Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tato stránka je indexem Azure Policy předdefinovaných definic zásad souvisejících s Microsoft Defender for Cloud. K dispozici jsou následující seskupení definic zásad:
- Skupina initiatives uvádí definice Azure Policy iniciativ v kategorii Defender for Cloud.
- Skupina default initiative obsahuje seznam všech definic Azure Policy, které jsou součástí výchozí iniciativy Defender for Cloud, Microsoft srovnávacího testu zabezpečení cloudu. Tento Microsoft vytvořený, široce respektovaný srovnávací test vychází z ovládacích prvků z Center for Internet Security (CIS) a National Institute of Standards and Technology (NIST) se zaměřením na zabezpečení zaměřené na cloud.
- Skupina category obsahuje seznam všech definic Azure Policy v kategorii Defender for Cloud.
Další informace o zásadách zabezpečení najdete v tématu Práce se zásadami zabezpečení. Další integrované Azure Policy pro jiné služby najdete v tématu Azure Policy předdefinované definice.
Název každé předdefinované definice zásad odkazuje na definici zásady na portálu Azure. Pomocí odkazu ve sloupci Version zobrazte zdroj v úložišti Azure Policy GitHub.
Microsoft Defender for Cloud iniciativ
Informace o předdefinovaných iniciativách monitorovaných Defender for Cloud najdete v následující tabulce:
| Name | Description | Policies | Version |
|---|---|---|---|
| [Preview]: Nasazení agenta Microsoft Defender for Endpoint | Nasaďte agenta Microsoft Defender for Endpoint na příslušné image. | 4 | 1.0.0-preview |
| [Preview]: Microsoft srovnávací test cloudového zabezpečení v2 | Iniciativa srovnávacích testů zabezpečení cloudu Microsoft představuje zásady a kontroly, které implementuje doporučení zabezpečení definovaná v srovnávacím testu zabezpečení cloudu Microsoft, viz https://aka.ms/azsecbm. Slouží také jako Microsoft Defender for Cloud výchozí iniciativa zásad. Tuto iniciativu můžete přímo přiřadit nebo spravovat její zásady a výsledky dodržování předpisů v rámci Microsoft Defender for Cloud. | 414 | 1.3.0-preview |
| Konfigurovat Advanced Threat Protection pro opensourcové relační databáze | Povolte Advanced Threat Protection v opensourcových relačních databázích mimo úroveň Basic, abyste zjistili neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Viz třída https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Konfigurovat Azure Defender na SQL Serverech a spravovaných instancích SQL | Povolte Azure Defender na SQL Serverech a spravovaných instancích SQL, abyste zjistili neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | 3 | 3.0.0 |
| Konfigurování plánů Microsoft Defender for Cloud | Microsoft Defender for Cloud poskytuje komplexní nativní ochranu cloudu od vývoje po modul runtime v prostředích s více cloudy. Pomocí iniciativy zásad nakonfigurujte Defender for Cloud plány a rozšíření, která se mají povolit u vybraných oborů. | 12 | 1.1.0 |
| Konfigurovat Microsoft Defender pro databáze | Nakonfigurujte Microsoft Defender pro databáze tak, aby chránily vaše databáze Azure SQL, spravované instance, opensourcové relační databáze a Cosmos DB. | 4 | 1.0.0 |
| Konfigurujte více nastavení integrace Microsoft Defender for Endpoint pomocí Microsoft Defender for Cloud | Nakonfigurujte více nastavení integrace Microsoft Defender for Endpoint pomocí Microsoft Defender for Cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION atd.). Další informace najdete tady: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | 3 | 1.0.0 |
| Konfigurujte virtuální počítače SQL a SQL Servery s podporou arc pro instalaci rozšíření Microsoft Defender | Microsoft Defender pro SQL shromažďuje události z agentů a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). | 3 | 1.0.0 |
| Konfigurujte virtuální počítače SQL a SQL Servery s podporou arc pro instalaci Microsoft Defender pro SQL a AMA s pracovním prostorem LA | Microsoft Defender pro SQL shromažďuje události z agentů a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvoří skupinu prostředků a pravidlo shromažďování dat a Log Analytics pracovní prostor ve stejné oblasti jako počítač. | 9 | 1.3.0 |
| Konfigurujte virtuální počítače SQL a sql servery s podporou arc pro instalaci Microsoft Defender pro SQL a AMA s uživatelsky definovaným pracovním prostorem LA | Microsoft Defender pro SQL shromažďuje události z agentů a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvoří skupinu prostředků a pravidlo shromažďování dat ve stejné oblasti jako uživatelem definovaný pracovní prostor Log Analytics. | 8 | 1.2.0 |
| Microsoft srovnávací test cloudového zabezpečení | Iniciativa srovnávacích testů zabezpečení cloudu Microsoft představuje zásady a kontroly, které implementuje doporučení zabezpečení definovaná v srovnávacím testu zabezpečení cloudu Microsoft, viz https://aka.ms/azsecbm. Slouží také jako Microsoft Defender for Cloud výchozí iniciativa zásad. Tuto iniciativu můžete přímo přiřadit nebo spravovat její zásady a výsledky dodržování předpisů v rámci Microsoft Defender for Cloud. | 223 | 57.56.0 |
výchozí iniciativa Defender for Cloud (srovnávací test zabezpečení cloudu Microsoft)
Informace o předdefinovaných zásadách monitorovaných Defender for Cloud najdete v následující tabulce:
| Název zásady (portál Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazený Azure Firewall | Azure Security Center zjistili, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, deaktivováno | 3.0.0-preview |
| [Preview]: Azure Arc povolené clustery Kubernetes by měly mít nainstalované rozšíření Microsoft Defender for Cloud | Microsoft Defender for Cloud rozšíření pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do Azure Defender back-endu Kubernetes v cloudu pro účely další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, deaktivováno | 6.0.0-preview |
| [Preview]: flexibilní server Azure PostgreSQL by měl mít povolené Microsoft Entra pouze ověřování | Zakázání místních metod ověřování a povolení pouze ověřování Microsoft Entra zlepšuje zabezpečení tím, že zajišťuje, aby flexibilní server PostgreSQL Azure byl přístupný výhradně Microsoft Entra identitami. | Audit, deaktivováno | 1.0.0-preview |
| [Preview]: Azure Stack servery HCI by měly mít konzistentně vynucené zásady řízení aplikací | Minimálně použijte základní zásadu Microsoft WDAC v vynuceném režimu na všech serverech Azure Stack HCI. Použité Windows Defender zásady řízení aplikací (WDAC) musí být konzistentní na všech serverech ve stejném clusteru. | Audit, zakázáno, AuditIfNotExists | 1.0.0-preview |
| [Preview]: servery Azure Stack HCI by měly splňovat požadavky na zabezpečené jádro | Ujistěte se, že všechny servery Azure Stack HCI splňují požadavky na zabezpečené jádro. Povolení požadavků na server se zabezpečeným jádrem: 1. Na stránce clusterů Azure Stack HCI přejděte na Windows Admin Center a vyberte Připojit. 2. Přejděte na rozšíření Zabezpečení a vyberte Zabezpečené jádro. 3. Vyberte libovolné nastavení, které není povoleno, a klikněte na Povolit. | Audit, zakázáno, AuditIfNotExists | 1.0.0-preview |
| [Preview]: Azure Stack systémy HCI by měly mít šifrované svazky | Pomocí Nástroje BitLocker zašifrujte svazky operačního systému a dat v systémech Azure Stack HCI. | Audit, zakázáno, AuditIfNotExists | 1.0.0-preview |
| [Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Linuxem | Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače s Linuxem, aby Azure Security Center aktivně otestovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Linuxem. | AuditIfNotExists, deaktivováno | 6.0.0-preview |
| [Preview]: Rozšíření ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Linuxem. | Nainstalujte rozšíření Ověření identity hosta na podporované škálovací sady virtuálních počítačů s Linuxem, které umožňují Azure Security Center aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro škálovací sady důvěryhodných spuštění a důvěrných virtuálních počítačů s Linuxem. | AuditIfNotExists, deaktivováno | 5.1.0-preview |
| [Preview]: Rozšíření ověření hosta by mělo být nainstalované na podporovaných virtuálních počítačích Windows | Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače, abyste Azure Security Center mohli aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné Windows virtuálních počítačů. | AuditIfNotExists, deaktivováno | 4.0.0-preview |
| [Preview]: Rozšíření ověření hosta by mělo být nainstalované na podporovaných škálovacích sadách virtuálních počítačů Windows | Nainstalujte rozšíření Ověření identity hosta na podporované škálovací sady virtuálních počítačů, které umožňují Azure Security Center proaktivně otestovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné Windows škálovací sady virtuálních počítačů. | AuditIfNotExists, deaktivováno | 3.1.0-preview |
| [Preview]: Sítě hostitelů a virtuálních počítačů by měly být chráněné na systémech Azure Stack HCI | Chraňte data v Azure Stack HCI hostuje síť a připojení k síti virtuálních počítačů. | Audit, zakázáno, AuditIfNotExists | 1.0.0-preview |
| [Preview]: Virtuální počítače s Linuxem by měly používat jenom podepsané a důvěryhodné spouštěcí komponenty. | Všechny spouštěcí komponenty operačního systému (zavaděč spouštění, jádro, ovladače jádra) musí být podepsané důvěryhodnými vydavateli. Defender for Cloud identifikovala nedůvěryhodné spouštěcí komponenty operačního systému na jednom nebo několika počítačích s Linuxem. Pokud chcete chránit počítače před potenciálně škodlivými komponentami, přidejte je do seznamu povolených nebo odeberte identifikované komponenty. | AuditIfNotExists, deaktivováno | 1.0.0-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Microsoft Závislost ke shromažďování dat síťového provozu z vašich virtuálních počítačů Azure k povolení pokročilých funkcí ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, deaktivováno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích Windows | Security Center používá agenta Microsoft Závislost ke shromažďování dat síťového provozu z vašich virtuálních počítačů Azure k povolení pokročilých funkcí ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, deaktivováno | 1.0.2-preview |
| [Preview]: Na Windows podporovaných virtuálních počítačích by mělo být povolené zabezpečené spouštění | Povolte zabezpečené spouštění na podporovaných Windows virtuálních počítačích, abyste snížili riziko škodlivých a neoprávněných změn ve spouštěcím řetězu. Po povolení budou moci běžet jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. Toto posouzení platí pro důvěryhodné spuštění a důvěrné Windows virtuálních počítačů. | Audit, deaktivováno | 4.0.0-preview |
| [Preview]: Virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích. | Povolte virtuální zařízení TPM na podporovaných virtuálních počítačích, abyste usnadnili měřené spouštění a další funkce zabezpečení operačního systému, které vyžadují čip TPM. Po povolení je možné virtuální počítač vTPM použít k otestování integrity spouštění. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním. | Audit, deaktivováno | 2.0.0-preview |
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, deaktivováno | 3.0.0 |
| správce A Microsoft Entra by měl být zřízený pro servery MySQL | Audit zřizování správce Microsoft Entra pro váš server MySQL, aby se povolilo ověřování Microsoft Entra. ověřování Microsoft Entra umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, deaktivováno | 1.1.1 |
| správce A Microsoft Entra by měl být zřízený pro servery PostgreSQL | Audit zřizování správce Microsoft Entra pro váš server PostgreSQL za účelem povolení ověřování Microsoft Entra ověřování Microsoft Entra umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, deaktivováno | 1.0.1 |
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. cenová úroveň standardu Azure Security Center zahrnuje kontrolu ohrožení zabezpečení vašich virtuálních počítačů bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš permissivní. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Pro sql servery by se měl zřídit správce Azure Active Directory | Auditování zřizování správce Azure Active Directory pro váš SQL server, aby bylo možné povolit ověřování Azure AD. Azure ověřování AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, deaktivováno | 1.0.0 |
| koncové body API v Azure API Management by se měly ověřovat | Koncové body rozhraní API publikované v rámci Azure API Management by měly vynutit ověřování, aby se minimalizovalo bezpečnostní riziko. Mechanismy ověřování se někdy implementují nesprávně nebo chybí. To umožňuje útočníkům zneužít chyby implementace a přistupovat k datům. Další informace o hrozbě rozhraní API OWASP pro poškozené ověřování uživatelů najdete tady: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, deaktivováno | 1.0.1 |
| koncové body API, které se nepoužívají, by se měly zakázat a odebrat ze služby Azure API Management | Osvědčeným postupem zabezpečení jsou koncové body rozhraní API, které neobdržely provoz po dobu 30 dnů, považovány za nepoužité a měly by se odebrat ze služby Azure API Management. Udržování nepoužívaných koncových bodů rozhraní API může představovat bezpečnostní riziko pro vaši organizaci. Můžou se jednat o rozhraní API, která by měla být ze služby Azure API Management zastaralá, ale pravděpodobně byla omylem aktivní. Tato rozhraní API obvykle nedostávají nejaktuálnější pokrytí zabezpečení. | AuditIfNotExists, deaktivováno | 1.0.1 |
| Rozhraní API služby API Management by měla používat pouze šifrované protokoly. | Aby se zajistilo zabezpečení přenášených dat, měla by být rozhraní API dostupná pouze prostřednictvím šifrovaných protokolů, jako je HTTPS nebo WSS. Nepoužívejte nezabezpečené protokoly, například HTTP nebo WS. | Audit, Zakázáno, Odepřít | 2.0.2 |
| Je potřeba ověřit volání služby API Management do back-endů rozhraní API. | Volání ze služby API Management do back-endů by měla používat určitou formu ověřování, ať už prostřednictvím certifikátů nebo přihlašovacích údajů. Nevztahuje se na back-endy služby Fabric. | Audit, Zakázáno, Odepřít | 1.0.1 |
| Volání služby API Management do back-endů rozhraní API by neměla obcházet kryptografický otisk certifikátu ani ověřování názvů. | Aby se zlepšilo zabezpečení rozhraní API, služba API Management by měla ověřit certifikát back-endového serveru pro všechna volání rozhraní API. Povolte kryptografický otisk certifikátu SSL a ověření názvu. | Audit, Zakázáno, Odepřít | 1.0.2 |
| Koncový bod přímé správy služby API Management by neměl být povolený. | Rozhraní REST API pro přímou správu v Azure API Management obchází Azure Resource Manager mechanismy řízení přístupu, autorizace a omezování na základě rolí, což zvyšuje ohrožení zabezpečení vaší služby. | Audit, Zakázáno, Odepřít | 1.0.2 |
| Tajné kódy správyAPI by měly být uložené v Azure Key Vault | Pojmenované hodnoty jsou kolekce dvojic názvů a hodnot v každé službě API Management. Hodnoty tajných kódů je možné uložit buď jako šifrovaný text ve službě API Management (vlastní tajné kódy), nebo odkazovat na tajné kódy v Azure Key Vault. Pokud chcete zlepšit zabezpečení služby API Management a tajných kódů, odkazovat na tajné kódy pojmenované hodnoty z Azure Key Vault. Azure Key Vault podporuje podrobnou správu přístupu a zásady obměně tajných kódů. | Audit, Zakázáno, Odepřít | 1.0.2 |
| Služby API Management by měly používat virtuální síť. | Azure Virtual Network nasazení poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Služba API Management by měla zakázat přístup k veřejným síťovým koncovým bodům konfigurace služby. | Pokud chcete zlepšit zabezpečení služeb API Management, omezte připojení ke koncovým bodům konfigurace služby, jako jsou rozhraní API pro správu přímého přístupu, koncový bod správy konfigurace Gitu nebo koncový bod konfigurace brány v místním prostředí. | AuditIfNotExists, deaktivováno | 1.0.1 |
| Předplatná služby API Management by neměla být vymezena na všechna rozhraní API. | Předplatná služby API Management by měla být vymezena na produkt nebo jednotlivé rozhraní API místo na všechna rozhraní API, což by mohlo vést k nadměrnému vystavení dat. | Audit, Zakázáno, Odepřít | 1.1.0 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, deaktivováno | 1.0.2 |
| Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, deaktivováno | 2.0.0 |
| Aplikace App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, deaktivováno | 2.0.1 |
| Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, deaktivováno | 2.0.0 |
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Aplikace app Service by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, deaktivováno | 3.0.0 |
| Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, deaktivováno | 2.2.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, deaktivováno | 1.0.1 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování SQL Server by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, deaktivováno | 2.0.0 |
| Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. | I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, deaktivováno | 3.2.0 |
| Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, deaktivováno | 2.0.1 |
| Proměnné účtu Automation by měly být šifrované. | Při ukládánícitlivýchch | Audit, Odepřít, Zakázáno | 1.1.0 |
| Azure prostředky AI Services by měly šifrovat neaktivní uložená data pomocí klíče spravovaného zákazníkem (CMK) | Použití klíčů spravovaných zákazníkem k šifrování neaktivních uložených dat poskytuje větší kontrolu nad životním cyklem klíčů, včetně obměně a správy. To je zvlášť důležité pro organizace, které mají související požadavky na dodržování předpisů. Toto se ve výchozím nastavení neposoudí a mělo by se použít pouze v případě, že je to vyžadováno požadavky na dodržování předpisů nebo omezující zásady. Pokud tato možnost není povolená, budou data šifrovaná pomocí klíčů spravovaných platformou. Pokud chcete tento parametr implementovat, aktualizujte parametr Effect v zásadách zabezpečení pro příslušný obor. | Audit, Odepřít, Zakázáno | 2.2.0 |
| Azure prostředky AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování) | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je přístup ke klíči zakázaný. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Azure prostředky AI Services by měly omezit síťový přístup | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby k Azure službě AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.3.0 |
| Azure prostředky služeb AI by měly používat Azure Private Link | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link snižuje riziko úniku dat tím, že zpracovává propojení mezi spotřebitelem a službami přes páteřní síť Azure. Další informace o privátních propojeních najdete tady: https://aka.ms/AzurePrivateLink/Overview | Audit, deaktivováno | 1.0.0 |
| verze platformy Azure API Management by měla být stv2 | Azure API Management verze výpočetní platformy stv1 bude vyřazena od 31. srpna 2024 a tyto instance by se měly migrovat na výpočetní platformu stv2 pro pokračování podpory. Další informace najdete na adrese https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Arc clustery Kubernetes by měly mít nainstalované rozšíření Azure Policy | Rozšíření Azure Policy pro Azure Arc poskytuje vynucení a zabezpečení ve velkém měřítku v clusterech Kubernetes s podporou Arc centralizovaným a konzistentním způsobem. Další informace najdete na adrese https://aka.ms/akspolicydoc. | AuditIfNotExists, deaktivováno | 1.1.0 |
| Azure Backup by měly být povolené pro Virtual Machines | Zajistěte ochranu Azure Virtual Machines povolením Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Azure Cache for Redis by měla používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť k Azure službám bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, deaktivováno | 1.0.0 |
| účty Azure Cosmos DB by měly mít pravidla brány firewall | Pravidla brány firewall by měla být definována ve vašich účtech Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. | Audit, Odepřít, Zakázáno | 2.1.0 |
| účty Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem | Šifrování neaktivních uložených Azure Cosmos DB můžete spravovat pomocí klíčů spravovaných zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/cosmosdb-cmk. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Azure Cosmos DB by měl zakázat přístup k veřejné síti | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajistí, aby váš účet CosmosDB nebyl vystavený na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vašeho účtu CosmosDB. Další informace najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Clustery Azure Databricks by měly zakázat veřejnou IP adresu | Zakázání veřejné IP adresy clusterů v pracovních prostorech Azure Databricks zlepšuje zabezpečení tím, že zajišťuje, že clustery nejsou zveřejněné na veřejném internetu. Další informace najdete tady: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Audit, Odepřít, Zakázáno | 1.0.1 |
| pracovní prostory Azure Databricks by měly být ve virtuální síti | Azure virtuální sítě poskytují lepší zabezpečení a izolaci pro vaše pracovní prostory Azure Databricks a také podsítě, zásady řízení přístupu a další funkce pro další omezení přístupu. Další informace najdete tady: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Pracovní prostory Azure Databricks by měly zakázat přístup k veřejné síti | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že prostředek není vystavený na veřejném internetu. Vystavení prostředků můžete řídit vytvořením privátních koncových bodů. Další informace najdete tady: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Pracovní prostory Azure Databricks by měly používat privátní propojení | Azure Private Link umožňuje propojit virtuální sítě s Azure službami bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zajišťuje připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Azure Databricks pracovních prostorů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/adbpe. | Audit, deaktivováno | 1.0.2 |
| Azure ochrana před útoky DDoS by měla být povolená | Ochrana před útoky DDoS by měla být povolená pro všechny virtuální sítě s podsítí, která je součástí aplikační brány s veřejnou IP adresou. | AuditIfNotExists, deaktivováno | 3.0.1 |
| Azure Defender pro App Service by měla být povolená | Azure Defender pro Službu App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, deaktivováno | 1.0.3 |
| Azure Defender pro servery Azure SQL Database by měly být povolené | Azure Defender pro SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, deaktivováno | 1.0.2 |
| Azure Defender pro Key Vault by měla být povolená | Azure Defender pro Key Vault poskytuje další vrstvu ochrany a bezpečnostních informací tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům key vault nebo jejich zneužití. | AuditIfNotExists, deaktivováno | 1.0.3 |
| Azure Defender pro opensourcové relační databáze by měly být povolené | Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Další informace o možnostech Azure Defender pro opensourcové relační databáze najdete v https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolením tohoto plánu se budou účtovat poplatky za ochranu opensourcových relačních databází. Další informace o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, deaktivováno | 1.0.0 |
| Azure Defender pro Resource Manager by se mělo povolit | Azure Defender pro Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Další informace o možnostech Azure Defender pro Resource Manager najdete v https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defender se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, deaktivováno | 1.0.0 |
| Azure Defender pro servery by měly být povolené | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, deaktivováno | 1.0.3 |
| Azure Defender pro servery SQL na počítačích by měly být povolené | Azure Defender pro SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, deaktivováno | 1.0.2 |
| Azure Defender pro SQL by měly být povolené pro nechráněné servery Azure SQL | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, deaktivováno | 2.0.1 |
| Azure Defender pro SQL by měly být povolené pro nechráněné flexibilní servery MySQL | Audit flexibilních serverů MySQL bez Advanced Data Security | AuditIfNotExists, deaktivováno | 1.0.0 |
| Azure Defender pro SQL by měly být povolené pro nechráněné flexibilní servery PostgreSQL | Audit flexibilních serverů PostgreSQL bez Advanced Data Security | AuditIfNotExists, deaktivováno | 1.0.0 |
| Azure Defender pro SQL by se měla povolit pro nechráněné spravované instance SQL | Auditujte každou SQL Managed Instance bez pokročilého zabezpečení dat. | AuditIfNotExists, deaktivováno | 1.0.2 |
| domény Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zajišťuje připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, deaktivováno | 1.0.2 |
| témata Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zajišťuje připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, deaktivováno | 1.0.2 |
| Azure Key Vault by měla mít povolenou bránu firewall nebo zakázaný přístup k veřejné síti | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy nebo zakázal přístup k veřejné síti pro váš trezor klíčů, aby nebyl přístupný přes veřejný internet. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete v: https://docs.microsoft.com/azure/key-vault/general/network-security a https://aka.ms/akvprivatelink | Audit, Odepřít, Zakázáno | 3.3.0 |
| Azure Key Vault by měl používat model oprávnění RBAC | Povolte model oprávnění RBAC napříč službami Key Vault. Další informace najdete tady: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Odepřít, Zakázáno | 1.0.1 |
| Azure trezory klíčů by měly používat privátní propojení | Azure Private Link umožňuje propojit virtuální sítě s Azure službami bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zajišťuje připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| clustery Azure Kubernetes Service by měly mít povolený profil Defender | Microsoft Defender pro kontejnery poskytuje funkce zabezpečení Kubernetes nativní pro cloud, včetně posílení zabezpečení prostředí, ochrany úloh a ochrany za běhu. Když v clusteru Azure Kubernetes Service povolíte SecurityProfile.AzureDefender, nasadí se do clusteru agent, který bude shromažďovat data událostí zabezpečení. Další informace o Microsoft Defender pro kontejnery v https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, deaktivováno | 2.0.1 |
| Azure Machine Learning výpočetní instance by se měly znovu vytvořit, aby se získaly nejnovější aktualizace softwaru | Ujistěte se, že Azure Machine Learning výpočetní instance běží v nejnovějším dostupném operačním systému. Vylepšili jsme zabezpečení a snížili jsme ohrožení zabezpečení spuštěním nejnovějších oprav zabezpečení. Další informace najdete na adrese https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| výpočetní prostředky Azure Machine Learning by měly být ve virtuální síti | Azure virtuální sítě poskytují lepší zabezpečení a izolaci pro výpočetní clustery a instance Azure Machine Learning a také podsítě, zásady řízení přístupu a další funkce pro další omezení přístupu. Pokud je výpočetní výkon nakonfigurovaný s virtuální sítí, není veřejně adresovatelný a dá se k němu přistupovat jenom z virtuálních počítačů a aplikací v rámci virtuální sítě. | Audit, deaktivováno | 1.0.1 |
| výpočetní prostředky Azure Machine Learning by měly mít zakázané místní metody ověřování | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby výpočetní prostředky Machine Learning vyžadovaly Azure Active Directory identit výhradně pro ověřování. Další informace najdete tady: https://aka.ms/azure-ml-aad-policy. | Audit, Odepřít, Zakázáno | 2.1.0 |
| pracovní prostory Azure Machine Learning by měly být šifrované pomocí klíče spravovaného zákazníkem | Správa šifrování neaktivních uložených dat pracovního prostoru Azure Machine Learning pomocí klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/azureml-workspaces-cmk. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Pracovní prostory Azure Machine Learning by měly zakázat přístup k veřejné síti | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že pracovní prostory Machine Learning nejsou přístupné na veřejném internetu. Vystavení pracovních prostorů můžete řídit vytvořením privátních koncových bodů. Další informace najdete tady: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Audit, Odepřít, Zakázáno | 2.0.1 |
| pracovní prostory Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zajišťuje připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Azure Machine Learning pracovních prostorů se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, deaktivováno | 1.0.0 |
| flexibilní server MySQL Azure musí mít povolené Microsoft Entra pouze ověřování | Zakázání místních metod ověřování a povolení pouze ověřování Microsoft Entra zlepšuje zabezpečení tím, že zajišťuje, aby flexibilní server MySQL Azure byl přístupný výhradně Microsoft Entra identitami. | AuditIfNotExists, deaktivováno | 1.0.1 |
| Azure Policy Doplněk pro službu Kubernetes (AKS) by se měl nainstalovat a povolit ve vašich clusterech | Azure Policy doplněk pro službu Kubernetes Service (AKS) rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro agenta OPA (Open Policy Agent), aby se v clusterech použily vynucování ve velkém měřítku a bezpečnostní opatření centralizovaným a konzistentním způsobem. | Audit, deaktivováno | 1.0.2 |
| Azure image kontejnerů registru by měly mít vyřešené chyby zabezpečení (s využitím Microsoft Defender Správa zranitelností) | Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení a zajistit bezpečné použití imagí před nasazením. | AuditIfNotExists, deaktivováno | 1.0.1 |
| Azure spuštěné image kontejnerů by měly mít vyřešené chyby zabezpečení (s využitím Microsoft Defender Správa zranitelností) | Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy. | AuditIfNotExists, deaktivováno | 1.0.1 |
| Azure SignalR Service by měl používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek Azure SignalR Service místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, deaktivováno | 1.0.0 |
| Azure Spring Cloud by měl používat injektáž sítě | Azure instance Spring Cloudu by měly používat injektáž virtuální sítě pro následující účely: 1. Izolace Azure Spring Cloudu od internetu 2. Povolte Azure Spring Cloud pro interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud. | Audit, Zakázáno, Odepřít | 1.2.0 |
| Azure SQL Database musí používat protokol TLS verze 1.2 nebo novější | Nastavení verze protokolu TLS na verzi 1.2 nebo novější zlepšuje zabezpečení tím, že zajišťuje, že k Azure SQL Database bude možné přistupovat jenom z klientů pomocí protokolu TLS 1.2 nebo novějšího. Použití verzí protokolu TLS menší než 1.2 se nedoporučuje, protože obsahují dobře zdokumentovaná ohrožení zabezpečení. | Audit, Zakázáno, Odepřít | 2.0.0 |
| Azure SQL Database by mělo mít povolené ověřování pouze Microsoft Entra | Vyžadovat, aby Azure SQL logické servery používaly ověřování pouze Microsoft Entra. Tato zásada neblokuje vytváření serverů s povoleným místním ověřováním. Po vytvoření blokuje povolení místního ověřování u prostředků. Místo toho zvažte použití iniciativy ověřování jen pro Microsoft Entra, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/adonlycreate. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure SQL logické servery by měly mít při vytváření povolené ověřování pouze Microsoft Entra | Vyžadovat, aby se Azure SQL logické servery vytvořily s ověřováním pouze Microsoft Entra. Tato zásada neblokuje opětovné povolení místního ověřování u prostředků po vytvoření. Místo toho zvažte použití iniciativy ověřování jen pro Microsoft Entra, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/adonlycreate. | Audit, Odepřít, Zakázáno | 1.3.0 |
| Azure SQL Managed Instance by mělo mít povolené ověřování pouze Microsoft Entra | Vyžadovat, aby Azure SQL Managed Instance používaly ověřování pouze Microsoft Entra. Tato zásada neblokuje vytváření spravovaných instancí Azure SQL s povoleným místním ověřováním. Po vytvoření blokuje povolení místního ověřování u prostředků. Místo toho zvažte použití iniciativy ověřování jen pro Microsoft Entra, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/adonlycreate. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure SQL spravované instance by měly zakázat přístup k veřejné síti | Zakázání přístupu k veřejné síti (veřejný koncový bod) na Azure SQL spravovaných instancí zlepšuje zabezpečení tím, že zajišťuje, aby k nim bylo možné přistupovat pouze ze svých virtuálních sítí nebo prostřednictvím privátních koncových bodů. Další informace o přístupu k veřejné síti najdete v tématu https://aka.ms/mi-public-endpoint. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure SQL spravované instance by měly mít při vytváření povolené ověřování pouze Microsoft Entra | Vyžadovat, aby se vytvořily Azure SQL Managed Instance s ověřováním pouze Microsoft Entra. Tato zásada neblokuje opětovné povolení místního ověřování u prostředků po vytvoření. Místo toho zvažte použití iniciativy ověřování jen pro Microsoft Entra, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/adonlycreate. | Audit, Odepřít, Zakázáno | 1.2.0 |
| Azure Web Application Firewall by měly být povolené pro vstupní body Azure Front Door | Nasaďte Azure Web Application Firewall (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Web Application Firewall (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat | Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Certifikáty by měly mít zadanou maximální dobu platnosti. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximální doby, po kterou může být certifikát platný v rámci trezoru klíčů. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.2.1 |
| Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem. | Ke správě šifrování zbývajícího obsahu vašich registrů použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/acr/CMK. | Audit, Odepřít, Zakázáno | 1.1.2 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Azure registry kontejnerů ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/privatelink a . | Audit, Odepřít, Zakázáno | 2.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma privátního propojení zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, deaktivováno | 1.0.1 |
| Databázové účty Cosmos DB by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby účty databáze Cosmos DB výhradně vyžadovaly Azure Active Directory identit pro ověřování. Další informace najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zajišťuje připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, deaktivováno | 1.0.0 |
| protokoly Diagnostic v prostředcích Služby Azure AI by měly být povolené | Povolte protokoly pro Služby Azure AI prostředky. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, deaktivováno | 1.0.0 |
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, deaktivováno | 1.2.0 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, deaktivováno | 2.1.0 |
| Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. | Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, deaktivováno | 1.0.1 |
| U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. | Azure Database for PostgreSQL podporuje připojení Azure Database for PostgreSQL serveru k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, deaktivováno | 1.0.1 |
| Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, deaktivováno | 1.1.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, deaktivováno | 2.1.0 |
| Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. | AuditIfNotExists, deaktivováno | 2.1.0 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.1.0 |
| Aplikace funkcí by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, deaktivováno | 3.1.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, deaktivováno | 3.1.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, deaktivováno | 2.3.0 |
| Zálohované zálohování by mělo být povolené pro Azure Database for MariaDB | Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, deaktivováno | 1.0.1 |
| Zálohované zálohování by mělo být povolené pro Azure Database for MySQL | Azure Database for MySQL umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, deaktivováno | 1.0.1 |
| Azure Database for PostgreSQL umožňuje zvolit možnost redundance pro databázový server. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, deaktivováno | 1.0.1 | |
| účty Účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, deaktivováno | 1.0.0 |
| účty Účty s oprávněními ke čtení Azure prostředků by se měly odebrat | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, deaktivováno | 1.0.0 |
| účty Účty s oprávněními k zápisu k prostředkům Azure by se měly odebrat | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, jako je třeba ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, deaktivováno | 1.0.3 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, deaktivováno | 3.0.0 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, deaktivováno | 3.0.0 |
| klíče Key Vault by měly mít datum vypršení platnosti | Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučuje se nastavit data vypršení platnosti kryptografických klíčů pomocí osvědčených postupů zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.2 |
| tajné kódy Key Vault by měly mít datum vypršení platnosti | Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou navždy platné, poskytují potenciálnímu útočníkovi více času k jejich ohrožení. Doporučuje se nastavit data vypršení platnosti tajných kódů. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Trezory klíčů by měly mít povolenou ochranu před odstraněním. | Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct trezory klíčů vyprázdnit nikdo z vaší organizace ani Microsoft. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Trezory klíčů by měly mít povolené obnovitelné odstranění. | Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání. | Audit, Odepřít, Zakázáno | 3.1.0 |
| Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. | Vynucujte omezení prostředků procesoru a paměti kontejneru, abyste zabránili útokům na vyčerpání prostředků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a ve verzi Preview pro Azure Arc povolené Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.3.0 |
| Kontejnery clusteru Kubernetes by neměly sdílet obory názvů hostitele | Zablokujte kontejnery podů sdílení oboru názvů ID procesu hostitele, oboru názvů IPC hostitele a oboru názvů sítě hostitele v clusteru Kubernetes. Toto doporučení odpovídá standardům zabezpečení podů Kubernetes pro obory názvů hostitelů a je součástí CIS 5.2.1, 5.2.2 a 5.2.3, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a ve verzi Preview pro Azure Arc povolené Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | Audit, Odepřít, Zakázáno | 6.0.0 |
| Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. | Kontejnery by měly používat pouze povolené profily AppArmor v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a ve verzi Preview pro Azure Arc povolené Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.1 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. | Omezte možnosti pro omezení prostoru pro útoky na kontejnery v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.8 a CIS 5.2.9, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a ve verzi Preview pro Azure Arc povolené Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené image. | Pomocí imagí z důvěryhodných registrů můžete snížit riziko vystavení clusteru Kubernetes neznámým ohrožením zabezpečení, problémům se zabezpečením a škodlivým imagím. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.3.0 |
| Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. | Spouštění kontejnerů s kořenovým systémem souborů jen pro čtení za účelem ochrany před změnami za běhu pomocí škodlivých binárních souborů přidaných do PATH v clusteru Kubernetes Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a ve verzi Preview pro Azure Arc povolené Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.3.0 |
| Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. | Omezte připojení svazku HostPath podu k povoleným hostitelským cestám v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a Azure Arc povolené Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.3.0 |
| Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. | Řídí uživatele, primární skupinu, doplňkové skupiny a ID skupin systému souborů, které můžou pody a kontejnery používat ke spuštění v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a ve verzi Preview pro Azure Arc povolené Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Pody clusteru Kubernetes by měly používat jenom schválenou síť hostitele a seznam portů. | Omezte přístup podů k hostitelské síti a povoleným hostitelským portům v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes a v souladu se standardy zabezpečení podů (PSS) pro hostPorts. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a ve verzi Preview pro Azure Arc povolené Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | Audit, Odepřít, Zakázáno | 7.0.0 |
| Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. | Omezte služby tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a ve verzi Preview pro Azure Arc povolené Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.2.0 |
| Cluster Kubernetes by neměl umožňovat privilegované kontejnery. | Nepovolujte vytváření privilegovaných kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.1, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a ve verzi Preview pro Azure Arc povolené Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.2.0 |
| Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je v současné době obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Azure Arc povolené Kubernetes. Další informace najdete na stránce https://aka.ms/kubepolicydoc | Audit, Odepřít, Zakázáno | 9.0.0 |
| Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API. | Zakažte přihlašovací údaje rozhraní API pro automatické připojování, abyste zabránili potenciálně ohroženým prostředkům podu ke spouštění příkazů rozhraní API pro clustery Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 4.2.0 |
| Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. | Nepovolujte spouštění kontejnerů s eskalací oprávnění do kořenového adresáře v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.5, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a ve verzi Preview pro Azure Arc povolené Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | Audit, Odepřít, Zakázáno | 8.0.0 |
| Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAP_SYS_ADMIN | Pokud chcete omezit prostor pro útoky na kontejnery, omezte CAP_SYS_ADMIN možnosti Linuxu. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.0 |
| Clustery Kubernetes by neměly používat výchozí obor názvů. | Zabránit použití výchozího oboru názvů v clusterech Kubernetes k ochraně před neoprávněným přístupem pro typy prostředků ConfigMap, Pod, Secret, Service a ServiceAccount. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 4.2.0 |
| počítače Linux by měly splňovat požadavky na standardní hodnoty zabezpečení Azure výpočetních prostředků | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení v Azure standardních hodnotách zabezpečení výpočetních prostředků. | AuditIfNotExists, deaktivováno | 2.3.1 |
| virtuální počítače Linux by měly povolit Azure Disk Encryption nebo EncryptionAtHost. | I když jsou disky s operačním systémem a datovými disky virtuálního počítače ve výchozím nastavení šifrované pomocí klíčů spravovaných platformou; Disky prostředků (dočasné disky), mezipaměti dat a tok dat mezi výpočetními prostředky a prostředky úložiště nejsou šifrované. K nápravě použijte Azure Disk Encryption nebo EncryptionAtHost. Navštivte https://aka.ms/diskencryptioncomparison stránku s porovnáním nabídek šifrování. Tato zásada vyžaduje, aby se do oboru přiřazení zásad nasadily dva předpoklady. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, deaktivováno | 1.2.1 |
| Počítače by měly být nakonfigurované tak, aby pravidelně kontrolovaly chybějící aktualizace systému. | Aby se zajistilo, že se pravidelná hodnocení chybějících aktualizací systému aktivují automaticky každých 24 hodin, měla by být vlastnost AssessmentMode nastavená na AutomaticByPlatform. Přečtěte si další informace o vlastnosti AssessmentMode pro Windows: https://aka.ms/computevm-windowspatchassessmentmode, pro Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Odepřít, Zakázáno | 3.9.0 |
| Počítače by měly mít vyřešené tajné závěry. | Audituje virtuální počítače, aby zjistil, jestli obsahují tajné závěry z řešení pro kontrolu tajných kódů na vašich virtuálních počítačích. | AuditIfNotExists, deaktivováno | 1.0.2 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Možný přístup k síti za běhu (JIT) bude monitorován Azure Security Center jako doporučení. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Microsoft Defender CSPM by měly být povolené | Defender správa stavu cloudového zabezpečení (CSPM) poskytuje vylepšené možnosti stavu a nový graf inteligentního zabezpečení cloudu, který pomáhá identifikovat, určit prioritu a snížit riziko. Defender CSPM je k dispozici kromě bezplatných základních funkcí zabezpečení, které jsou ve výchozím nastavení zapnuté v Defender for Cloud. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Microsoft Defender pro rozhraní API by měla být povolená | Microsoft Defender pro rozhraní API přináší nové zjišťování, ochranu, detekci a pokrytí odpovědí, které monitorují běžné útoky založené na rozhraní API a chybné konfigurace zabezpečení. | AuditIfNotExists, deaktivováno | 1.0.3 |
| Microsoft Defender pro kontejnery by měly být povolené | Microsoft Defender pro kontejnery poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše Azure, hybridní a multicloudová prostředí Kubernetes. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Microsoft Defender pro SQL by měly být povolené pro nechráněné pracovní prostory Synapse | Povolte Defender pro SQL k ochraně pracovních prostorů Synapse. Defender pro SQL monitoruje synapse SQL neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Microsoft Defender pro úložiště by se mělo povolit | Microsoft Defender pro službu Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nová Defender pro plán úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Servery MySQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování zbývajících serverů MySQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | AuditIfNotExists, deaktivováno | 1.0.4 |
| Network Watcher by měla být povolená | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, deaktivováno | 3.0.0 |
| Only zabezpečené připojení k vašemu Azure Cache for Redis by měla být povolená | Audit povolení pouze připojení přes protokol SSL pro Azure Cache for Redis. Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Audit, Odepřít, Zakázáno | 1.0.0 |
| Servery PostgreSQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování zbývajících serverů PostgreSQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | AuditIfNotExists, deaktivováno | 1.0.4 |
| Připojení koncových bodůPrivate na Azure SQL Database by měla být povolená | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure SQL Database. | Audit, deaktivováno | 1.1.0 |
| Privátní koncový bod by měl být povolený pro servery MariaDB. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu pouze ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v rámci Azure. | AuditIfNotExists, deaktivováno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery MySQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu pouze ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v rámci Azure. | AuditIfNotExists, deaktivováno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery PostgreSQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení k Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu pouze ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v rámci Azure. | AuditIfNotExists, deaktivováno | 1.0.2 |
| Public síťový přístup na Azure SQL Database by měl být zakázaný | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že k Azure SQL Database bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery MySQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for MySQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.1 |
| protokoly Zdroj v Azure Data Lake Storu by měly být povolené | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, deaktivováno | 5.0.0 |
| Protokoly Zdroj v pracovních prostorech Azure Databricks by měly být povolené | Protokoly prostředků umožňují znovu vytvořit trasu aktivit, která se má použít pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, deaktivováno | 1.0.1 |
| protokoly Zdroj v Azure Kubernetes Service by měly být povolené | protokoly prostředků Azure Kubernetes Service můžou pomoct znovu vytvořit záznamy aktivit při vyšetřování incidentů zabezpečení. Povolte ho, abyste měli jistotu, že protokoly budou existovat v případě potřeby. | AuditIfNotExists, deaktivováno | 1.0.0 |
| protokoly Zdroj v pracovních prostorech Azure Machine Learning by měly být povolené | Protokoly prostředků umožňují znovu vytvořit trasu aktivit, která se má použít pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, deaktivováno | 1.0.1 |
| protokoly Zdroj v Azure Stream Analytics by měly být povolené | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, deaktivováno | 5.0.0 |
| Protokoly prostředků v účtech Batch by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, deaktivováno | 5.0.0 |
| protokoly Zdroj v Data Lake Analytics by měly být povolené | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, deaktivováno | 5.0.0 |
| Protokoly prostředků v centru událostí by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, deaktivováno | 5.0.0 |
| protokoly Zdroj v IoT Hub by měly být povolené | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, deaktivováno | 3.1.0 |
| protokoly Zdroj v Key Vault by měly být povolené | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, deaktivováno | 5.0.0 |
| Protokoly prostředků v Logic Apps by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, deaktivováno | 5.1.0 |
| Protokoly prostředků v Search by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, deaktivováno | 5.0.0 |
| protokoly Zdroj v Service Bus by měly být povolené | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, deaktivováno | 5.0.0 |
| Role-Based Access Control (RBAC) by se měly používat ve službách Kubernetes Services | Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte ke správě oprávnění v clusterech Kubernetes Service Role-Based Access Control (RBAC) a nakonfigurujte příslušné zásady autorizace. | Audit, deaktivováno | 1.1.0 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Clustery Fabric service by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign | Služba Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané. | Audit, Odepřít, Zakázáno | 1.1.0 |
| clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů | Auditování využití ověřování klientů pouze prostřednictvím Azure Active Directory ve službě Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
| Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, deaktivováno | 4.1.0 |
| Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje větší transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Automatické zřizování cílené na SQL server by mělo být povolené pro sql servery v plánu počítačů. | Pokud chcete zajistit ochranu virtuálních počítačů SQL a SQL Serverů s podporou arc, ujistěte se, že je agent monitorování sql cílený na sql Azure nakonfigurovaný tak, aby se automaticky nasazoval. To je také nezbytné, pokud jste dříve nakonfigurovali automatické zřizování agenta monitorování Microsoft, protože tato komponenta je zastaralá. Víc se uč: https://aka.ms/SQLAMAMigration | AuditIfNotExists, deaktivováno | 1.0.0 |
| Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích | Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrná oprávnění a nechráněná citlivá data. Řešení nalezených ohrožení zabezpečení může výrazně zlepšit stav zabezpečení databáze. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.1 |
| SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování vašeho SQL Server na cíl účtu úložiště na nejméně 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování regulačních standardů. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob v Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Pokud chcete zabránit porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.1 |
| účty Storage by se měly migrovat na nové prostředky Azure Resource Manager | Pomocí nových Azure Resource Manager pro účty úložiště můžete poskytovat vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, Azure Resource Manager nasazení a zásady správného řízení, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, Azure Ověřování založené na AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly zabránit přístupu ke sdíleným klíčům | Požadavek na audit Azure Active Directory (Azure AD) k autorizaci požadavků na váš účet úložiště. Ve výchozím nastavení je možné žádosti autorizovat pomocí přihlašovacích údajů Azure Active Directory nebo pomocí přístupového klíče účtu pro autorizaci sdíleného klíče. Z těchto dvou typů autorizace Azure AD poskytuje vynikající zabezpečení a snadné použití u sdíleného klíče a doporučuje se Microsoft. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Účty úložiště by měly zabránit přístupu ke sdíleným klíčům (s výjimkou účtů úložiště vytvořených službou Databricks). | Požadavek na audit Azure Active Directory (Azure AD) k autorizaci požadavků na váš účet úložiště. Ve výchozím nastavení je možné žádosti autorizovat pomocí přihlašovacích údajů Azure Active Directory nebo pomocí přístupového klíče účtu pro autorizaci sdíleného klíče. Z těchto dvou typů autorizace Azure AD poskytuje vynikající zabezpečení a snadné použití u sdíleného klíče a doporučuje se Microsoft. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních Azure virtuálních sítí nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. | Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě (s výjimkou účtů úložiště vytvořených službou Databricks). | Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem. | Zabezpečení účtu úložiště objektů blob a souborů s větší flexibilitou s využitím klíčů spravovaných zákazníkem Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, deaktivováno | 1.0.3 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zajišťuje připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, deaktivováno | 2.0.0 |
| Účty úložiště by měly používat privátní propojení (s výjimkou účtů úložiště vytvořených službou Databricks). | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zajišťuje připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, deaktivováno | 1.0.0 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu Access Control seznamu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, deaktivováno | 1.0.1 |
| Pracovní prostory Synapse by měly mít povolené ověřování pouze Microsoft Entra | Vyžadovat, aby pracovní prostory Synapse používaly ověřování pouze Microsoft Entra. Tato zásada neblokuje vytváření pracovních prostorů s povoleným místním ověřováním. Po vytvoření blokuje povolení místního ověřování u prostředků. Místo toho zvažte použití iniciativy ověřování jen pro Microsoft Entra, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/Synapse. | Audit, Odepřít, Zakázáno | 1.0.0 |
| pracovní prostory Synapse by měly při vytváření pracovního prostoru používat jenom Microsoft Entra identity | Vyžadovat, aby se pracovní prostory Synapse vytvořily s ověřováním pouze Microsoft Entra. Tato zásada neblokuje opětovné povolení místního ověřování u prostředků po vytvoření. Místo toho zvažte použití iniciativy ověřování jen pro Microsoft Entra, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/Synapse. | Audit, Odepřít, Zakázáno | 1.2.0 |
| Aktualizace systému by se měly nainstalovat na vaše počítače (s využitím Update Center). | V počítačích chybí systém, zabezpečení a důležité aktualizace. Aktualizace softwaru často zahrnují kritické opravy bezpečnostních otvorů. Takové díry se často využívají při malwarových útocích, takže je důležité udržovat software aktualizovaný. Pokud chcete nainstalovat všechny nevyhrazené opravy a zabezpečit počítače, postupujte podle kroků pro nápravu. | AuditIfNotExists, deaktivováno | 1.0.1 |
| K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. | Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. | AuditIfNotExists, deaktivováno | 3.0.0 |
| transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, deaktivováno | 2.0.0 |
| Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. | Šifrování na hostiteli slouží k získání kompletního šifrování pro virtuální počítač a data škálovací sady virtuálních počítačů. Šifrování v hostiteli umožňuje šifrování neaktivních uložených dat pro dočasné disky a mezipaměti disku s operačním systémem a daty. Dočasné a dočasné disky s operačním systémem se šifrují pomocí klíčů spravovaných platformou, když je povolené šifrování v hostiteli. Mezipaměti disku s operačním systémem a datovými disky se šifrují v klidovém stavu pomocí klíče spravovaného zákazníkem nebo spravovaného platformou v závislosti na typu šifrování vybraném na disku. Další informace najdete na adrese https://aka.ms/vm-hbe. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manager | Pomocí nových Azure Resource Manager pro virtuální počítače můžete poskytovat vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, Azure Resource Manager nasazení a zásady správného řízení, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, Azure Ověřování založené na AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení | Audit, Odepřít, Zakázáno | 1.0.0 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Azure virtuální počítače v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, deaktivováno | 1.0.1 |
| Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zajišťuje připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Zakázáno, Odepřít | 1.1.0 |
| brány VPN by měly používat pouze ověřování Azure Active Directory (Azure AD) pro uživatele typu point-to-site | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby brány VPN Gateway používaly pouze Azure Active Directory identit pro ověřování. Další informace o ověřování Azure AD najdete v tématu https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Odepřít, Zakázáno | 1.0.0 |
| Auditujte každou SQL Managed Instance, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, deaktivováno | 1.0.1 | |
| Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | Audit Azure SQL servery, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Web Application Firewall (WAF) by měla být povolená pro službu Application Gateway | Nasaďte Azure Web Application Firewall (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Web Application Firewall (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Windows Defender Na vašich počítačích by měla být povolená ochrana Exploit Guard | Windows Defender Exploit Guard používá agenta konfigurace hosta Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (pouze Windows). | AuditIfNotExists, deaktivováno | 2.0.0 |
| Windows počítače by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, deaktivováno | 4.1.1 |
| Windows počítače by měly splňovat požadavky standardních hodnot zabezpečení Azure výpočetních prostředků | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení v Azure standardních hodnotách zabezpečení výpočetních prostředků. | AuditIfNotExists, deaktivováno | 2.1.1 |
| Windows virtuální počítače by měly povolit Azure Disk Encryption nebo EncryptionAtHost. | I když jsou disky s operačním systémem a datovými disky virtuálního počítače ve výchozím nastavení šifrované pomocí klíčů spravovaných platformou; Disky prostředků (dočasné disky), mezipaměti dat a tok dat mezi výpočetními prostředky a prostředky úložiště nejsou šifrované. K nápravě použijte Azure Disk Encryption nebo EncryptionAtHost. Navštivte https://aka.ms/diskencryptioncomparison stránku s porovnáním nabídek šifrování. Tato zásada vyžaduje, aby se do oboru přiřazení zásad nasadily dva předpoklady. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, deaktivováno | 1.1.1 |
kategorie Microsoft Defender for Cloud
| Name (portál Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Preview]: Rozšíření ChangeTracking by se mělo nainstalovat na počítač s Linuxem Arc | Nainstalujte rozšíření ChangeTracking na počítače s Linuxem Arc, abyste povolili monitorování integrity souborů (FIM) v Azure Security Center. FIM zkoumá soubory operačního systému, Windows registry, aplikační software, systémové soubory Linuxu a další změny, které by mohly naznačovat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, deaktivováno | 1.0.0-preview |
| [Preview]: Rozšíření ChangeTracking by se mělo nainstalovat na virtuální počítač s Linuxem. | Nainstalujte rozšíření ChangeTracking na virtuální počítače s Linuxem, abyste povolili monitorování integrity souborů (FIM) v Azure Security Center. FIM zkoumá soubory operačního systému, Windows registry, aplikační software, systémové soubory Linuxu a další změny, které by mohly naznačovat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, deaktivováno | 2.0.0-preview |
| [Preview]: Rozšíření ChangeTracking by mělo být nainstalované na počítači Windows Arc | Nainstalujte rozšíření ChangeTracking na počítače Windows Arc, abyste povolili monitorování integrity souborů (FIM) v Azure Security Center. FIM zkoumá soubory operačního systému, Windows registry, aplikační software, systémové soubory Linuxu a další změny, které by mohly naznačovat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, deaktivováno | 1.0.0-preview |
| [Preview]: Rozšíření ChangeTracking by mělo být nainstalované na virtuálním počítači Windows | Nainstalujte rozšíření ChangeTracking na Windows virtuálních počítačů, abyste povolili monitorování integrity souborů (FIM) v Azure Security Center. FIM zkoumá soubory operačního systému, Windows registry, aplikační software, systémové soubory Linuxu a další změny, které by mohly naznačovat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, deaktivováno | 2.0.0-preview |
| [Preview]: Konfigurace Azure Defender pro agenta SQL na virtuálním počítači | Nakonfigurujte Windows počítače tak, aby automaticky nainstalovaly Azure Defender pro agenta SQL, na kterém je nainstalovaný Azure Monitor Agent. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvoří skupinu prostředků a Log Analytics pracovní prostor ve stejné oblasti jako počítač. Cílové virtuální počítače musí být v podporovaném umístění. | "DeployIfNotExists", zakázáno | 1.0.0-preview |
| [Preview]: Konfigurace podporovaných škálovacích sad virtuálních počítačů s Linuxem pro automatickou instalaci rozšíření Ověření identity hosta | Nakonfigurujte podporované škálovací sady virtuálních počítačů s Linuxem tak, aby automaticky nainstalovaly rozšíření Ověření identity hosta, aby Azure Security Center aktivně otestovali a monitorovali integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | "DeployIfNotExists", zakázáno | 6.1.0-preview |
| [Preview]: Konfigurace podporovaných virtuálních počítačů s Linuxem pro automatické povolení zabezpečeného spouštění | Nakonfigurujte podporované virtuální počítače s Linuxem, aby se automatické povolení zabezpečeného spouštění zmírnit proti škodlivým a neoprávněným změnám ve spouštěcím řetězu. Po povolení budou moci běžet jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. | "DeployIfNotExists", zakázáno | 5.0.0-preview |
| [Preview]: Konfigurace podporovaných virtuálních počítačů s Linuxem pro automatickou instalaci rozšíření Ověření identity hosta | Nakonfigurujte podporované virtuální počítače s Linuxem tak, aby automaticky nainstalovaly rozšíření Ověření identity hosta, aby Azure Security Center aktivně otestovali a monitorovali integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | "DeployIfNotExists", zakázáno | 7.1.0-preview |
| [Preview]: Konfigurace podporovaných virtuálních počítačů pro automatické povolení virtuálního počítače vTPM | Nakonfigurujte podporované virtuální počítače tak, aby automaticky povolovali virtuální počítače vTPM, aby usnadnily měřené spouštění a další funkce zabezpečení operačního systému, které vyžadují čip TPM. Po povolení je možné virtuální počítač vTPM použít k otestování integrity spouštění. | "DeployIfNotExists", zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace podporovaných Windows škálovacích sad virtuálních počítačů pro automatickou instalaci rozšíření Ověření identity hosta | Nakonfigurujte podporované Windows škálovací sady virtuálních počítačů tak, aby automaticky nainstalovaly rozšíření Ověření identity hosta, aby Azure Security Center aktivně otestovali a monitorovali integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | "DeployIfNotExists", zakázáno | 4.1.0-preview |
| [Preview]: Konfigurace podporovaných Windows virtuálních počítačů pro automatické povolení zabezpečeného spouštění | Nakonfigurujte podporované Windows virtuálních počítačů, aby se automatické povolení zabezpečeného spouštění zmírnit proti škodlivým a neoprávněným změnám spouštěcího řetězce. Po povolení budou moci běžet jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. | "DeployIfNotExists", zakázáno | 3.0.0-preview |
| [Preview]: Nakonfigurujte podporované Windows virtuální počítače tak, aby automaticky nainstalovaly rozšíření Ověření identity hosta | Nakonfigurujte podporované Windows virtuálních počítačů tak, aby automaticky nainstalovaly rozšíření Ověření identity hosta, aby Azure Security Center aktivně otestovali a monitorovali integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | "DeployIfNotExists", zakázáno | 5.1.0-preview |
| [Preview]: Konfigurace virtuálních počítačů vytvořených pomocí imagí Shared Image Gallery pro instalaci rozšíření Ověření identity hosta | Nakonfigurujte virtuální počítače vytvořené pomocí Shared Image Gallery imagí tak, aby automaticky nainstalovaly rozšíření Ověření identity hosta, aby Azure Security Center proaktivně otestovali a monitorovali integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | "DeployIfNotExists", zakázáno | 2.0.0-preview |
| [Preview]: Konfigurace služby VMSS vytvořené pomocí imagí Shared Image Gallery pro instalaci rozšíření Ověření identity hosta | Nakonfigurujte službu VMSS vytvořenou pomocí imagí Shared Image Gallery tak, aby automaticky nainstalovala rozšíření Ověření identity hosta, aby Azure Security Center proaktivně otestovali a monitorovali integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | "DeployIfNotExists", zakázáno | 2.1.0-preview |
| [Preview]: Nasazení agenta Microsoft Defender for Endpoint na hybridní počítače s Linuxem | Nasadí agenta Microsoft Defender for Endpoint na hybridní počítače s Linuxem. | Nasadit pokud neexistuje, Audit pokud neexistuje, Zakázáno | 2.0.1-preview |
| [Preview]: Nasazení agenta Microsoft Defender for Endpoint na virtuálních počítačích s Linuxem | Nasadí agenta Microsoft Defender for Endpoint na příslušné image virtuálních počítačů s Linuxem. | Nasadit pokud neexistuje, Audit pokud neexistuje, Zakázáno | 3.0.0-preview |
| [Preview]: Nasazení agenta Microsoft Defender for Endpoint na Windows Azure Arc počítačích | Nasadí Microsoft Defender for Endpoint na počítače Windows Azure Arc. | Nasadit pokud neexistuje, Audit pokud neexistuje, Zakázáno | 2.0.1-preview |
| [Preview]: Nasazení agenta Microsoft Defender for Endpoint na virtuálních počítačích Windows | Nasadí Microsoft Defender for Endpoint na příslušné image virtuálních počítačů Windows. | Nasadit pokud neexistuje, Audit pokud neexistuje, Zakázáno | 2.0.1-preview |
| [Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Linuxem | Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače s Linuxem, aby Azure Security Center aktivně otestovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Linuxem. | AuditIfNotExists, deaktivováno | 6.0.0-preview |
| [Preview]: Rozšíření ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Linuxem. | Nainstalujte rozšíření Ověření identity hosta na podporované škálovací sady virtuálních počítačů s Linuxem, které umožňují Azure Security Center aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro škálovací sady důvěryhodných spuštění a důvěrných virtuálních počítačů s Linuxem. | AuditIfNotExists, deaktivováno | 5.1.0-preview |
| [Preview]: Rozšíření ověření hosta by mělo být nainstalované na podporovaných virtuálních počítačích Windows | Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače, abyste Azure Security Center mohli aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné Windows virtuálních počítačů. | AuditIfNotExists, deaktivováno | 4.0.0-preview |
| [Preview]: Rozšíření ověření hosta by mělo být nainstalované na podporovaných škálovacích sadách virtuálních počítačů Windows | Nainstalujte rozšíření Ověření identity hosta na podporované škálovací sady virtuálních počítačů, které umožňují Azure Security Center proaktivně otestovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné Windows škálovací sady virtuálních počítačů. | AuditIfNotExists, deaktivováno | 3.1.0-preview |
| [Preview]: Virtuální počítače s Linuxem by měly používat jenom podepsané a důvěryhodné spouštěcí komponenty. | Všechny spouštěcí komponenty operačního systému (zavaděč spouštění, jádro, ovladače jádra) musí být podepsané důvěryhodnými vydavateli. Defender for Cloud identifikovala nedůvěryhodné spouštěcí komponenty operačního systému na jednom nebo několika počítačích s Linuxem. Pokud chcete chránit počítače před potenciálně škodlivými komponentami, přidejte je do seznamu povolených nebo odeberte identifikované komponenty. | AuditIfNotExists, deaktivováno | 1.0.0-preview |
| [Preview]: Virtuální počítače s Linuxem by měly používat zabezpečené spouštění. | Pokud chcete chránit před instalací rootkitů a spouštěcích sad založených na malwaru, povolte zabezpečené spouštění na podporovaných virtuálních počítačích s Linuxem. Zabezpečené spouštění zajišťuje, aby běžely jenom podepsané operační systémy a ovladače. Toto posouzení platí jenom pro virtuální počítače s Linuxem, které mají nainstalovaného agenta Azure Monitor. | AuditIfNotExists, deaktivováno | 1.0.0-preview |
| [Preview]: Počítače by měly mít uzavřené porty, které by mohly vystavit vektory útoku. | Azure podmínky použití zakazují používání Azure služeb způsobem, který by mohl poškodit, zakázat, přetížit nebo narušit jakýkoli Microsoft server nebo síť. Vystavené porty identifikované tímto doporučením musí být pro vaše trvalé zabezpečení uzavřeny. Pro každý identifikovaný port doporučení také poskytuje vysvětlení potenciální hrozby. | AuditIfNotExists, deaktivováno | 1.0.0-preview |
| [Preview]: Na Windows podporovaných virtuálních počítačích by mělo být povolené zabezpečené spouštění | Povolte zabezpečené spouštění na podporovaných Windows virtuálních počítačích, abyste snížili riziko škodlivých a neoprávněných změn ve spouštěcím řetězu. Po povolení budou moci běžet jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. Toto posouzení platí pro důvěryhodné spuštění a důvěrné Windows virtuálních počítačů. | Audit, deaktivováno | 4.0.0-preview |
| [Preview]: Stav ověření identity hosta virtuálních počítačů by měl být v pořádku. | Ověření identity hosta se provádí odesláním důvěryhodného protokolu (TCGLog) na server ověření identity. Server používá tyto protokoly k určení důvěryhodnosti spouštěcích komponent. Toto posouzení je určeno ke zjištění ohrožení spouštěcího řetězce, což může být důsledkem infekce bootkitu nebo rootkitu. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním, které mají nainstalované rozšíření Ověření hosta. | AuditIfNotExists, deaktivováno | 1.0.0-preview |
| [Preview]: Virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích. | Povolte virtuální zařízení TPM na podporovaných virtuálních počítačích, abyste usnadnili měřené spouštění a další funkce zabezpečení operačního systému, které vyžadují čip TPM. Po povolení je možné virtuální počítač vTPM použít k otestování integrity spouštění. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním. | Audit, deaktivováno | 2.0.0-preview |
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. cenová úroveň standardu Azure Security Center zahrnuje kontrolu ohrožení zabezpečení vašich virtuálních počítačů bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš permissivní. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, deaktivováno | 3.0.0 |
| koncové body API v Azure API Management by se měly ověřovat | Koncové body rozhraní API publikované v rámci Azure API Management by měly vynutit ověřování, aby se minimalizovalo bezpečnostní riziko. Mechanismy ověřování se někdy implementují nesprávně nebo chybí. To umožňuje útočníkům zneužít chyby implementace a přistupovat k datům. Další informace o hrozbě rozhraní API OWASP pro poškozené ověřování uživatelů najdete tady: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, deaktivováno | 1.0.1 |
| koncové body API, které se nepoužívají, by se měly zakázat a odebrat ze služby Azure API Management | Osvědčeným postupem zabezpečení jsou koncové body rozhraní API, které neobdržely provoz po dobu 30 dnů, považovány za nepoužité a měly by se odebrat ze služby Azure API Management. Udržování nepoužívaných koncových bodů rozhraní API může představovat bezpečnostní riziko pro vaši organizaci. Můžou se jednat o rozhraní API, která by měla být ze služby Azure API Management zastaralá, ale pravděpodobně byla omylem aktivní. Tato rozhraní API obvykle nedostávají nejaktuálnější pokrytí zabezpečení. | AuditIfNotExists, deaktivováno | 1.0.1 |
| Přiřaďte identitu přiřazenou systémem k SQL Virtual Machines | Přiřaďte identitu přiřazenou systémem ve velkém měřítku Windows virtuálním počítačům SQL. | "DeployIfNotExists", zakázáno | 1.0.0 |
| Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, deaktivováno | 2.0.1 |
| Azure ochrana před útoky DDoS by měla být povolená | Ochrana před útoky DDoS by měla být povolená pro všechny virtuální sítě s podsítí, která je součástí aplikační brány s veřejnou IP adresou. | AuditIfNotExists, deaktivováno | 3.0.1 |
| Azure Defender pro App Service by měla být povolená | Azure Defender pro Službu App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, deaktivováno | 1.0.3 |
| Azure Defender pro servery Azure SQL Database by měly být povolené | Azure Defender pro SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, deaktivováno | 1.0.2 |
| Azure Defender pro Key Vault by měla být povolená | Azure Defender pro Key Vault poskytuje další vrstvu ochrany a bezpečnostních informací tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům key vault nebo jejich zneužití. | AuditIfNotExists, deaktivováno | 1.0.3 |
| Azure Defender pro opensourcové relační databáze by měly být povolené | Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Další informace o možnostech Azure Defender pro opensourcové relační databáze najdete v https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolením tohoto plánu se budou účtovat poplatky za ochranu opensourcových relačních databází. Další informace o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, deaktivováno | 1.0.0 |
| Azure Defender pro Resource Manager by se mělo povolit | Azure Defender pro Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Další informace o možnostech Azure Defender pro Resource Manager najdete v https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defender se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, deaktivováno | 1.0.0 |
| Azure Defender pro servery by měly být povolené | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, deaktivováno | 1.0.3 |
| Azure Defender pro servery SQL na počítačích by měly být povolené | Azure Defender pro SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, deaktivováno | 1.0.2 |
| Azure Defender pro SQL by měly být povolené pro nechráněné flexibilní servery MySQL | Audit flexibilních serverů MySQL bez Advanced Data Security | AuditIfNotExists, deaktivováno | 1.0.0 |
| Azure Defender pro SQL by měly být povolené pro nechráněné flexibilní servery PostgreSQL | Audit flexibilních serverů PostgreSQL bez Advanced Data Security | AuditIfNotExists, deaktivováno | 1.0.0 |
| Azure image kontejnerů registru by měly mít vyřešené chyby zabezpečení (s využitím Microsoft Defender Správa zranitelností) | Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení a zajistit bezpečné použití imagí před nasazením. | AuditIfNotExists, deaktivováno | 1.0.1 |
| Azure spuštěné image kontejnerů by měly mít vyřešené chyby zabezpečení (s využitím Microsoft Defender Správa zranitelností) | Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy. | AuditIfNotExists, deaktivováno | 1.0.1 |
| Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat | Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Rozšíření ChangeTracking by mělo být nainstalované ve škálovacích sadách virtuálních počítačů s Linuxem. | Nainstalujte rozšíření ChangeTracking ve škálovacích sadách virtuálních počítačů s Linuxem, abyste povolili monitorování integrity souborů (FIM) v Azure Security Center. FIM zkoumá soubory operačního systému, Windows registry, aplikační software, systémové soubory Linuxu a další změny, které by mohly naznačovat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, deaktivováno | 2.0.1 |
| rozšíření ChangeTracking by se mělo nainstalovat do škálovacích sad virtuálních počítačů Windows | Nainstalujte rozšíření ChangeTracking na Windows škálovací sady virtuálních počítačů, abyste povolili monitorování integrity souborů (FIM) v Azure Security Center. FIM zkoumá soubory operačního systému, Windows registry, aplikační software, systémové soubory Linuxu a další změny, které by mohly naznačovat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, deaktivováno | 2.0.1 |
| Instance rolí Cloud Services (rozšířená podpora) by měly být bezpečně nakonfigurované. | Chraňte instance rolí cloudové služby (rozšířená podpora) před útoky tím, že zajistíte, že se nezomení na žádná ohrožení zabezpečení operačního systému. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Instance rolí Cloud Services (rozšířená podpora) by měly mít nainstalované aktualizace systému. | Zabezpečte instance rolí cloudových služeb (rozšířená podpora) tím, že zajistíte, aby na nich byly nainstalované nejnovější aktualizace zabezpečení a důležité aktualizace. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Konfigurování Advanced Threat Protection povolené na flexibilních serverech Azure database for MySQL | Povolte Advanced Threat Protection na flexibilních serverech Azure database for MySQL a detekujte neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | "DeployIfNotExists", zakázáno | 1.0.0 |
| Konfigurování Advanced Threat Protection povolené na flexibilních serverech Azure pro flexibilní servery PostgreSQL | Povolte Advanced Threat Protection na flexibilních serverech Azure database for PostgreSQL, abyste zjistili neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | "DeployIfNotExists", zakázáno | 1.1.0 |
| Konfigurujte SQL servery s podporou arc, aby automaticky nainstalovaly agenta Azure Monitor | Automatizujte nasazení rozšíření agenta Azure Monitor na sql servery s podporou služby Windows Arc. Další informace: https://aka.ms/AMAOverview. | "DeployIfNotExists", zakázáno | 1.3.0 |
| Konfigurujte SQL servery s podporou arc a nainstalujte Microsoft Defender pro SQL | Nakonfigurujte sql servery s podporou Windows Arc tak, aby automaticky nainstalovaly Microsoft Defender pro agenta SQL. Microsoft Defender pro SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). | "DeployIfNotExists", zakázáno | 1.2.0 |
| Konfigurujte SQL servery s podporou arc, aby automaticky nainstalovaly Microsoft Defender pro SQL a DCR s pracovním prostorem Log Analytics | Microsoft Defender pro SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků, pravidlo shromažďování dat a Log Analytics pracovní prostor ve stejné oblasti jako počítač. | "DeployIfNotExists", zakázáno | 1.6.0 |
| Konfigurujte SQL servery s podporou arc tak, aby automaticky nainstalovaly Microsoft Defender pro SQL a DCR s uživatelsky definovaným pracovním prostorem LA | Microsoft Defender pro SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků a pravidlo shromažďování dat ve stejné oblasti jako uživatelem definovaný pracovní prostor Log Analytics. | "DeployIfNotExists", zakázáno | 1.8.0 |
| Konfigurujte sql servery s podporou arc s přidružením pravidla shromažďování dat k Microsoft Defender pro SQL DCR | Nakonfigurujte přidružení mezi SQL Servery s podporou arc a Microsoft Defender pro SQL DCR. Odstraněním tohoto přidružení dojde k narušení detekce ohrožení zabezpečení pro tyto SQL Servery s podporou arc. | "DeployIfNotExists", zakázáno | 1.1.0 |
| Konfigurujte sql servery s podporou arc s přidružením pravidla shromažďování dat k Microsoft Defender pro uživatelem definované dcR SQL | Nakonfigurujte přidružení mezi SQL servery s podporou arc a Microsoft Defender pro uživatelem definovaný řadič domény SQL. Odstraněním tohoto přidružení dojde k narušení detekce ohrožení zabezpečení pro tyto SQL Servery s podporou arc. | "DeployIfNotExists", zakázáno | 1.3.0 |
| Konfigurování Azure Defender pro povolení služby App Service | Azure Defender pro Službu App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | "DeployIfNotExists", zakázáno | 1.0.1 |
| Konfigurování Azure Defender pro povolení Azure SQL databáze | Azure Defender pro SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | "DeployIfNotExists", zakázáno | 1.0.1 |
| Konfigurovat Azure Defender pro opensourcové relační databáze, které se mají povolit | Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Další informace o možnostech Azure Defender pro opensourcové relační databáze najdete v https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolením tohoto plánu se budou účtovat poplatky za ochranu opensourcových relačních databází. Další informace o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center | "DeployIfNotExists", zakázáno | 1.0.0 |
| Konfigurování Azure Defender pro povolení Resource Manager | Azure Defender pro Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Další informace o možnostech Azure Defender pro Resource Manager najdete v https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defender se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | "DeployIfNotExists", zakázáno | 1.1.0 |
| Konfigurovat Azure Defender pro servery | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | "DeployIfNotExists", zakázáno | 1.0.1 |
| Konfigurování Azure Defender pro SERVERY SQL na počítačích, které se mají povolit | Azure Defender pro SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly znamenat hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | "DeployIfNotExists", zakázáno | 1.0.1 |
| Konfigurovat základní Microsoft Defender pro úložiště (jenom monitorování aktivit) | Microsoft Defender pro úložiště poskytuje Azure nativní detekci hrozeb pro účty úložiště. Tato zásada umožňuje základní funkce (monitorování aktivit). K úplné ochraně, včetně vyhledávání malwaru a zjišťování citlivých dat, použijte aka.ms/DFStoragePolicy. Aktualizace hlavní verze: PerTransaction se už aktuálně nepodporuje pro nové zapnutí po 5. únoru 2025. Stávající účty, které ho používají, zůstanou podporované. Další informace: aka.ms/DF-Storage/NewPlanMigration. | "DeployIfNotExists", zakázáno | 2.0.0 |
| Konfigurace rozšíření ChangeTracking pro počítače s Linuxem Arc | Nakonfigurujte počítače s Linuxem Arc tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby se povolilo monitorování integrity souborů (FIM) v Azure Security Center. FIM zkoumá soubory operačního systému, Windows registry, aplikační software, systémové soubory Linuxu a další změny, které by mohly naznačovat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitor Agent. | "DeployIfNotExists", zakázáno | 2.1.0 |
| Konfigurace rozšíření ChangeTracking pro škálovací sady virtuálních počítačů s Linuxem | Nakonfigurujte škálovací sady virtuálních počítačů s Linuxem tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) v Azure Security Center. FIM zkoumá soubory operačního systému, Windows registry, aplikační software, systémové soubory Linuxu a další změny, které by mohly naznačovat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitor Agent. | "DeployIfNotExists", zakázáno | 2.1.0 |
| Konfigurace rozšíření ChangeTracking pro virtuální počítače s Linuxem | Nakonfigurujte virtuální počítače s Linuxem tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby se povolilo monitorování integrity souborů (FIM) v Azure Security Center. FIM zkoumá soubory operačního systému, Windows registry, aplikační software, systémové soubory Linuxu a další změny, které by mohly naznačovat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitor Agent. | "DeployIfNotExists", zakázáno | 2.2.0 |
| Konfigurování rozšíření ChangeTracking pro počítače Windows Arc | Nakonfigurujte Windows počítače Arc tak, aby automaticky nainstalovaly rozšíření ChangeTracking a povolily tak monitorování integrity souborů (FIM) v Azure Security Center. FIM zkoumá soubory operačního systému, Windows registry, aplikační software, systémové soubory Linuxu a další změny, které by mohly naznačovat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitor Agent. | "DeployIfNotExists", zakázáno | 2.1.0 |
| Konfigurujte rozšíření ChangeTracking pro škálovací sady virtuálních počítačů Windows | Nakonfigurujte Windows škálovací sady virtuálních počítačů tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) v Azure Security Center. FIM zkoumá soubory operačního systému, Windows registry, aplikační software, systémové soubory Linuxu a další změny, které by mohly naznačovat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitor Agent. | "DeployIfNotExists", zakázáno | 2.1.0 |
| Konfigurování rozšíření ChangeTracking pro virtuální počítače Windows | Nakonfigurujte Windows virtuální počítače tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby v Azure Security Center povolily monitorování integrity souborů (FIM). FIM zkoumá soubory operačního systému, Windows registry, aplikační software, systémové soubory Linuxu a další změny, které by mohly naznačovat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitor Agent. | "DeployIfNotExists", zakázáno | 2.2.0 |
| Konfigurace počítačů pro příjem zprostředkovatele posouzení ohrožení zabezpečení | Azure Defender zahrnuje kontrolu ohrožení zabezpečení vašich počítačů bez dalších poplatků. Nepotřebujete licenci Qualys ani účet Qualys – všechno se bezproblémově zpracovává uvnitř security Center. Když tuto zásadu povolíte, Azure Defender automaticky nasadí poskytovatele posouzení ohrožení zabezpečení Qualys do všech podporovaných počítačů, které ho ještě nemají nainstalované. | "DeployIfNotExists", zakázáno | 4.0.0 |
| Konfigurujte plán Microsoft Defender CSPM | Defender správa stavu cloudového zabezpečení (CSPM) poskytuje vylepšené možnosti stavu a nový graf inteligentního zabezpečení cloudu, který pomáhá identifikovat, určit prioritu a snížit riziko. Defender CSPM je k dispozici kromě bezplatných základních funkcí zabezpečení, které jsou ve výchozím nastavení zapnuté v Defender for Cloud. | "DeployIfNotExists", zakázáno | 1.0.0 |
| Konfigurovat microsoft Defender CSPM tak, aby byl povolený | Defender správa stavu cloudového zabezpečení (CSPM) poskytuje vylepšené možnosti stavu a nový graf inteligentního zabezpečení cloudu, který pomáhá identifikovat, určit prioritu a snížit riziko. Defender CSPM je k dispozici kromě bezplatných základních funkcí zabezpečení, které jsou ve výchozím nastavení zapnuté v Defender for Cloud. | "DeployIfNotExists", zakázáno | 1.0.2 |
| Konfigurování Microsoft Defender pro povolení Azure Cosmos DB | Microsoft Defender pro Azure Cosmos DB je Azure nativní vrstva zabezpečení, která zjišťuje pokusy o zneužití databází ve vašich účtech Azure Cosmos DB. Defender pro Azure Cosmos DB detekuje potenciální injektáže SQL, známé špatné aktéry na základě analýzy hrozeb Microsoft hrozeb, vzorů podezřelého přístupu a potenciálního zneužití databáze prostřednictvím ohrožených identit nebo škodlivých insiderů. | "DeployIfNotExists", zakázáno | 1.0.0 |
| Konfigurování Microsoft Defender pro plán Kontejnerů | Nové funkce se průběžně přidávají do Defender pro plán Kontejnerů, což může vyžadovat explicitní povolení uživatele. Pomocí této zásady se ujistěte, že budou povolené všechny nové funkce. | "DeployIfNotExists", zakázáno | 1.5.0 |
| Konfigurovat Microsoft Defender pro kontejnery | Microsoft Defender pro kontejnery poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše Azure, hybridní a multicloudová prostředí Kubernetes. | "DeployIfNotExists", zakázáno | 1.0.1 |
| Konfigurování nastavení integrace Microsoft Defender for Endpoint s Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | Nakonfiguruje nastavení integrace Microsoft Defender for Endpoint v rámci Microsoft Defender for Cloud (označované také jako WDATP_EXCLUDE_LINUX_...) pro povolení automatického zřizování MDE pro servery s Linuxem. Aby se toto nastavení použilo, musí být zapnuté nastavení WDATP. Další informace najdete tady: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | "DeployIfNotExists", zakázáno | 1.0.0 |
| Konfigurování nastavení integrace Microsoft Defender for Endpoint s Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) | Nakonfiguruje nastavení integrace Microsoft Defender for Endpoint v rámci Microsoft Defender for Cloud (označované také jako WDATP_UNIFIED_SOLUTION) pro povolení automatického zřizování sjednoceného agenta MDE pro Windows Server 2012R2 a 2016. Aby se toto nastavení použilo, musí být zapnuté nastavení WDATP. Další informace najdete tady: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | "DeployIfNotExists", zakázáno | 1.0.0 |
| Konfigurujte nastavení integrace Microsoft Defender for Endpoint pomocí Microsoft Defender for Cloud (WDATP) | Nakonfiguruje nastavení integrace Microsoft Defender for Endpoint v rámci Microsoft Defender for Cloud (označované také jako WDATP) pro Windows počítače nižší úrovně, které jsou nasazené do MDE prostřednictvím MMA, a automatické zřizování MDE v Windows Server 2019 , Windows Virtual Desktop a vyšší. Aby ostatní nastavení (WDATP_UNIFIED atd.) fungovala, musí být zapnutá. Další informace najdete tady: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | "DeployIfNotExists", zakázáno | 1.0.0 |
| Konfigurujte Microsoft Defender pro plán Key Vault | Microsoft Defender pro Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům key vault nebo jejich zneužití. | "DeployIfNotExists", zakázáno | 1.1.0 |
| Konfigurování Microsoft Defender pro plán Servery | Do Defender pro servery se neustále přidávají nové funkce, které můžou vyžadovat explicitní povolení uživatele. Pomocí této zásady se ujistěte, že budou povolené všechny nové funkce. | "DeployIfNotExists", zakázáno | 1.0.0 |
| Konfigurujte Microsoft Defender pro plán Servery (P1 NEBO P2) | Zajišťuje, že je vybraná Microsoft Defender pro podplán serverů (P1 nebo P2) povolená na úrovni předplatného. Tato zásada podporuje dynamický výběr prostřednictvím parametrů a vynucuje nasazení, pokud ještě není nakonfigurované. | "DeployIfNotExists", zakázáno | 1.1.0 |
| Konfigurování Microsoft Defender sql pro pracovní prostory Synapse | Povolte Microsoft Defender pro SQL v pracovních prostorech Azure Synapse a detekujte neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím SQL nebo jejich zneužití. | "DeployIfNotExists", zakázáno | 1.0.0 |
| Konfigurování Microsoft Defender pro povolení úložiště | Microsoft Defender pro úložiště je Azure nativní vrstva inteligentních funkcí zabezpečení, která detekuje potenciální hrozby pro vaše účty úložiště. Tato zásada povolí všechny Defender pro možnosti úložiště; Monitorování aktivit, kontrola malwaru a detekce citlivých dat. Další informace o Defender funkcích a výhodách úložiště najdete v aka.ms/DefenderForStorage. | "DeployIfNotExists", zakázáno | 1.5.0 |
| Konfigurování ochrany Microsoft Defender před hrozbami pro služby AI | Nové funkce se neustále přidávají do ochrany před hrozbami pro služby AI, což může vyžadovat explicitní povolení uživatele. Pomocí této zásady se ujistěte, že budou povolené všechny nové funkce. | "DeployIfNotExists", zakázáno | 1.1.0 |
| Konfigurování Virtual Machines SQL pro automatickou instalaci agenta Azure Monitor | Automatizujte nasazení rozšíření agenta Azure Monitor na Virtual Machines SQL Windows. Další informace: https://aka.ms/AMAOverview. | "DeployIfNotExists", zakázáno | 1.6.0 |
| Konfigurujte Virtual Machines SQL pro automatickou instalaci Microsoft Defender pro SQL | Nakonfigurujte Windows SQL Virtual Machines tak, aby automaticky nainstaloval Microsoft Defender pro rozšíření SQL. Microsoft Defender pro SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). | "DeployIfNotExists", zakázáno | 1.6.0 |
| Konfigurujte Virtual Machines SQL pro automatickou instalaci Microsoft Defender pro SQL a DCR s pracovním prostorem Log Analytics | Microsoft Defender pro SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků, pravidlo shromažďování dat a Log Analytics pracovní prostor ve stejné oblasti jako počítač. | "DeployIfNotExists", zakázáno | 1.9.0 |
| Konfigurujte Virtual Machines SQL tak, aby automaticky nainstaloval Microsoft Defender pro SQL a DCR s uživatelsky definovaným pracovním prostorem LA | Microsoft Defender pro SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků a pravidlo shromažďování dat ve stejné oblasti jako uživatelem definovaný pracovní prostor Log Analytics. | "DeployIfNotExists", zakázáno | 1.10.0 |
| Konfigurujte Virtual Machines SQL pro automatickou instalaci Microsoft Defender pro rozšíření SQL | Nakonfigurujte Windows SQL Virtual Machines tak, aby automaticky nainstaloval Microsoft Defender pro rozšíření SQL. Microsoft Defender pro SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). | "DeployIfNotExists", zakázáno | 1.0.0 |
| Konfigurujte Microsoft Defender pro pracovní prostor SQL Log Analytics | Microsoft Defender pro SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků a Log Analytics pracovní prostor ve stejné oblasti jako počítač. | "DeployIfNotExists", zakázáno | 1.5.0 |
| Vytvoření a přiřazení předdefinované spravované identity přiřazené uživatelem | Vytvoření a přiřazení předdefinované spravované identity přiřazené uživatelem ve velkém měřítku virtuálním počítačům SQL | AuditPokudNeexistuje, NasaditPokudNeexistuje, Deaktivováno | 1.8.0 |
| Deploy – Konfigurace pravidel potlačení pro výstrahy Azure Security Center | Potlačte Azure Security Center výstrahy, abyste snížili únavu výstrah nasazením pravidel potlačení ve skupině pro správu nebo předplatném. | deployIfNotExists | 1.0.0 |
| Deploy export do centra událostí jako důvěryhodná služba pro data Microsoft Defender for Cloud | Povolte export do centra událostí jako důvěryhodnou službu Microsoft Defender for Cloud dat. Tato zásada nasadí export do centra událostí jako konfiguraci důvěryhodné služby s vašimi podmínkami a cílovým centrem událostí v přiřazeném oboru. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | "DeployIfNotExists", zakázáno | 1.0.0 |
| Deploy export do centra událostí pro data Microsoft Defender for Cloud | Povolte export do centra událostí Microsoft Defender for Cloud dat. Tato zásada nasadí export do konfigurace centra událostí s vašimi podmínkami a cílovým centrem událostí v přiřazeném oboru. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 4.2.0 |
| Deploy export do pracovního prostoru Log Analytics pro data Microsoft Defender for Cloud | Povolte export do Log Analytics pracovního prostoru dat Microsoft Defender for Cloud. Tato zásada nasadí export do Log Analytics konfigurace pracovního prostoru s vašimi podmínkami a cílovým pracovním prostorem v přiřazeném oboru. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 4.1.0 |
| Deploy Workflow Automation for Microsoft Defender for Cloud alerts | Povolte automatizaci výstrah Microsoft Defender for Cloud. Tato zásada nasadí automatizaci pracovního postupu s vašimi podmínkami a triggery pro přiřazený obor. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation for Microsoft Defender for Cloud recommendations | Povolte automatizaci doporučení Microsoft Defender for Cloud. Tato zásada nasadí automatizaci pracovního postupu s vašimi podmínkami a triggery pro přiřazený obor. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation pro dodržování právních předpisů Microsoft Defender for Cloud | Povolte automatizaci Microsoft Defender for Cloud dodržování právních předpisů. Tato zásada nasadí automatizaci pracovního postupu s vašimi podmínkami a triggery pro přiřazený obor. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 5.0.1 |
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, deaktivováno | 1.2.0 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, deaktivováno | 2.1.0 |
| Enable Microsoft Defender for Cloud ve vašem předplatném | Identifikuje existující předplatná, která nejsou monitorována Microsoft Defender for Cloud, a chrání je pomocí bezplatných funkcí Defender for Cloud. Předplatná, která už jsou monitorovaná, budou považována za vyhovující. Pokud chcete zaregistrovat nově vytvořená předplatná, otevřete kartu dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 1.0.1 |
| Povolte službě Security Center automatické zřizování agenta Log Analytics ve vašich předplatných, abyste mohli monitorovat a shromažďovat data zabezpečení pomocí vlastního pracovního prostoru. | "DeployIfNotExists", zakázáno | 1.0.0 | |
| Automatické zřizování agenta Log Analytics ve vašich předplatných s výchozím pracovním prostorem. | Povolte službě Security Center automatické zřizování agenta Log Analytics ve vašich předplatných za účelem monitorování a shromažďování dat zabezpečení pomocí výchozího pracovního prostoru ASC. | "DeployIfNotExists", zakázáno | 1.0.0 |
| Povolení ochrany před hrozbami pro úlohy AI | Microsoft ochranu před hrozbami pro úlohy AI poskytuje kontextové výstrahy zabezpečení založené na důkazech zaměřené na ochranu aplikací využívajících domácí generační AI. | "DeployIfNotExists", zakázáno | 1.0.0 |
| účty Účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, deaktivováno | 1.0.0 |
| účty Účty s oprávněními ke čtení Azure prostředků by se měly odebrat | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, deaktivováno | 1.0.0 |
| účty Účty s oprávněními k zápisu k prostředkům Azure by se měly odebrat | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, jako je třeba ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, deaktivováno | 1.0.3 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, deaktivováno | 3.0.0 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | Upgradujte cluster Služby Kubernetes na novější verzi Kubernetes, abyste chránili před známými ohroženími zabezpečení ve vaší aktuální verzi Kubernetes. Chyba zabezpečení CVE-2019-9946 byla opravena ve verzi Kubernetes 1.11.9+, 1.12.7+, 1.13.5 a 1.14.0+ | Audit, deaktivováno | 1.0.2 |
| Log Analytics agent by se měl nainstalovat do instancí rolí Cloud Services (rozšířená podpora | Security Center shromažďuje data z instancí rolí Cloud Services (rozšířená podpora) za účelem monitorování ohrožení zabezpečení a hrozeb. | AuditIfNotExists, deaktivováno | 2.0.0 |
| Počítače by měly mít vyřešené tajné závěry. | Audituje virtuální počítače, aby zjistil, jestli obsahují tajné závěry z řešení pro kontrolu tajných kódů na vašich virtuálních počítačích. | AuditIfNotExists, deaktivováno | 1.0.2 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Možný přístup k síti za běhu (JIT) bude monitorován Azure Security Center jako doporučení. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Microsoft Defender CSPM by měly být povolené | Defender správa stavu cloudového zabezpečení (CSPM) poskytuje vylepšené možnosti stavu a nový graf inteligentního zabezpečení cloudu, který pomáhá identifikovat, určit prioritu a snížit riziko. Defender CSPM je k dispozici kromě bezplatných základních funkcí zabezpečení, které jsou ve výchozím nastavení zapnuté v Defender for Cloud. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Microsoft Defender pro AI Služby by měla být povolená | Auditujte, abyste zjistili, jestli je pro předplatné povolené Microsoft Defender pro AI Služby. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Microsoft Defender pro rozhraní API by měla být povolená | Microsoft Defender pro rozhraní API přináší nové zjišťování, ochranu, detekci a pokrytí odpovědí, které monitorují běžné útoky založené na rozhraní API a chybné konfigurace zabezpečení. | AuditIfNotExists, deaktivováno | 1.0.3 |
| Microsoft Defender pro Azure Cosmos DB by měla být povolená | Microsoft Defender pro Azure Cosmos DB je Azure nativní vrstva zabezpečení, která zjišťuje pokusy o zneužití databází ve vašich účtech Azure Cosmos DB. Defender pro Azure Cosmos DB detekuje potenciální injektáže SQL, známé špatné aktéry na základě analýzy hrozeb Microsoft hrozeb, vzorů podezřelého přístupu a potenciálního zneužití databáze prostřednictvím ohrožených identit nebo škodlivých insiderů. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Microsoft Defender pro kontejnery by měly být povolené | Microsoft Defender pro kontejnery poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše Azure, hybridní a multicloudová prostředí Kubernetes. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Microsoft Defender pro SQL by měly být povolené pro nechráněné pracovní prostory Synapse | Povolte Defender pro SQL k ochraně pracovních prostorů Synapse. Defender pro SQL monitoruje synapse SQL neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Microsoft Defender pro úložiště by se mělo povolit | Microsoft Defender pro službu Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nová Defender pro plán úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, deaktivováno | 3.0.0 |
| Role-Based Access Control (RBAC) by se měly používat ve službách Kubernetes Services | Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte ke správě oprávnění v clusterech Kubernetes Service Role-Based Access Control (RBAC) a nakonfigurujte příslušné zásady autorizace. | Audit, deaktivováno | 1.1.0 |
| Měli byste vybrat cenovou úroveň Security Center Standard. | Cenová úroveň Standard umožňuje detekci hrozeb pro sítě a virtuální počítače, poskytování analýzy hrozeb, detekce anomálií a analýzy chování v Azure Security Center | Audit, deaktivováno | 1.1.0 |
| Nastavení předplatných pro přechod na alternativní řešení posouzení ohrožení zabezpečení | Microsoft Defender pro cloud nabízí kontrolu ohrožení zabezpečení vašich počítačů bez dalších poplatků. Povolení této zásady způsobí, že Defender for Cloud automaticky rozšíří závěry z integrovaného řešení pro správu ohrožení zabezpečení Microsoft Defender do všech podporovaných počítačů. | "DeployIfNotExists", zakázáno | 1.0.0-preview |
| Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, deaktivováno | 4.1.0 |
| Automatické zřizování cílené na SQL server by mělo být povolené pro sql servery v plánu počítačů. | Pokud chcete zajistit ochranu virtuálních počítačů SQL a SQL Serverů s podporou arc, ujistěte se, že je agent monitorování sql cílený na sql Azure nakonfigurovaný tak, aby se automaticky nasazoval. To je také nezbytné, pokud jste dříve nakonfigurovali automatické zřizování agenta monitorování Microsoft, protože tato komponenta je zastaralá. Víc se uč: https://aka.ms/SQLAMAMigration | AuditIfNotExists, deaktivováno | 1.0.0 |
| Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích | Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrná oprávnění a nechráněná citlivá data. Řešení nalezených ohrožení zabezpečení může výrazně zlepšit stav zabezpečení databáze. | AuditIfNotExists, deaktivováno | 1.0.0 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu Access Control seznamu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, deaktivováno | 1.0.1 |
| Aktualizace systému by se měly nainstalovat na vaše počítače (s využitím Update Center). | V počítačích chybí systém, zabezpečení a důležité aktualizace. Aktualizace softwaru často zahrnují kritické opravy bezpečnostních otvorů. Takové díry se často využívají při malwarových útocích, takže je důležité udržovat software aktualizovaný. Pokud chcete nainstalovat všechny nevyhrazené opravy a zabezpečit počítače, postupujte podle kroků pro nápravu. | AuditIfNotExists, deaktivováno | 1.0.1 |
| K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. | Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. | AuditIfNotExists, deaktivováno | 3.0.0 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Azure virtuální počítače v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, deaktivováno | 1.0.1 |
Další kroky
V tomto článku jste se dozvěděli o definicích zásad zabezpečení Azure Policy v Defender for Cloud. Další informace o iniciativách, zásadách a jejich vztahu k doporučením Defender for Cloud najdete v tématu Co jsou zásady zabezpečení, iniciativy a doporučení?.