Gateway	نشر Azure تطبيق ويب جدار الحماية (WAF) أمام العامة التي تواجه تطبيقات ويب لمزيد من التفتيش على حركة المرور الواردة. يوفر Web Application Firewall (WAF) حماية مركزية لتطبيقات الويب من المآثر والثغرات الأمنية الشائعة مثل: حقن SQL، البرمجة النصية عبر الموقع، وعمليات تنفيذ الملفات المحلية والبعيدة. يمكنك أيضًا تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين IP ومعلمات http(s) الأخرى عبر القواعد المخصصة.	التدقيق، الرفض، التعطيل	2.0.0
يجب أن يتيح جدار حماية تطبيق الويب (WAF) جميع قواعد جدار الحماية لبوابة التطبيق	يؤدي تمكين جميع قواعد جدار حماية تطبيقات الويب (WAF) إلى تعزيز أمان التطبيق الخاص بك وحماية تطبيقات الويب الخاصة بك من الثغرات الأمنية الشائعة. لمعرفة المزيد حول جدار حماية تطبيق الويب (WAF) باستخدام بوابة التطبيق، تفضل بزيارة https://aka.ms/waf-ag	التدقيق، الرفض، التعطيل	1.0.1
يجب أن يستخدم Web Application Firewall (WAF) الوضع المحدد لبوابة التطبيق	تفويضات تنشيط استخدام وضع 'الكشف' أو 'المنع' في نهج جدار حماية تطبيق الويب لبوابة التطبيق.	التدقيق، الرفض، التعطيل	1.0.0

استراتيجية منع تسرب البيانات

استراتيجية منع تسرب البيانات-15.1

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب أن تكون جميع موارد سجل التدفق في حالة التمكين	تدقيق موارد سجل التدفق للتحقق من تمكين سجل التدفق. يتيح تمكين سجلات التدفق تسجيل معلومات حول تدفق حركة مرور IP. ويمكن استخدامه لتحسين تدفقات الشبكة ورصد معدل النقل والتحقق من التوافق والكشف عن الاختراقات وغيره.	المراجعة، معطلة	1.0.1
يجب تقييد جميع منافذ الشبكة في مجموعات أمان الشبكة المُقترنة بالجهاز الظاهري	حدد Azure Security Center بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك على أنها متساهلة للغاية. يجب ألا تسمح القواعد الواردة بالوصول من نطاقات "أي" أو "إنترنت". يمكن أن يؤدي هذا إلى تمكين المهاجمين من استهداف مواردك.	AuditIfNotExists، معطل	3.0.0
يجب حل المشاكل المتعلقة بحماية نقطة النهاية على أجهزتك	حل مشكلات صحة حماية نقطة النهاية على أجهزتك الظاهرية لحمايتها من أحدث التهديدات ونقاط الضعف. يتم توثيق حلول حماية نقطة النهاية المدعومة من Azure Security Center هنا - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. يتم توثيق تقييم حماية نقطة النهاية هنا - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection.	AuditIfNotExists، معطل	1.0.0
يجب تثبيت حماية نقطة النهاية على أجهزتك	لحماية أجهزتك من التهديدات والثغرات، قم بتثبيت حل مدعوم لحماية نقطة النهاية.	AuditIfNotExists، معطل	1.0.0
يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري	قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية.	AuditIfNotExists، معطل	3.0.0
مراقبة حماية نقطة النهاية المفقودة في Azure Security Center	ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات	AuditIfNotExists، معطل	3.0.0
يجب أن تقيد حسابات التخزين الوصول إلى الشبكة	يجب تقييد الوصول إلى الشبكة إلى حسابات التخزين. تكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات الواردة من عملاء محددين عبر الإنترنت أو عملاء محليين، يجوز منح الوصول إلى الحركة من شبكات Azure الافتراضية المحددة أو نطاقات عناوين IP العامة	التدقيق، الرفض، التعطيل	1.1.1
يجب تمكينWindows Defender Exploit Guard على أجهزتك	يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط).	AuditIfNotExists، معطل	2.0.0

استراتيجية منع تسرب البيانات-15.2

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان أن Azure Database for MariaDB يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL المرنة	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم MySQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	2.1.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for MySQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. هذا التكوين يعطل بشكل صارم الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق IP أو قواعد جدار الحماية الظاهرية المستندة إلى الشبكة.	التدقيق، الرفض، التعطيل	2.0.0
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL المرنة	يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure فقط لخوادم PostgreSQL المرنة من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية.	التدقيق، الرفض، التعطيل	⁧3.0.1⁧
يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL	تعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان Azure Database for PostgreSQL يمكن الوصول إليها فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP Azure، ويرفض كافة تسجيلات الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو IP.	التدقيق، الرفض، التعطيل	2.0.1
يجب أن تعطل حسابات التخزين الوصول إلى الشبكة العامة	لتحسين أمان حسابات التخزين، تأكد من عدم تعرضها للإنترنت العام وعدم إمكانية الوصول إليها إلا من نقطة نهاية خاصة. عطّل خاصية الوصول إلى الشبكة العامة كما هو موضح في https://aka.ms/storageaccountpublicnetworkaccess. يعمل هذا الخيار على تعطيل إمكانية الوصول من أي مساحة عنوان عام تقع خارج نطاق IP Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق قواعد جدار الحماية المستندة إلى الشبكة الظاهرية أو عنوان IP. وذلك من شأنه أن يقلل من مخاطر تسرب البيانات.	التدقيق، الرفض، التعطيل	1.0.1
يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية	احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك.	التدقيق، الرفض، التعطيل	1.0.1

استراتيجية منع تسرب البيانات-15.3

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب حل المشاكل المتعلقة بحماية نقطة النهاية على أجهزتك	حل مشكلات صحة حماية نقطة النهاية على أجهزتك الظاهرية لحمايتها من أحدث التهديدات ونقاط الضعف. يتم توثيق حلول حماية نقطة النهاية المدعومة من Azure Security Center هنا - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. يتم توثيق تقييم حماية نقطة النهاية هنا - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection.	AuditIfNotExists، معطل	1.0.0
يجب تثبيت حماية نقطة النهاية على أجهزتك	لحماية أجهزتك من التهديدات والثغرات، قم بتثبيت حل مدعوم لحماية نقطة النهاية.	AuditIfNotExists، معطل	1.0.0
يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري	قم بتدقيق وجود حل حماية نقطة النهاية وسلامته على مجموعات نطاقات الأجهزة الظاهرية، لحمايتها من التهديدات والثغرات الأمنية.	AuditIfNotExists، معطل	3.0.0
مراقبة حماية نقطة النهاية المفقودة في Azure Security Center	ستتم مراقبة الخوادم التي لا تحتوي على عامل حماية نقطة النهاية المثبت بواسطة Azure Security Center كتوصيات	AuditIfNotExists، معطل	3.0.0
يجب تمكينWindows Defender Exploit Guard على أجهزتك	يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط).	AuditIfNotExists، معطل	2.0.0

الطب الشرعي

الطب الشرعي- 22.1

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين Azure DDoS Protection	يجب تمكين حماية DDoS لجميع الشبكات الظاهرية مع شبكة فرعية تعد جزءا من بوابة تطبيق مع IP عام.	AuditIfNotExists، معطل	⁧3.0.1⁧

الاستجابة للحوادث وإدارتها

الاستجابة للحوادث الإلكترونية:-19.2

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	1.1.0
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	2.1.0
يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center.	AuditIfNotExists، معطل	1.0.1

الاسترداد من Cyber - Incidents-19.4

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
تدقيق الأجهزة الظاهرية دون تكوين استرداد بعد عطل فادح	مراجعة الأجهزة الظاهرية التي لم يتم تكوين استردادها بعد عطل فادح. لمعرفة المزيد حول الاسترداد بعد الأخطاء الفادحة، تفضل بزيارة https://aka.ms/asr-doc.	auditIfNotExists	1.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3

الاسترداد من Cyber - Incidents-19.5

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
⁧يجب تمكين النسخ الاحتياطي لأجهزة Azure الظاهرية⁧	تأكد من حماية الأجهزة الظاهرية Azure الخاصة بك عن طريق تمكين النسخ الاحتياطي Azure. النسخ الاحتياطي Azure هو حل آمن وفعال من حيث التكلفة لحماية البيانات لـ Azure.	AuditIfNotExists، معطل	3.0.0
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB	تسمح لك قاعدة بياناتAzure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم.	المراجعة، معطلة	1.0.1
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لـ Azure Database for MySQL	تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم.	المراجعة، معطلة	1.0.1
يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لنظام PostgreSQL	تسمح لك Azure Database for PostgreSQL باختيار خيار التكرار لخادم قاعدة البيانات. حيث يمكن تعيينها إلى تخزين النسخ احتياطي المكرر في مواقع متباعدة جغرافيًا حيث لا يتم تخزين البيانات فقط داخل المنطقة التي يتم استضافة الخادم الخاص بك، ولكن أيضًا نسخها إلى منطقة مقترنة لتوفير خيار الاسترداد في حالة فشل المنطقة الأولى. يسمح بتكوين التخزين الجغرافي الزائد للنسخ الاحتياطي فقط أثناء إنشاء الخادم.	المراجعة، معطلة	1.0.1

الاسترداد من Cyber - Incidents-19.6

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	1.1.0
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	2.1.0
يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center.	AuditIfNotExists، معطل	1.0.1

الاسترداد من الإنترنت - Incidents-19.6b

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين Azure DDoS Protection	يجب تمكين حماية DDoS لجميع الشبكات الظاهرية مع شبكة فرعية تعد جزءا من بوابة تطبيق مع IP عام.	AuditIfNotExists، معطل	⁧3.0.1⁧
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	1.1.0
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	2.1.0

الاسترداد من Cyber - Incidents-19.6c

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود انتهاكات أمنية محتملة في أحد الاشتراكات، قم بتمكين إشعارات البريد الإلكتروني للحصول على تنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	1.1.0
يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة	لضمان إخطار مالكي الاشتراكات عند وجود انتهاكات أمنية محتملة لاشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على التنبيهات عالية الخطورة في مركز الأمان.	AuditIfNotExists، معطل	2.1.0
يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان	لضمان إخطار الأشخاص المعنيين في مؤسستك عند وجود خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمنية لتلقي إعلامات البريد الإلكتروني من Security Center.	AuditIfNotExists، معطل	1.0.1

الاسترداد من الإنترنت - Incidents-19.6e

المعرف:

الاسم _{(مدخل Azure)}	‏‏الوصف	التأثير (التأثيرات)	إصدار _(GitHub)
يجب تمكين Azure Defender للخوادم	يوفر Azure Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخوادم، ويصدر توصيات أكثر صلابة بالإضافة إلى تنبيهات للأنشطة المريبة.	AuditIfNotExists، معطل	1.0.3

الخطوات التالية

مقالات إضافية حول Azure Policy:

نظرة عامة على التوافق التنظيمي.
راجع ⁧بنية تعريف المبادرة⁧.
مراجعة أمثلة أخرى في ⁧نماذج Azure Policy.
راجع فهم تأثيرات النهج.
تعرف على كيفية إصلاح الموارد غير المتوافقة.

تفاصيل المبادرة المضمنة للامتثال التنظيمي لمصرف الاحتياطي الهندي لإطار عمل تكنولوجيا المعلومات للبنوك الإصدار 2016

إطار عمل المصادقة للعملاء

إطار عمل المصادقة للعملاء-9.1

إطار عمل المصادقة للعملاء-9.3

إدارة الشبكة والأمان

مخزون الشبكة-4.2

Network Device Configuration Management-4.3

الكشف عن الحالات الشاذة-4.7

مركز العمليات الأمنية- 4-9

Perimeter Protection And Detection-4.10

منع تنفيذ البرامج غير المصرح بها

مخزون البرامج-2.1

تثبيت البرامج المعتمدة-2.2

Security Update Management-2.3

تصحيح/ثغرة أمنية وإدارة التغيير

تصحيح/ثغرة أمنية وإدارة التغيير-7.1

تصحيح/ثغرة أمنية وإدارة التغيير-7.2

Patch/Vulnerability &Change Management-7.6

تصحيح/ثغرة أمنية وإدارة التغيير-7.7

صيانة سجلات التدقيق ومراقبتها وتحليلها

صيانة سجلات التدقيق ومراقبتها وتحليلها- 16.1

صيانة سجلات التدقيق ومراقبتها وتحليلها-16.2

صيانة سجلات التدقيق ومراقبتها وتحليلها-16.3

التكوين الآمن

التكوين الآمن-5.1

التكوين الآمن-5.2

أنظمة البريد والمراسلة الآمنة

تأمين أنظمة البريد والمراسلة-10.1

أنظمة البريد والمراسلة الآمنة-10.2

التحكم في وصول المستخدم / الإدارة

التحكم في وصول المستخدم / Management-8.1

التحكم في وصول المستخدم / Management-8.2

التحكم في وصول المستخدم / Management-8.3

التحكم في وصول المستخدم / Management-8.4

التحكم في وصول المستخدم / Management-8.5

التحكم في وصول المستخدم / Management-8.8

تقييم الثغرات الأمنية واختبار الاختراق وتمارين الفريق الأحمر

تقييم الثغرات الأمنية واختبار الاختراق وتمارين الفريق الأحمر-18.1

تقييم الثغرات الأمنية واختبار الاختراق وتمارين الفريق الأحمر-18.2

تقييم الثغرات الأمنية واختبار الاختراق وتمارين الفريق الأحمر-18.4

مراقبة المعاملات المستندة إلى المخاطر

مراقبة المعاملات المستندة إلى المخاطر-20.1

المقاييس

Metrics-21.1

Metrics-21.2

الإعدادات سجل التدقيق

سجل التدقيق الإعدادات-17.1

مكافحة التصيد الاحتيالي

مكافحة التصيد الاحتيالي-14.1

Advanced Real-Timethreat Defenceand Management

Advanced Real-Timethreat Defenceand Management-13.1

Advanced Real-Timethreat Defenceand Management-13.2

Advanced Real-Timethreat Defenceand Management-13.3

Advanced Real-Timethreat Defenceand Management-13.4

دورة حياة أمان التطبيق (Aslc)

دورة حياة أمان التطبيق (Aslc)-6.1

دورة حياة أمان التطبيق (Aslc)-6.3

دورة حياة أمان التطبيق (Aslc)-6.4

دورة حياة أمان التطبيق (Aslc)-6.6

دورة حياة أمان التطبيق (Aslc)-6.7

استراتيجية منع تسرب البيانات

استراتيجية منع تسرب البيانات-15.1

استراتيجية منع تسرب البيانات-15.2

استراتيجية منع تسرب البيانات-15.3

الطب الشرعي

الطب الشرعي- 22.1

الاستجابة للحوادث وإدارتها

الاستجابة للحوادث الإلكترونية:-19.2

الاسترداد من Cyber - Incidents-19.4

الاسترداد من Cyber - Incidents-19.5

الاسترداد من Cyber - Incidents-19.6

الاسترداد من الإنترنت - Incidents-19.6b

الاسترداد من Cyber - Incidents-19.6c

الاسترداد من الإنترنت - Incidents-19.6e

الخطوات التالية

الموارد الإضافية