Integrierte Azure Policy-Definitionen für Microsoft Defender für Cloud
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Microsoft Defender für Cloud. Die folgenden Gruppierungen von Richtliniendefinitionen sind verfügbar:
- In der Gruppe Initiativen sind die Azure Policy-Initiativendefinitionen in der Kategorie „Defender für Cloud“ aufgeführt.
- In der Gruppe Standardinitiative sind alle Azure Policy-Definitionen aufgeführt, die der Standardinitiative von Defender for Cloud (Microsoft Cloud Security Benchmark) angehören. Diese von Microsoft erstellte, weit verbreitete Benchmark basiert auf Kontrollen des Center for Internet Security (CIS) und des National Institute of Standards and Technology (NIST) und konzentriert sich auf cloudzentrierte Sicherheit.
- In der Gruppe Kategorie sind alle Azure Policy-Definitionen in der Kategorie „Defender für Cloud“ aufgeführt.
Weitere Informationen zu Sicherheitsrichtlinien finden Sie unter Arbeiten mit Sicherheitsrichtlinien. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Microsoft Defender für Cloud-Initiativen
Informationen zu den integrierten Initiativen, die von Defender für Cloud überwacht werden, finden Sie in der folgenden Tabelle:
Name | BESCHREIBUNG | Richtlinien | Version |
---|---|---|---|
[Vorschau]: Bereitstellen des Agents für Microsoft Defender für Endpunkt | Stellen Sie den Agent für Microsoft Defender für Endpunkt auf den entsprechenden Images bereit. | 4 | 1.0.0-preview |
Advanced Threat Protection für die Aktivierung in relationalen Open-Source-Datenbanken konfigurieren | Aktivieren Sie Advanced Threat Protection für Ihre relationalen Open-Source-Datenbanken außerhalb des Basic-Tarifs, um anomale Aktivitäten zu ermitteln, die auf ungewöhnliche und potenziell schädliche Zugriffs- oder Exploitversuche für Datenbanken hinweisen. Siehe https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
Konfigurieren von Azure Defender für die Aktivierung auf SQL Servern und SQL Managed Instances-Instanzen | Aktivieren Sie Azure Defender für SQL Server und SQL Managed Instance-Instanzen, um anomale Aktivitäten zu erkennen, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder sie missbräuchlich zu verwenden. | 3 | 3.0.0 |
Konfigurieren von Microsoft Defender für Cloud-Plänen | Microsoft Defender für Cloud bietet von der Entwicklung bis zur Laufzeit umfassenden, cloudnativen Schutz in Multi-Cloud-Umgebungen. Verwenden Sie die Richtlinieninitiative, um Defender für Cloud-Pläne und Erweiterungen so zu konfigurieren, dass sie für ausgewählte Bereiche aktiviert werden. | 11 | 1.0.0 |
Konfigurieren der Aktivierung von Microsoft Defender für Datenbanken | Konfigurieren Sie Microsoft Defender für Datenbanken zum Schutz Ihrer Azure SQL Datenbanken, verwalteten Instanzen, relationalen Open-Source-Datenbanken und Cosmos DB. | 4 | 1.0.0 |
Konfigurieren mehrerer Integrationseinstellungen von Microsoft Defender für Endpunkt mit Microsoft Defender für Cloud | Konfigurieren Sie die Integrationseinstellungen von Microsoft Defender für Endpunkt mit Microsoft Defender für Cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION usw.). Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | 3 | 1.0.0 |
Konfigurieren von SQL-VMs und SQL-Servern mit Azure Arc-Unterstützung zur Installation von Microsoft Defender für SQL und Azure Monitor-Agent (AMA) mit einem Log Analytics (LA)-Arbeitsbereich | Microsoft Defender for SQL erfasst Ereignisse von den Agents und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellt eine Ressourcengruppe, eine Datensammlungsregel und einen Log Analytics-Arbeitsbereich in der gleichen Region, in der sich der Computer befindet. | 9 | 1.3.0 |
Konfigurieren von SQL-VMs und SQL-Servern mit Azure Arc-Unterstützung zur Installation von Microsoft Defender für SQL und Azure Monitor-Agent (AMA) mit einem benutzerdefinierten Log Analytics (LA)-Arbeitsbereich | Microsoft Defender for SQL erfasst Ereignisse von den Agents und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellt eine Ressourcengruppe und eine Datensammlungsregel in der gleichen Region, in der sich der benutzerdefinierte Log Analytics-Arbeitsbereich befindet. | 8 | 1.2.0 |
Microsoft-Benchmark für Cloudsicherheit | Die Initiative „Microsoft-Benchmark für Cloudsicherheit“ stellt die Richtlinien und Steuerelemente dar, die die in „Microsoft-Benchmark für Cloudsicherheit“ definierten Sicherheitsempfehlungen implementieren; siehe https://aka.ms/azsecbm. Diese dient auch als Standardrichtlinieninitiative für Microsoft Defender für Cloud. Sie können diese Initiative direkt zuweisen oder Ihre Richtlinien und Konformitätsergebnisse in Microsoft Defender für Cloud verwalten. | 228 |
Standardinitiative von Defender for Cloud (Microsoft Cloud Security Benchmark)
Informationen zu den integrierten Richtlinien, die von Defender für Cloud überwacht werden, finden Sie in der folgenden Tabelle:
Richtlinienname (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: Gesamten Internetdatenverkehr über Ihre bereitgestellte Azure Firewall-Instanz leiten | Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt werden. Schützen Ihrer Subnetze vor möglichen Bedrohungen durch Einschränken des Zugriffs auf die Subnetze mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation | AuditIfNotExists, Disabled | 3.0.0-preview |
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. | Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
[Vorschau]: Für den flexiblen Azure PostgreSQL-Server sollte die Microsoft Entra Only-Authentifizierung aktiviert sein | Durch die Deaktivierung lokaler Authentifizierungsmethoden und die ausschließliche Zulassung der Microsoft Entra-Authentifizierung wird die Sicherheit verbessert, da sichergestellt wird, dass ausschließlich Microsoft Entra-Identitäten auf den flexiblen Azure PostgreSQL Server zugreifen können. | Audit, Disabled | 1.0.0-preview |
[Vorschau]: Azure Stack HCI-Server sollten über einheitlich durchgesetzte Anwendungssteuerungsrichtlinien verfügen | Wenden Sie mindestens die Microsoft WDAC-Basisrichtlinie im erzwungenen Modus auf allen Azure Stack HCI-Servern an. Angewendete WDAC (Windows Defender Application Control)-Richtlinien müssen auf allen Servern im selben Cluster einheitlich sein. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
[Vorschau]: Azure Stack HCI-Server sollten Anforderungen für gesicherte Kerne erfüllen | Stellen Sie sicher, dass alle Azure Stack HCI-Server die Anforderungen für gesicherte Kerne erfüllen. So aktivieren Sie die Anforderungen für Server mit gesicherten Kernen: 1. Wechseln Sie auf der Azure Stack HCI-Clusterseite zum Windows Admin Center, und wählen Sie „Verbinden“ aus. 2. Wechseln Sie zur Sicherheitserweiterung, und wählen Sie „Gesicherter Kern“ aus. 3. Wählen Sie eine beliebige Einstellung aus, die nicht aktiviert ist, und klicken Sie auf „Aktivieren“. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
[Vorschau]: Azure Stack HCI-Systeme sollten über verschlüsselte Volumes verfügen | Verwenden Sie BitLocker zum Verschlüsseln von Betriebssystem- und Datenvolumes auf Azure Stack HCI-Systemen. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
[Vorschau]: Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie auf unterstützten Linux-VMs die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Disabled | 6.0.0-preview |
[Vorschau]: Für unterstützte Linux-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie in unterstützten Linux-VM-Skalierungsgruppen die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VM-Skalierungsgruppen des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Disabled | 5.1.0-preview |
[Vorschau]: Für unterstützte Windows-VMs muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie auf unterstützten VMs die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Windows-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Disabled | 4.0.0-preview |
[Vorschau]: Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie in unterstützten VM-Skalierungsgruppen die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Windows-VM-Skalierungsgruppen des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Disabled | 3.1.0-preview |
[Vorschau]: Host- und VM-Netzwerke auf Azure Stack HCI-Systemen sollten geschützt sein | Schützen Sie Daten im Netzwerk der Azure Stack HCI-Hosts und in VM-Netzwerkverbindungen. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
[Vorschau]: Linux-VMs sollten nur signierte und vertrauenswürdige Startkomponenten verwenden | Alle Betriebssystem-Startkomponenten (Startladeprogramm, Kernel, Kerneltreiber) müssen von vertrauenswürdigen Herausgebern signiert werden. Defender für Cloud hat nicht vertrauenswürdige Betriebssystemstartkomponenten auf einem oder mehreren Ihrer Linux-Computer identifiziert. Um Ihre Computer vor potenziell schädlichen Komponenten zu schützen, fügen Sie sie Ihrer Positivliste hinzu, oder entfernen Sie die identifizierten Komponenten. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Linux installiert sein | Diese Richtlinie überwacht Azure Arc-Computer unter Linux, wenn die Log Analytics-Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 1.0.1-preview |
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Windows installiert sein | Diese Richtlinie überwacht Azure Arc-Computer unter Windows, wenn die Log Analytics-Erweiterung nicht installiert ist. | AuditIfNotExists, Disabled | 1.0.1-preview |
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Vorschau]: Für unterstützte Windows-VMs muss der sichere Neustart aktiviert sein | Die Aktivierung von „Sicherer Start“ auf unterstützten virtuellen Computern dient als Schutz vor schädlichen und nicht autorisierten Änderungen der Startkette. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. Diese Bewertung gilt für Windows-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | Audit, Disabled | 4.0.0-preview |
[Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein | Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 3.1.0-preview |
[Vorschau]: Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden | Aktivieren Sie ein virtuelles TPM-Gerät auf unterstützten virtuellen Computern, um die Nutzung von „Kontrollierter Start“ und anderen Sicherheitsfeatures des Betriebssystems zu ermöglichen, für die TPM erforderlich ist. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. Diese Bewertung gilt nur für vertrauenswürdige startfähige VMs. | Audit, Disabled | 2.0.0-preview |
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
Ein*e Microsoft Entra-Administrator*in sollte für MySQL-Server bereitgestellt werden | Überprüfen Sie die Einrichtung von Microsoft Entra-Administrator*innen für Ihren MySQL-Server, um die Microsoft Entra-Authentifizierung zu aktivieren. Die Microsoft Entra-Authentifizierung ermöglicht eine vereinfachte Berechtigungsverwaltung und eine zentralisierte Identitätsverwaltung von Datenbankbenutzer*innen und anderen Microsoft-Diensten. | AuditIfNotExists, Disabled | 1.1.1 |
Ein*e Microsoft Entra-Administrator*in sollte für PostgreSQL-Server bereitgestellt werden | Überprüfen Sie die Einrichtung von Microsoft Entra-Administrator*innen für Ihren PostgreSQL-Server, um die Microsoft Entra-Authentifizierung zu aktivieren. Die Microsoft Entra-Authentifizierung ermöglicht eine vereinfachte Berechtigungsverwaltung und eine zentralisierte Identitätsverwaltung von Datenbankbenutzer*innen und anderen Microsoft-Diensten. | AuditIfNotExists, Disabled | 1.0.1 |
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Disabled | 3.0.0 |
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
API-Endpunkte in Azure API Management sollten authentifiziert werden. | API-Endpunkte, die in Azure API Management veröffentlicht werden, sollten die Authentifizierung erzwingen, um das Sicherheitsrisiko zu minimieren. Authentifizierungsmechanismen werden manchmal falsch implementiert oder fehlen. Dies erlaubt Angreifern, Implementierungsfehler auszunutzen und auf Daten zuzugreifen. Weitere Informationen zur OWASP-API-Bedrohung für fehlerhafte Benutzerauthentifizierung finden Sie hier: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
Nicht verwendete API-Endpunkte sollten deaktiviert und aus dem Azure API Management-Dienst entfernt werden. | Als bewährte Sicherheitsmethode gelten API-Endpunkte, die 30 Tage lang keinen Datenverkehr empfangen haben, als ungenutzt und sollten aus dem Azure API Management-Dienst entfernt werden. Die Beibehaltung nicht verwendeter API-Endpunkte kann ein Sicherheitsrisiko für Ihre Organisation darstellen. Dies könnten APIs sein, die im Azure API Management-Dienst als veraltet gekennzeichnet sein sollten, aber u. U. versehentlich aktiv bleiben. Solche APIs erhalten in der Regel nicht die aktuellste Sicherheitsabdeckung. | AuditIfNotExists, Disabled | 1.0.1 |
API Management-APIs sollten nur verschlüsselte Protokolle verwenden | Um die Sicherheit von Daten während der Übertragung zu gewährleisten, sollten APIs nur über verschlüsselte Protokolle wie HTTPS oder WSS verfügbar sein. Verwenden Sie keine ungesicherten Protokolle, wie HTTP oder WS. | Audit, Disabled, Deny | 2.0.2 |
API Management-Aufrufe an API-Back-Ends sollten authentifiziert werden | Aufrufe von API Management an Backends sollten eine Form der Authentifizierung verwenden, sei es über Zertifikate oder Anmeldeinformationen. Gilt nicht für Service Fabric-Backends. | Audit, Disabled, Deny | 1.0.1 |
API Management-Aufrufe von API-Back-Ends sollten den Zertifikatfingerabdruck oder die Namensüberprüfung nicht umgehen | Um die API-Sicherheit zu verbessern, sollte API Management das Back-End-Serverzertifikat für alle API-Aufrufe überprüfen. Aktivieren Sie den SSL-Zertifikatfingerabdruck und die Namensvalidierung. | Audit, Disabled, Deny | 1.0.2 |
Direkter API Management-Verwaltungsendpunkt sollte nicht aktiviert sein | Die REST-API für die direkte Verwaltung in Azure API Management umgeht die Mechanismen für die rollenbasierte Azure Resource Manager-Zugriffssteuerung, -Autorisierung und -Drosselung und erhöht so das Sicherheitsrisiko Ihres Diensts. | Audit, Disabled, Deny | 1.0.2 |
Die Mindest-API-Version von API Management muss auf 01.12.2019 oder höher festgelegt werden | Um zu verhindern, dass Dienstgeheimnisse für schreibgeschützte Benutzer freigegeben werden, sollte die API-Mindestversion auf 01.12.2019 oder höher festgelegt werden. | Audit, Deny, Disabled | 1.0.1 |
Geheime benannte API Management-Werte sollten in Azure Key Vault gespeichert werden | Benannte Werte sind eine Sammlung von Name/Wert-Paaren in jedem API Management-Dienst. Geheime Werte können entweder als verschlüsselter Text in API Management (benutzerdefinierte Geheimnisse) oder durch Verweisen auf Geheimnisse in Azure Key Vault gespeichert werden. Um die Sicherheit von API Management und Geheimnissen zu verbessern, verweisen Sie aus Azure Key Vault auf geheime benannte Werte. Azure Key Vault unterstützt Richtlinien für die granulare Zugriffsverwaltung und die Geheimnisrotation. | Audit, Disabled, Deny | 1.0.2 |
API Management-Dienste müssen ein virtuelles Netzwerk verwenden | Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. | Audit, Deny, Disabled | 1.0.2 |
API Management sollte den öffentlichen Netzwerkzugriff auf die Dienstkonfigurationsendpunkte deaktivieren. | Um die Sicherheit von API Management-Diensten zu verbessern, schränken Sie die Konnektivität mit Dienstkonfigurationsendpunkten ein, z. B. die API für die direkte Zugriffsverwaltung, den Git-Konfigurationsverwaltungsendpunkt oder den Konfigurationsendpunkt für selbstgehostete Gateways. | AuditIfNotExists, Disabled | 1.0.1 |
API Management-Abonnements sollten nicht für alle APIs gelten | API Management-Abonnements sollten für ein Produkt oder eine einzelne API anstatt für alle APIs gelten, da dies sonst zu einer übermäßigen Datengefährdung führen kann. | Audit, Disabled, Deny | 1.1.0 |
App Configuration sollte Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
Für App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 2.0.1 |
Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. | AuditIfNotExists, Disabled | 2.0.0 |
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 4.0.0 |
App Service-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
App Service-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.0.1 |
Verwendung benutzerdefinierter RBAC-Rollen überwachen | Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. | Audit, Disabled | 1.0.1 |
Die Überwachung in SQL Server muss aktiviert werden | Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. | AuditIfNotExists, Disabled | 2.0.0 |
Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. | Audit, Disabled | 2.0.1 |
Automation-Kontovariablen sollten verschlüsselt werden | Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. | Audit, Deny, Disabled | 1.1.0 |
Azure KI Services-Ressourcen sollten ruhende Daten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsseln. | Die Verwendung von kundenseitig verwalteten Schlüsseln zum Verschlüsseln ruhender Daten bietet mehr Kontrolle über den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Dies ist insbesondere für Organisationen mit entsprechenden Complianceanforderungen relevant. Standardmäßig wird dies nicht bewertet. Eine Anwendung sollte nur bei Erzwingen durch Compliance- oder restriktive Richtlinienanforderungen erfolgen. Wenn keine Aktivierung erfolgt ist, werden die Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt. Für die Implementierung aktualisieren Sie den Effect-Parameter in der Sicherheitsrichtlinie für den entsprechenden Geltungsbereich. | Audit, Deny, Disabled | 2.2.0 |
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken. | Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. | Audit, Deny, Disabled | 3.2.0 |
Azure KI Services-Ressourcen sollten Azure Private Link nutzen. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform reduziert das Risiko von Datenlecks, indem die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet wird. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/AzurePrivateLink/Overview. | Audit, Disabled | 1.0.0 |
Die Version der Azure API Management-Plattform sollte stv2 sein | Die Version der Azure API Management-Computeplattform stv1 wird ab dem 31. August 2024 eingestellt, und diese Instanzen sollten zur stv2-Computeplattform migriert werden, um die Unterstützung weiterhin zu erhalten. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024. | Audit, Deny, Disabled | 1.0.0 |
Für Azure Arc-fähige Kubernetes-Cluster sollte die Azure Policy-Erweiterung installiert sein | Die Azure Policy-Erweiterung für Azure Arc bietet zentrale und konsistente Erzwingungs- und Schutzfunktionen für Ihre Kubernetes-Cluster mit Arc-Unterstützung. Weitere Informationen finden Sie unter https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
Azure Backup muss für Virtual Machines aktiviert sein. | Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. | AuditIfNotExists, Disabled | 3.0.0 |
Azure Cache for Redis muss private Verbindung verwenden | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. | Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. | Audit, Deny, Disabled | 2.1.0 |
Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Cosmos DB-Instanzen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/cosmosdb-cmk. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
Azure Cosmos DB muss den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass das CosmosDB-Konto nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung des CosmosDB-Kontos einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Deny, Disabled | 1.0.0 |
Azure Databricks-Cluster sollten öffentliche IP-Adressen deaktivieren | Das Deaktivieren der öffentlichen IP-Adresse von Clustern in Azure Databricks-Arbeitsbereichen verbessert die Sicherheit, weil damit sichergestellt wird, dass die Cluster nicht im öffentlichen Internet verfügbar gemacht werden. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Audit, Deny, Disabled | 1.0.1 |
Azure Databricks-Arbeitsbereiche sollten sich in einem virtuellen Netzwerk befinden | Azure Virtual Networks bieten ein höheres Maß an Sicherheit und Isolation sowohl für Ihre Azure Databricks-Arbeitsbereiche. Sie profitieren außerdem von Richtlinien für die Zugriffssteuerung sowie von weiteren Features zur Einschränkung des Zugriffs. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Audit, Deny, Disabled | 1.0.2 |
Azure Databricks-Arbeitsbereiche sollten den öffentlichen Netzwerkzugriff deaktivieren | Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen steuern, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Audit, Deny, Disabled | 1.0.1 |
Azure Databricks-Arbeitsbereiche sollten private Verbindungen verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Databricks-Arbeitsbereichen können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/adbpe. | Audit, Disabled | 1.0.2 |
Azure DDoS Protection sollte aktiviert sein. | DDoS Protection sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Anwendungsgateways mit einer öffentlichen IP-Adresse ist. | AuditIfNotExists, Disabled | 3.0.1 |
Azure Defender für App Service sollte aktiviert werden | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender für Key Vault sollte aktiviert werden | Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender für relationale Open-Source-Datenbanken sollte aktiviert sein | Azure Defender für relationale Open-Source-Datenbanken erkennt anormale Aktivitäten, die auf ungewöhnliche und potenziell schädliche Zugriffsversuche auf oder Exploits von Datenbanken hinweisen. Weitere Informationen zu den Funktionen von Azure Defender für relationale Open-Source-Datenbanken finden Sie unter https://aka.ms/AzDforOpenSourceDBsDocu. Wichtig: Wenn Sie diesen Plan aktivieren, entstehen Gebühren für den Schutz Ihrer relationalen Open-Source-Datenbanken. Weitere Informationen zu den Preisen finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender für SQL-Server auf Computern sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender for SQL sollte für nicht geschützte flexible MySQL-Server aktiviert werden | Überwachen von flexiblen MySQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender für SQL sollte für nicht geschützte flexible PostgreSQL-Server aktiviert werden. | Überwachen von flexiblen PostgreSQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Event Grid-Domänen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
Azure Event Grid-Themen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
Azure Key Vault sollte eine aktive Firewall haben | Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
Azure Key Vault-Instanzen müssen private Verbindungen verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein. | Microsoft Defender für Container bietet cloudnative Kubernetes-Sicherheitsfunktionen wie Umgebungshärtung, Workloadschutz und Laufzeitschutz. Wenn Sie SecurityProfile.AzureDefender in Ihrem Azure Kubernetes Service-Cluster aktivieren, wird ein Agent in Ihrem Cluster bereitgestellt, um Sicherheitsereignisdaten zu sammeln. Weitere Informationen zu Microsoft Defender für Container finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | Audit, Disabled | 2.0.1 |
Azure Machine Learning-Computeinstanzen sollten neu erstellt werden, um die neuesten Softwareupdates zu erhalten | Stellen Sie sicher, dass Azure Machine Learning-Computeinstanzen unter dem neuesten verfügbaren Betriebssystem ausgeführt werden. Die Sicherheit wird verbessert und Sicherheitsrisiken werden verringert, indem sie mit den neuesten Sicherheitspatches ausgeführt werden. Weitere Informationen finden Sie unter https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
Azure Machine Learning Computeressourcen sollten sich in einem virtuellen Netzwerk befinden | Azure Virtual Networks bieten ein höheres Maß an Sicherheit und Isolation sowohl für Ihre Azure Machine Learning Compute-Cluster und -Instanzen als auch für Ihre Subnetze. Sie profitieren außerdem von Richtlinien für die Zugriffssteuerung sowie von weiteren Features zur Einschränkung des Zugriffs. Wenn eine Computeressource mit einem virtuellen Netzwerk konfiguriert wird, ist sie nicht öffentlich adressierbar, und auf das virtuelle Netzwerk kann nur über VMs und Anwendungen innerhalb des virtuellen Netzwerks zugegriffen werden. | Audit, Disabled | 1.0.1 |
Bei Azure Machine Learning-Computeressourcen sollten lokale Authentifizierungsmethoden deaktiviert sein | Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch sichergestellt wird, dass Machine Learning-Computeressourcen ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/azure-ml-aad-policy. | Audit, Deny, Disabled | 2.1.0 |
Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. | Verwalten Sie die Verschlüsselung ruhender Daten für Daten im Azure Machine Learning-Arbeitsbereich mit kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.1.0 |
Für Azure Machine Learning-Arbeitsbereiche sollte der Zugriff über öffentliche Netzwerke deaktiviert sein | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da die Machine Learning-Arbeitsbereiche nicht über das öffentliche Internet verfügbar sind. Sie können die Offenlegung von Arbeitsbereichen steuern, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal. | Audit, Deny, Disabled | 2.0.1 |
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
Für den flexiblen Azure MySQL Server sollte die Microsoft Entra Only-Authentifizierung aktiviert sein. | Durch die Deaktivierung lokaler Authentifizierungsmethoden und die ausschließliche Zulassung der Microsoft Entra-Authentifizierung wird die Sicherheit verbessert, da sichergestellt wird, dass ausschließlich Microsoft Entra-Identitäten auf den flexiblen Azure MySQL Server zugreifen können. | AuditIfNotExists, Disabled | 1.0.1 |
Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen OPA-Webhook (Open Policy Agent) für die Zugangssteuerung, um umfassende Durchsetzungen und Schutzvorrichtungen für Ihre Cluster zentral und konsistent anzuwenden. | Audit, Disabled | 1.0.2 |
Sicherheitsrisiken in Containerimages der Azure-Registrierung sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Das Beheben von Sicherheitsrisiken kann Ihren Sicherheitsstatus erheblich verbessern und sicherstellen, dass Images vor der Bereitstellung gefahrlos verwendet werden können. | AuditIfNotExists, Disabled | 1.0.1 |
Sicherheitsrisiken in den in Azure ausgeführten Container-Images sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. | AuditIfNotExists, Disabled | 1.0.1 |
Azure SignalR Service muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
Azure Spring Cloud muss Netzwerkinjektion verwenden | Azure Spring Cloud-Instanzen sollten die VNET-Injektion für folgende Zwecke verwenden: 1. Azure Spring Cloud vom Internet isolieren. 2. Die Interaktion von Azure Spring Cloud mit Systemen in lokalen Rechenzentren oder im Azure-Dienst in anderen VNETs ermöglichen. 3. Kunden die Steuerung der eingehenden und ausgehenden Netzwerkkommunikation für Azure Spring Cloud erlauben | Audit, Disabled, Deny | 1.2.0 |
Die Azure SQL-Datenbank muss eine TLS-Version 1.2 oder höher ausführen | Höhere Sicherheit wird durch Festlegen von TLS-Version 1.2 oder höher erzielt. So können nur Clients, die TLS 1.2 oder höher verwenden, auf Ihre Azure SQL-Datenbank-Instanz zugreifen. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden. | Audit, Disabled, Deny | 2.0.0 |
Für Azure SQL-Datenbank darf nur die Microsoft Entra-Authentifizierung aktiviert sein | Erfordert, dass logische Azure SQL-Server die Microsoft Entra-only-Authentifizierung verwenden. Diese Richtlinie verhindert nicht, dass Server mit aktivierter lokaler Authentifizierung erstellt werden. Nach dem Erstellen verhindert sie, dass die lokale Authentifizierung für Ressourcen aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
Für Azure SQL-Datenbank muss die Microsoft Entra-only-Authentifizierung aktiviert sein | Fordern Sie die Erstellung logischer Azure SQL-Server mit der Microsoft Entra-only-Authentifizierung an. Diese Richtlinie verhindert nicht, dass die lokale Authentifizierung nach dem Erstellen für Ressourcen erneut aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
Für Azure SQL Managed Instance darf nur die Microsoft Entra-Authentifizierung aktiviert sein | Azure SQL Managed Instance ist für die Verwendung der Microsoft Entra-only-Authentifizierung erforderlich. Diese Richtlinie verhindert nicht, dass Azure SQL Managed Instance mit aktivierter lokaler Authentifizierung erstellt werden. Nach dem Erstellen verhindert sie, dass die lokale Authentifizierung für Ressourcen aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
Azure SQL Managed Instances sollten den öffentlichen Netzwerkzugriff deaktivieren | Durch Deaktivieren des öffentlichen Netzwerkzugriffs (öffentlicher Endpunkt) in Azure SQL Managed Instance wird die Sicherheit verbessert, indem sichergestellt wird, dass ein Zugriff nur in den zugehörigen virtuellen Netzwerke oder über private Endpunkte möglich ist. Weitere Informationen zum Zugriff auf öffentliche Netzwerke finden Sie unter https://aka.ms/mi-public-endpoint. | Audit, Deny, Disabled | 1.0.0 |
Für Azure SQL Managed Instance muss die Microsoft Entra-only-Authentifizierung aktiviert sein | Erfordert, dass Azure SQL Managed Instance mit Microsoft Entra-only-Authentifizierung erstellt wird. Diese Richtlinie verhindert nicht, dass die lokale Authentifizierung nach dem Erstellen für Ressourcen erneut aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 1.0.2 |
Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
Zertifikate müssen die angegebene maximale Gültigkeitsdauer aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne angegeben wird, für die ein Zertifikat innerhalb Ihres Schlüsseltresors gültig sein darf. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.2.1 |
Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für den Inhalt Ihrer Registrierungen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen | Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
Containerregistrierungen sollten eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
Für Cosmos DB-Datenbankkonten sollten lokale Authentifizierungsmethoden deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Cosmos DB-Datenbankkonten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Deny, Disabled | 1.1.0 |
CosmosDB-Konten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
In Azure KI Services sollten Diagnoseprotokolle aktiviert sein. | Aktivieren Sie die Protokollierung für Azure KI Services-Ressourcen. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 1.0.0 |
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.2.0 |
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein | Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 2.1.0 |
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein | Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein | Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. | AuditIfNotExists, Disabled | 2.0.0 |
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 5.0.0 |
Funktions-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
Funktions-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.0.1 |
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein | Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein | Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein | Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. | Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. | Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Disabled | 3.0.0 |
Key Vault-Schlüssel sollten ein Ablaufdatum aufweisen. | Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. | Audit, Deny, Disabled | 1.0.2 |
Key Vault-Geheimnisse sollten ein Ablaufdatum aufweisen. | Geheimnisse sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Geheimnisse, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, sie zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für Geheimnisse ein Ablaufdatum festgelegt werden. | Audit, Deny, Disabled | 1.0.2 |
Für Schlüsseltresore sollte der Löschschutz aktiviert sein. | Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist. | Audit, Deny, Disabled | 2.1.0 |
Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein. | Wenn Sie einen Schlüsseltresor löschen und vorläufiges Löschen nicht aktiviert ist, werden alle Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, dauerhaft gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen. | Audit, Deny, Disabled | 3.0.0 |
CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten | Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.3.0 |
Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben | Hiermit wird verhindert, dass Podcontainer die Namespaces für Hostprozess-ID und Host-IPC in einem Kubernetes-Cluster freigeben. Diese Empfehlung ist Bestandteil von CIS 5.2.2 und CIS 5.2.3, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.2.0 |
Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.3.0 |
Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.3.0 |
Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist für Kubernetes Service (AKS) und Azure Arc-fähiges Kubernetes allgemein verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | Schränken Sie den Podzugriff auf das Hostnetzwerk und den zulässigen Hostportbereich in einem Kubernetes-Cluster ein. Diese Empfehlung ist Teil von CIS 5.2.4, um die Sicherheit Ihrer Kubernetes-Umgebungen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
Kubernetes-Cluster dürfen keine privilegierten Container zulassen | Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.2.0 |
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, damit eine potenziell kompromittierte Podressource keine API-Befehle für Kubernetes-Cluster ausführen kann. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 4.2.0 |
Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.2.0 |
Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | Schränken Sie CAP_SYS_ADMIN-Linux-Funktionen ein, um die Angriffsfläche Ihrer Container zu verringern. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.1.0 |
Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | Verhindern Sie die Verwendung des Standardnamespace in Kubernetes-Clustern, um ConfigMap-, Pod-, Geheimnis-, Dienst- und Dienstkontoressourcen vor einem nicht autorisierten Zugriff zu schützen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 4.2.0 |
Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen. | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. | AuditIfNotExists, Disabled | 2.2.0 |
Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. | Obwohl die Datenträger für das Betriebssystem und für die Daten eines virtuellen Computers standardmäßig im Ruhezustand mithilfe von plattformseitig verwalteten Schlüsseln verschlüsselt werden; Ressourcendatenträger (temporäre Datenträger), Datencaches und Daten, die zwischen Compute- und Speicherressourcen übertragen werden, werden nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um Abhilfe zu schaffen. Besuchen Sie https://aka.ms/diskencryptioncomparison, um die Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.1 |
Computer sollten so konfiguriert werden, dass regelmäßig nach fehlenden Systemupdates gesucht wird | Um sicherzustellen, dass regelmäßige Bewertungen fehlender Systemupdates automatisch alle 24 Stunden ausgelöst werden, sollte die AssessmentMode-Eigenschaft auf „AutomaticByPlatform“ festgelegt werden. Erfahren Sie mehr über die AssessmentMode-Eigenschaft für Windows: https://aka.ms/computevm-windowspatchassessmentmode, für Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, Disabled | 3.7.0 |
Geheime Ergebnisse auf Computern müssen aufgelöst werden | Überprüft VMs, um festzustellen, ob sie geheime Erkenntnisse aus den geheimen Scan-Lösungen auf Ihren VMs enthalten. | AuditIfNotExists, Disabled | 1.0.2 |
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Disabled | 3.0.0 |
Microsoft Defender-CSPM muss aktiviert sein. | Defender Cloud Security Posture Management (CSPM) bietet erweiterte Statusfunktionen und einen neuen intelligenten Cloudsicherheitsgraphen, um Risiken zu identifizieren, zu priorisieren und zu verringern. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Funktionen für den Sicherheitsstatus verfügbar, die in Defender for Cloud standardmäßig aktiviert sind. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender für APIs muss aktiviert sein. | Microsoft Defender für APIs bietet neue Ermittlungs-, Schutz-, Erkennungs- und Reaktionsabdeckung, um allgemeine API-basierte Angriffe und Sicherheitsfehler zu überwachen. | AuditIfNotExists, Disabled | 1.0.3 |
Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender für SQL muss für ungeschützte Synapse-Arbeitsbereiche aktiviert sein. | Aktivieren Sie Defender für SQL, um Ihre Synapse-Arbeitsbereiche zu schützen. Defender für SQL überwacht Synapse SQL, um anomale Aktivitäten zu erkennen, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder diese zu missbrauchen. | AuditIfNotExists, Disabled | 1.0.0 |
Der Microsoft Defender für SQL-Status muss für Arc-fähige SQL Server-Instanzen geschützt werden. | Microsoft Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. Nach der Aktivierung gibt der Schutzstatus an, dass die Ressource aktiv überwacht wird. Selbst wenn Defender aktiviert ist, sollten mehrere Konfigurationseinstellungen für den Agent, den Computer, den Arbeitsbereich und SQL Server überprüft werden, um den aktiven Schutz sicherzustellen. | Audit, Disabled | 1.0.1 |
Microsoft Defender für Storage muss aktiviert sein. | Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Disabled | 1.0.0 |
MySQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer MySQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | AuditIfNotExists, Disabled | 1.0.4 |
Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. | Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 1.0.0 |
PostgreSQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer PostgreSQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | AuditIfNotExists, Disabled | 1.0.4 |
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. | Audit, Disabled | 1.1.0 |
Privater Endpunkt muss für MariaDB-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
Privater Endpunkt muss für MySQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
Privater Endpunkt muss für PostgreSQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | AuditIfNotExists, Disabled | 1.0.2 |
Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. | Audit, Deny, Disabled | 1.1.0 |
Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MariaDB-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. | Audit, Deny, Disabled | 2.0.0 |
Öffentlicher Netzwerkzugriff muss für MySQL-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MySQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. | Audit, Deny, Disabled | 2.0.0 |
Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for PostgreSQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. | Audit, Deny, Disabled | 2.0.1 |
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
Ressourcenprotokolle in Azure Databricks-Arbeitsbereichen sollten aktiviert sein. | Ressourcenprotokolle ermöglichen es, vergangene Aktivitäten nachzuvollziehen, wenn es zu einem Sicherheitsvorfall kommt oder Ihr Netzwerk kompromittiert wird. | AuditIfNotExists, Disabled | 1.0.1 |
Ressourcenprotokolle müssen im Azure Kubernetes Service aktiviert sein | Azure Kubernetes Service-Ressourcenprotokolle können bei der Untersuchung von Sicherheitsvorfällen dabei helfen, Aktivitätspfade neu zu erstellen. Aktivieren Sie diese Option, um sicherzustellen, dass die Protokolle bei Bedarf vorhanden sind. | AuditIfNotExists, Disabled | 1.0.0 |
Ressourcenprotokolle in Azure Machine Learning-Arbeitsbereichen sollten aktiviert sein. | Ressourcenprotokolle ermöglichen es, vergangene Aktivitäten nachzuvollziehen, wenn es zu einem Sicherheitsvorfall kommt oder Ihr Netzwerk kompromittiert wird. | AuditIfNotExists, Disabled | 1.0.1 |
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Event Hub müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In IoT Hub müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 3.1.0 |
In Key Vault müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.1.0 |
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
In Service Bus müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | Um eine granulare Filterung anhand der durch die Benutzer ausführbaren Aktionen zu ermöglichen, verwenden Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen in Kubernetes Service-Clustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren. | Audit, Disabled | 1.0.4 |
Sichere Übertragung in Speicherkonten sollte aktiviert werden | Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 2.0.0 |
Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen | Service Fabric bietet drei Schutzebenen („None“, „Sign“ und „EncryptAndSign“) für die Kommunikation zwischen zwei Knoten unter Verwendung eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden. | Audit, Deny, Disabled | 1.1.0 |
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden | Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. | Audit, Deny, Disabled | 1.1.0 |
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. | AuditIfNotExists, Disabled | 4.1.0 |
Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. | Audit, Deny, Disabled | 2.0.0 |
Die automatische Bereitstellung von SQL-Servern sollte für SQL-Server auf dem Computerplan aktiviert sein. | Um sicherzustellen, dass Ihre SQL-VMs und Arc-fähigen SQL-Server geschützt sind, stellen Sie sicher, dass der auf SQL ausgerichtete Azure Monitoring Agent für die automatische Bereitstellung konfiguriert ist. Dies ist auch erforderlich, wenn Sie die automatische Bereitstellung des Microsoft Monitoring Agent zuvor konfiguriert haben, da diese Komponente veraltet ist. Weitere Informationen: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden | Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und zeigt Abweichungen von Best Practices wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte vertrauliche Daten an. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. | AuditIfNotExists, Disabled | 1.0.0 |
SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. | Audit, Deny, Disabled | 2.0.1 |
Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL Server-Überwachung im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. | AuditIfNotExists, Disabled | 3.0.0 |
Speicherkonten sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager für Ihre Speicherkonten, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
Speicherkonten sollten den Zugriff auf gemeinsam genutzte Schlüssel verhindern | Hiermit wird die Anforderung von Azure Active Directory (Azure AD) zum Autorisieren von Anforderungen für Ihr Speicherkonto überwacht. Standardmäßig können Anforderungen entweder mit Azure Active Directory-Anmeldeinformationen oder mithilfe des Kontozugriffsschlüssels (bei einer Autorisierung mit einem gemeinsam verwendeten Schlüssel) autorisiert werden. Von diesen beiden Autorisierungsarten bietet Azure AD eine höhere Sicherheit und einfachere Verwendung gegenüber einem gemeinsam verwendeten Schlüssel und wird von Microsoft empfohlen. | Audit, Deny, Disabled | 2.0.0 |
Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken | Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. | Audit, Deny, Disabled | 1.0.1 |
Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden | Schützen Sie Ihr Blob und Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Audit, Disabled | 1.0.3 |
Speicherkonten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden | Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. | AuditIfNotExists, Disabled | 3.0.0 |
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
Für Synapse-Arbeitsbereiche muss die Microsoft Entra-only-Authentifizierung aktiviert sein | Für Synapse-Arbeitsbereiche ist die Microsoft Entra-only-Authentifizierung erforderlich. Diese Richtlinie verhindert nicht, dass Arbeitsbereiche mit aktivierter lokaler Authentifizierung erstellt werden. Nach dem Erstellen verhindert sie, dass die lokale Authentifizierung für Ressourcen aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.0.0 |
Synapse-Arbeitsbereiche müssen die Microsoft Entra-only-Identitäten für die Authentifizierung während der Arbeitsbereichserstellung verwenden- | Fordern Sie, dass Synapse-Arbeitsbereiche mit der Microsoft Entra-only-Authentifizierung erstellt werden. Diese Richtlinie verhindert nicht, dass die lokale Authentifizierung nach dem Erstellen für Ressourcen erneut aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative „Microsoft Entra-only-Authentifizierung“, um beides zu fordern. Weitere Informationen finden Sie unter https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.2.0 |
Systemupdates sollten auf Ihren Computern installiert sein (über Update Center) | Auf Ihren Computern fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig wichtige Patches für Sicherheitslücken. Da diese Lücken bei Angriffen mit Schadsoftware häufig ausgenutzt werden, ist es sehr wichtig, dass Sie Ihre Software immer auf dem aktuellen Stand halten. Führen Sie die Schritte zur Problembehebung aus, um alle ausstehenden Patches zu installieren und Ihre Computer zu schützen. | AuditIfNotExists, Disabled | 1.0.1 |
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein | Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. | AuditIfNotExists, Disabled | 3.0.0 |
Transparent Data Encryption für SQL-Datenbanken aktivieren | TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. | AuditIfNotExists, Disabled | 2.0.0 |
Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein | Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
VM Image Builder-Vorlagen müssen eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
VPN-Gateways sollten nur Azure Active Directory-Authentifizierung (Azure AD) für Point-to-Site-Benutzer verwenden | Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass VPN Gateways ausschließlich Azure Active Directory-Identitäten für die Authentifizierung verwenden. Weitere Informationen zur Azure AD-Authentifizierung finden Sie unter https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant. | Audit, Deny, Disabled | 1.0.0 |
Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.1.0 |
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 1.0.1 |
Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit werden Azure SQL Server-Instanzen überwacht, für die die Sicherheitsrisikobewertung nicht ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 3.0.0 |
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 2.0.0 |
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 4.1.1 |
Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. | AuditIfNotExists, Disabled | 2.0.0 |
Virtuelle Windows-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. | Obwohl die Datenträger für das Betriebssystem und für die Daten eines virtuellen Computers standardmäßig im Ruhezustand mithilfe von plattformseitig verwalteten Schlüsseln verschlüsselt werden; Ressourcendatenträger (temporäre Datenträger), Datencaches und Daten, die zwischen Compute- und Speicherressourcen übertragen werden, werden nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost, um Abhilfe zu schaffen. Besuchen Sie https://aka.ms/diskencryptioncomparison, um die Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.1.1 |
Microsoft Defender für Cloud-Kategorie
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: Azure-Sicherheits-Agent muss auf Linux-Arc-Computern installiert werden | Hiermit installieren Sie den Azure-Sicherheits-Agent auf Ihren Linux-Arc-Computern, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Azure-Sicherheits-Agent muss in Linux-VM-Skalierungsgruppen installiert werden | Hiermit installieren Sie den Azure-Sicherheits-Agent in Ihren Linux-VM-Skalierungsgruppen, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Azure-Sicherheits-Agent muss auf Linux-VMs installiert werden | Hiermit installieren Sie den Azure-Sicherheits-Agent auf Ihren Linux-VMs, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Azure-Sicherheits-Agent muss auf Windows-Arc-Computern installiert sein | Hiermit installieren Sie den Azure-Sicherheits-Agent auf Ihren Windows-Arc-Computern, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Azure-Sicherheits-Agent muss in Windows-VM-Skalierungsgruppen installiert werden | Hiermit installieren Sie den Azure-Sicherheits-Agent in Ihren Windows-VM-Skalierungsgruppen, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 2.1.0-preview |
[Vorschau]: Azure-Sicherheits-Agent muss auf Windows-VMs installiert sein | Hiermit installieren Sie den Azure-Sicherheits-Agent auf Ihren Windows-VMs, um Ihre Computer auf Sicherheitskonfigurationen und Sicherheitsrisiken zu überwachen. Die Ergebnisse der Bewertungen können in Azure Security Center eingesehen und verwaltet werden. | AuditIfNotExists, Disabled | 2.1.0-preview |
[Vorschau]: Die ChangeTracking-Erweiterung sollte auf Ihrem Linux Arc-Computer installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf Linux Arc-Computern, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Die ChangeTracking-Erweiterung sollte auf Ihrer Linux-VM installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf Linux-VMs, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Die ChangeTracking-Erweiterung sollte in Ihren Linux-VM-Skalierungsgruppen installiert sein | Installieren Sie die ChangeTracking-Erweiterung in Linux-VM-Skalierungsgruppen, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Die ChangeTracking-Erweiterung sollte auf Ihrem Windows Arc-Computer installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf Windows Arc-Computern, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Die ChangeTracking-Erweiterung sollte auf Ihrer Windows-VM installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf Windows-VMs, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Die ChangeTracking-Erweiterung sollte in Ihren Windows-VM-Skalierungsgruppen installiert sein | Installieren Sie die ChangeTracking-Erweiterung in Windows-VM-Skalierungsgruppen, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitoring-Agent unterstützt werden. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Konfigurieren von Azure Defender für SQL-Agent auf VM | Konfigurieren Sie Windows-Computer für die automatische Installation von Azure Defender für SQL-Agent, auf dem der Azure Monitor-Agent installiert ist. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Erstellt eine Ressourcengruppe und einen Log Analytics-Arbeitsbereich in derselben Region, in der auch der Computer enthalten ist. Ziel-VMs müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Konfigurieren der ChangeTracking-Erweiterung für Linux Arc-Computer | Konfigurieren Sie Linux Arc-Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Konfigurieren der ChangeTracking-Erweiterung für Linux-VM-Skalierungsgruppen | Konfigurieren Sie Linux-VM-Skalierungsgruppen so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Preview]: Konfigurieren der ChangeTracking-Erweiterung für Linux-VMs | Konfigurieren Sie Linux-VMs so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]:Konfigurieren der ChangeTracking-Erweiterung für Windows Arc-Computer | Konfigurieren Sie Windows Arc-Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Konfigurieren der ChangeTracking-Erweiterung für Windows-VM-Skalierungsgruppen | Konfigurieren Sie Windows-VM-Skalierungsgruppen so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Konfigurieren der ChangeTracking-Erweiterung für Windows-VMs | Konfigurieren Sie Windows-VMs so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows-Registrierungen, Anwendungssoftware, Linux-Systemdateien und mehr auf Änderungen, die auf einen Angriff hinweisen können. Die Erweiterung kann auf VMs und an Speicherorten installiert werden, die vom Azure Monitor-Agent unterstützt werden. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Unterstützte Linux-Arc-Computer zum automatischen Installieren des Azure Security-Agents konfigurieren | Konfigurieren Sie unterstützte Linux-Arc-Computer so, dass der Azure Security-Agent automatisch installiert wird. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Arc-Zielcomputer unter Linux müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Unterstützte Linux-VM-Skalierungsgruppen zum automatischen Installieren des Azure-Sicherheits-Agents konfigurieren | Konfigurieren Sie unterstützte Linux-VM-Skalierungsgruppen so, dass der Azure-Sicherheits-Agent automatisch installiert wird. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Ziel-VMs müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Unterstützte Linux-VM-Skalierungsgruppen zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren | Konfigurieren Sie für unterstützte Linux-VM-Skalierungsgruppen die automatische Installation der Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 6.1.0-preview |
[Vorschau]: Unterstützte Linux-VMs konfigurieren, um den sicheren Start automatisch zu aktivieren | Konfigurieren Sie unterstützte virtuelle Linux-Computer so, dass „Sicherer Start“ automatisch aktiviert wird, um schädliche und nicht autorisierte Änderungen an der Startkette zu verhindern. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. | DeployIfNotExists, Disabled | 5.0.0-preview |
[Vorschau]: Unterstützte Linux-VMs zum automatischen Installieren des Azure Security-Agents konfigurieren | Konfigurieren Sie unterstützte Linux-VMs für die automatische Installation des Azure Security-Agents. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Ziel-VMs müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 7.0.0-preview |
[Vorschau]: Unterstützte Linux-VMs zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren | Konfigurieren Sie für unterstützte Linux-VMs die automatische Installation der Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 7.1.0-preview |
[Vorschau]: Unterstützte VMs konfigurieren, um vTPM automatisch zu aktivieren | Konfigurieren Sie unterstützte virtuelle Computer so, dass vTPM automatisch aktiviert wird, um „Kontrollierter Start“ und andere Sicherheitsfeatures des Betriebssystems zu erleichtern, für die TPM erforderlich ist. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Unterstützte Windows-Arc-Computer zur automatischen Installation des Azure-Sicherheits-Agents konfigurieren | Konfigurieren Sie unterstützte Windows-Arc-Computer so, dass der Azure Security-Agent automatisch installiert wird. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Arc-Zielcomputer unter Windows müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Unterstützte Windows-Computer zum automatischen Installieren des Azure Security-Agents konfigurieren | Unterstützte Windows-Computer zum automatischen Installieren des Azure Security-Agents konfigurieren. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Ziel-VMs müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 5.1.0-preview |
[Vorschau]: Unterstützte Windows-VM-Skalierungsgruppen zum automatischen Installieren des Azure-Sicherheits-Agents konfigurieren | Hiermit konfigurieren Sie unterstützte Windows-VM-Skalierungsgruppen so, dass der Azure-Sicherheits-Agent automatisch installiert wird. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Ziel-VM-Skalierungsgruppen unter Windows müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, Disabled | 2.1.0-preview |
[Vorschau]: Unterstützte Windows-VM-Skalierungsgruppen zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren | Konfigurieren Sie für unterstützte Windows-VM-Skalierungsgruppen die automatische Installation der Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 4.1.0-preview |
[Vorschau]: Unterstützte Windows-VMs konfigurieren, um den sicheren Start automatisch zu aktivieren | Konfigurieren Sie unterstützte virtuelle Windows-Computer so, dass „Sicherer Start“ automatisch aktiviert wird, um schädliche und nicht autorisierte Änderungen an der Startkette zu verhindern. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. | DeployIfNotExists, Disabled | 3.0.0-preview |
[Vorschau]: Unterstützte Windows-VMs zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren | Konfigurieren Sie für unterstützte Windows-VMs die automatische Installation der Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 5.1.0-preview |
[Vorschau]: Konfigurieren von VMs, die mit Images der Shared Image Gallery erstellt wurden, um die Erweiterung für den Gastnachweis zu installieren | Konfigurieren Sie VMs, die mit Images der Shared Image Gallery erstellt wurden, um die Erweiterung für den Gastnachweis automatisch zu installieren, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Vorschau]: Konfigurieren von VMSS, die mit Images der Shared Image Gallery erstellt wurden, um die Erweiterung für den Gastnachweis zu installieren | Konfigurieren Sie VMSS, die mit Images aus der Shared Image Gallery erstellt wurden, um die Erweiterung für den Gastnachweis automatisch zu installieren, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, Disabled | 2.1.0-preview |
[Vorschau]: Bereitstellen des Agents für Microsoft Defender für Endpunkt auf hybriden Linux-Computern | Stellen Sie den Agent für Microsoft Defender für Endpunkt auf hybriden Linux-Computern bereit. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
[Vorschau]: Bereitstellen des Agents für Microsoft Defender für Endpunkt auf virtuellen Linux-Computern | Stellen Sie den Agent für Microsoft Defender für Endpunkt auf den entsprechenden Images virtueller Linux-Computer bereit. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-preview |
[Vorschau]: Bereitstellen des Agents für Microsoft Defender für Endpunkt auf Windows Azure Arc-Computern | Stellen Sie Microsoft Defender für Endpunkt auf Windows Azure Arc-Computern bereit. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
[Vorschau]: Bereitstellen des Agents für Microsoft Defender für Endpunkt auf virtuellen Windows-Computern | Stellen Sie Microsoft Defender für Endpunkt auf den entsprechenden Images virtueller Windows-Computer bereit. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
[Vorschau]: Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie auf unterstützten Linux-VMs die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Disabled | 6.0.0-preview |
[Vorschau]: Für unterstützte Linux-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie in unterstützten Linux-VM-Skalierungsgruppen die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VM-Skalierungsgruppen des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Disabled | 5.1.0-preview |
[Vorschau]: Für unterstützte Windows-VMs muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie auf unterstützten VMs die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Windows-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Disabled | 4.0.0-preview |
[Vorschau]: Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie in unterstützten VM-Skalierungsgruppen die Erweiterung für den Gastnachweis, damit Azure Security Center die Startintegrität proaktiv nachweisen und überwachen kann. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Windows-VM-Skalierungsgruppen des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Disabled | 3.1.0-preview |
[Vorschau]: Linux-VMs sollten nur signierte und vertrauenswürdige Startkomponenten verwenden | Alle Betriebssystem-Startkomponenten (Startladeprogramm, Kernel, Kerneltreiber) müssen von vertrauenswürdigen Herausgebern signiert werden. Defender für Cloud hat nicht vertrauenswürdige Betriebssystemstartkomponenten auf einem oder mehreren Ihrer Linux-Computer identifiziert. Um Ihre Computer vor potenziell schädlichen Komponenten zu schützen, fügen Sie sie Ihrer Positivliste hinzu, oder entfernen Sie die identifizierten Komponenten. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Linux-VMs sollten Secure Boot verwenden | Zum Schutz vor der Installation von auf Schadsoftware basierten Rootkits und Startkits aktivieren Sie „Sicherer Start“ auf unterstützten virtuellen Linux-Computern. „Sicherer Start“ stellt sicher, dass nur signierte Betriebssysteme und Treiber ausgeführt werden können. Diese Bewertung gilt nur für virtuelle Linux-Computer, auf denen der Azure Monitor-Agent installiert ist. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Auf Computern sollten Ports geschlossen sein, die Angriffsvektoren verfügbar machen könnten | Die Nutzungsbedingungen von Azure verhindern die Verwendung von Azure-Diensten auf eine Weise, die einen Microsoft-Server oder das Netzwerk beschädigen, deaktivieren, überlasten oder beeinträchtigen könnte. Die durch diese Empfehlung identifizierten verfügbar gemachten Ports müssen geschlossen werden, um die Sicherheit weiter zu erhöhen. Für jeden identifizierten Port enthält die Empfehlung auch eine Erläuterung der potenziellen Bedrohung. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Für unterstützte Windows-VMs muss der sichere Neustart aktiviert sein | Die Aktivierung von „Sicherer Start“ auf unterstützten virtuellen Computern dient als Schutz vor schädlichen und nicht autorisierten Änderungen der Startkette. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. Diese Bewertung gilt für Windows-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | Audit, Disabled | 4.0.0-preview |
[Vorschau]: Der Gastnachweisstatus der virtuellen Computer sollte fehlerfrei sein | Der Gastnachweis wird durchgeführt, indem ein vertrauenswürdiges Protokoll (TCGLog) an einen Nachweisserver gesendet wird. Der Server verwendet diese Protokolle zur Ermittlung, ob Startkomponenten vertrauenswürdig sind. Diese Bewertung dient dazu, Gefährdungen der Startkette zu erkennen, die das Ergebnis einer Startkit- oder Rootkit-Infektion sein könnten. Diese Bewertung gilt nur für virtuelle Computer mit aktiviertem vertrauenswürdigen Start, auf denen die Erweiterung für den Gastnachweis installiert ist. | AuditIfNotExists, Disabled | 1.0.0-preview |
[Vorschau]: Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden | Aktivieren Sie ein virtuelles TPM-Gerät auf unterstützten virtuellen Computern, um die Nutzung von „Kontrollierter Start“ und anderen Sicherheitsfeatures des Betriebssystems zu ermöglichen, für die TPM erforderlich ist. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. Diese Bewertung gilt nur für vertrauenswürdige startfähige VMs. | Audit, Disabled | 2.0.0-preview |
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Disabled | 3.0.0 |
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
API-Endpunkte in Azure API Management sollten authentifiziert werden. | API-Endpunkte, die in Azure API Management veröffentlicht werden, sollten die Authentifizierung erzwingen, um das Sicherheitsrisiko zu minimieren. Authentifizierungsmechanismen werden manchmal falsch implementiert oder fehlen. Dies erlaubt Angreifern, Implementierungsfehler auszunutzen und auf Daten zuzugreifen. Weitere Informationen zur OWASP-API-Bedrohung für fehlerhafte Benutzerauthentifizierung finden Sie hier: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
Nicht verwendete API-Endpunkte sollten deaktiviert und aus dem Azure API Management-Dienst entfernt werden. | Als bewährte Sicherheitsmethode gelten API-Endpunkte, die 30 Tage lang keinen Datenverkehr empfangen haben, als ungenutzt und sollten aus dem Azure API Management-Dienst entfernt werden. Die Beibehaltung nicht verwendeter API-Endpunkte kann ein Sicherheitsrisiko für Ihre Organisation darstellen. Dies könnten APIs sein, die im Azure API Management-Dienst als veraltet gekennzeichnet sein sollten, aber u. U. versehentlich aktiv bleiben. Solche APIs erhalten in der Regel nicht die aktuellste Sicherheitsabdeckung. | AuditIfNotExists, Disabled | 1.0.1 |
In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. | Audit, Disabled | 2.0.1 |
Azure DDoS Protection sollte aktiviert sein. | DDoS Protection sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Anwendungsgateways mit einer öffentlichen IP-Adresse ist. | AuditIfNotExists, Disabled | 3.0.1 |
Azure Defender für App Service sollte aktiviert werden | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender für Key Vault sollte aktiviert werden | Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender für relationale Open-Source-Datenbanken sollte aktiviert sein | Azure Defender für relationale Open-Source-Datenbanken erkennt anormale Aktivitäten, die auf ungewöhnliche und potenziell schädliche Zugriffsversuche auf oder Exploits von Datenbanken hinweisen. Weitere Informationen zu den Funktionen von Azure Defender für relationale Open-Source-Datenbanken finden Sie unter https://aka.ms/AzDforOpenSourceDBsDocu. Wichtig: Wenn Sie diesen Plan aktivieren, entstehen Gebühren für den Schutz Ihrer relationalen Open-Source-Datenbanken. Weitere Informationen zu den Preisen finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender für SQL-Server auf Computern sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender for SQL sollte für nicht geschützte flexible MySQL-Server aktiviert werden | Überwachen von flexiblen MySQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender für SQL sollte für nicht geschützte flexible PostgreSQL-Server aktiviert werden. | Überwachen von flexiblen PostgreSQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 1.0.0 |
Containerimages der Azure-Registrierung sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Das Beheben von Sicherheitsrisiken kann Ihren Sicherheitsstatus erheblich verbessern und sicherstellen, dass Images vor der Bereitstellung gefahrlos verwendet werden können. | AuditIfNotExists, Disabled | 1.0.1 |
Sicherheitsrisiken in den in Azure ausgeführten Container-Images sollten behoben sein (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. | AuditIfNotExists, Disabled | 1.0.1 |
Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
Cloud Services-Rolleninstanzen (erweiterter Support) müssen sicher konfiguriert werden | Cloud Services-Rolleninstanzen (erweiterter Support) werden vor Angriffen geschützt, indem sichergestellt wird, dass sie keinen Schwachstellen im Betriebssystem ausgesetzt sind. | AuditIfNotExists, Disabled | 1.0.0 |
Für Cloud Services-Rolleninstanzen (erweiterter Support) muss eine Lösung zum Schutz von Endpunkten installiert sein | Schützen Sie Ihre Cloud Services-Rolleninstanzen (erweiterter Support) vor Bedrohungen und Sicherheitsrisiken, indem Sie sicherstellen, dass eine Lösung für den Schutz von Endpunkten installiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
Für Cloud Services-Rolleninstanzen (erweiterter Support) müssen Systemupdates installiert sein | Schützen Sie Ihre Cloud Services-Rolleninstanzen (erweiterter Support), indem Sie sicherstellen, dass die neuesten Sicherheitsupdates und alle kritischen Updates installiert wurden. | AuditIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Advanced Threat Protection, das auf der Azure-Datenbank für flexible MySQL-Server aktiviert werden soll | Aktivieren Sie Advanced Threat Protection auf Ihrer Azure-Datenbank für flexible MySQL-Server, um anomale Aktivitäten zu erkennen, die auf ungewöhnliche und potenziell schädliche Versuche auf Datenbanken zuzugreifen oder sie auszunutzen, hinweisen. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Advanced Threat Protection, das auf Azure-Datenbanken für flexible PostgreSQL-Server aktiviert werden soll | Aktivieren Sie Advanced Threat Protection auf Ihrer Azure-Datenbank für flexible Server für PostgreSQL, um anomale Aktivitäten zu erkennen, die ungewöhnliche und potenziell schädliche Versuche zeigen, um auf Datenbanken zuzugreifen oder sie auszunutzen. | DeployIfNotExists, Disabled | 1.1.0 |
Konfigurieren von arcfähigen SQL-Servern für die automatische Installation von Azure Monitor Agent | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Arc-fähigen Windows-SQL-Servern. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
Konfigurieren von arcfähigen SQL-Servern für die automatische Installation von Microsoft Defender für SQL | Konfigurieren Sie Arc-fähige Windows-SQL-Server so, dass der Microsoft Defender for SQL-Agent automatisch installiert wird. Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. | DeployIfNotExists, Disabled | 1.2.0 |
Konfigurieren von arcfähigen SQL-Servern für die automatische Installation von Microsoft Defender für SQL und DCR mit einem Log Analytics-Arbeitsbereich | Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe, eine Datensammlungsregel und einen Log Analytics-Arbeitsbereich in der gleichen Region, in der sich der Computer befindet. | DeployIfNotExists, Disabled | 1.5.0 |
Konfigurieren von arcfähigen SQL-Servern für die automatische Installation von Microsoft Defender für SQL und DCR mit einem benutzerdefinierten LA-Arbeitsbereich | Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe und eine Datensammlungsregel in der gleichen Region, in der sich der benutzerdefinierte Log Analytics-Arbeitsbereich befindet. | DeployIfNotExists, Disabled | 1.7.0 |
Konfigurieren von arcfähigen SQL-Servern mit der Datensammlungsregelzuordnung zu Microsoft Defender für SQL DCR | Konfigurieren Sie die Zuordnung zwischen Arc-fähigen SQL Servern und dem Microsoft Defender for SQL-DCR. Durch das Löschen dieser Zuordnung wird die Erkennung von Sicherheitsrisiken für diese Arc-fähigen SQL-Server unterbrochen. | DeployIfNotExists, Disabled | 1.1.0 |
Konfigurieren von arcfähigen SQL-Servern mit der Datensammlungsregelzuordnung in Microsoft Defender für SQL benutzerdefinierte DCR | Konfigurieren Sie die Zuordnung zwischen Arc-fähigen SQL Servern und dem benutzerdefinierten Microsoft Defender for SQL-DCR. Durch das Löschen dieser Zuordnung wird die Erkennung von Sicherheitsrisiken für diese Arc-fähigen SQL-Server unterbrochen. | DeployIfNotExists, Disabled | 1.3.0 |
Konfigurieren von Azure Defender für App Service für die Aktivierung | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | DeployIfNotExists, Disabled | 1.0.1 |
Konfigurieren von Azure Defender für Azure SQL-Datenbank für die Aktivierung | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | DeployIfNotExists, Disabled | 1.0.1 |
Konfigurieren von Azure Defender für relationale Open-Source-Datenbanken als aktiviert | Azure Defender für relationale Open-Source-Datenbanken erkennt anormale Aktivitäten, die auf ungewöhnliche und potenziell schädliche Zugriffsversuche auf oder Exploits von Datenbanken hinweisen. Weitere Informationen zu den Funktionen von Azure Defender für relationale Open-Source-Datenbanken finden Sie unter https://aka.ms/AzDforOpenSourceDBsDocu. Wichtig: Wenn Sie diesen Plan aktivieren, entstehen Gebühren für den Schutz Ihrer relationalen Open-Source-Datenbanken. Weitere Informationen zu den Preisen finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Azure Defender für Resource Manager für die Aktivierung | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.1.0 |
Konfigurieren von Azure Defender für Server für die Aktivierung | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | DeployIfNotExists, Disabled | 1.0.1 |
Konfigurieren von Azure Defender für SQL-Server für die Aktivierung auf Computern | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | DeployIfNotExists, Disabled | 1.0.1 |
Grundlegenden Microsoft Defender für Storage (nur Aktivitätsüberwachung) in Konfiguration aktivieren | Microsoft Defender für Storage ist eine Azure-native Ebene der Sicherheitsintelligenz, die potentielle Bedrohungen Ihrer Speicherkonten erkennt. Diese Richtlinie aktiviert die grundlegenden Funktionen von Defender für Storage (Aktivitätsüberwachung). Verwenden Sie zum Aktivieren des vollständigen Schutzes, der auch die Prüfung auf Malware beim Hochladen und die Erkennung von Bedrohungen vertraulicher Daten umfasst, die vollständige Aktivierungsrichtlinie: aka.ms/DefenderForStoragePolicy. Weitere Informationen zu den Funktionen und Vorteilen von Defender für Storage finden Sie unter aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.1.0 |
Konfigurieren von Computern für den Empfang eines Anbieters für Sicherheitsrisikobewertung | Azure Defender umfasst eine kostenlose Überprüfung auf Sicherheitsrisiken für Ihre Computer. Sie benötigen keine Qualys-Lizenz und auch kein Qualys-Konto – alles erfolgt nahtlos innerhalb von Security Center. Wenn Sie diese Richtlinie aktivieren, stellt Azure Defender automatisch den Qualys-Anbieter zur Bewertung von Sicherheitsrisiken auf allen unterstützten Computern bereit, auf denen er noch nicht installiert ist. | DeployIfNotExists, Disabled | 4.0.0 |
Konfigurieren des Microsoft Defender CSPM-Plans | Defender Cloud Security Posture Management (CSPM) bietet erweiterte Statusfunktionen und einen neuen intelligenten Cloudsicherheitsgraphen, um Risiken zu identifizieren, zu priorisieren und zu verringern. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Funktionen für den Sicherheitsstatus verfügbar, die in Defender for Cloud standardmäßig aktiviert sind. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren der Aktivierung von Microsoft Defender-CSPM | Defender Cloud Security Posture Management (CSPM) bietet erweiterte Statusfunktionen und einen neuen intelligenten Cloudsicherheitsgraphen, um Risiken zu identifizieren, zu priorisieren und zu verringern. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Funktionen für den Sicherheitsstatus verfügbar, die in Defender for Cloud standardmäßig aktiviert sind. | DeployIfNotExists, Disabled | 1.0.2 |
Microsoft Defender für Azure Cosmos DB für die Aktivierung konfigurieren | Microsoft Defender für Azure Cosmos DB ist eine in Azure native Sicherheitsebene, die Versuche erkennt, Datenbanken in Ihren Azure Cosmos DB-Konten auszunutzen. Defender für Azure Cosmos DB erkennt potenzielle Einschleusungen von SQL-Befehlen, bekannte böswillige Akteure basierend auf Microsoft Threat Intelligence, verdächtige Zugriffsmuster und potenzielle Exploits Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren des Microsoft Defender for Containers-Plans | Neue Funktionen werden dem Defender for Containers-Plan kontinuierlich hinzugefügt, was die explizite Aktivierung durch den Benutzer erfordern kann. Verwenden Sie diese Richtlinie, um sicherzustellen, dass alle neuen Funktionen aktiviert werden. | DeployIfNotExists, Disabled | 1.0.0 |
Microsoft Defender für Container als Aktiviert konfigurieren | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | DeployIfNotExists, Disabled | 1.0.1 |
Konfigurieren der Integrationseinstellungen für Microsoft Defender for Endpoint mit Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | Konfiguriert die Integrationseinstellungen für Microsoft Defender for Endpoint in Microsoft Defender for Cloud (auch bekannt als WDATP_EXCLUDE_LINUX_...), um die automatische MDE-Bereitstellung für Linux-Server zu aktivieren. Die WDATP-Einstellung muss aktiviert sein, damit diese Einstellung angewendet werden kann. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren der Integrationseinstellungen für Microsoft Defender for Endpoint mit Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) | Konfiguriert die Integrationseinstellungen für Microsoft Defender for Endpoint in Microsoft Defender for Cloud (auch bekannt als WDATP_UNIFIED_SOLUTION), um die automatische Bereitstellung von MDE Unified Agent für Windows Server 2012R2 und 2016 zu aktivieren. Die WDATP-Einstellung muss aktiviert sein, damit diese Einstellung angewendet werden kann. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren der Integrationseinstellungen für Microsoft Defender for Endpoint mit Microsoft Defender for Cloud (WDATP) | Konfiguriert die Integrationseinstellungen für Microsoft Defender for Endpoint in Microsoft Defender for Cloud (auch bekannt als WDATP) für Windows-Downlevelcomputer, für die ein Onboarding über MMA in MDE durchgeführt wurde, und für die automatische Bereitstellung von MDE auf Windows Server 2019 sowie Windows Virtual Desktop und höher. Muss aktiviert sein, damit die anderen Einstellungen (wie WDATP_UNIFIED) funktionieren. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren des Microsoft Defender for Key Vault-Plans | Microsoft Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Versuche, auf Key Vault-Konten zuzugreifen oder sie zu missbrauchen, ermittelt werden. | DeployIfNotExists, Disabled | 1.1.0 |
Konfigurieren des Microsoft Defender for Servers-Plans | Neue Funktionen werden Defender for Servers kontinuierlich hinzugefügt, was die explizite Aktivierung durch den Benutzer erfordern kann. Verwenden Sie diese Richtlinie, um sicherzustellen, dass alle neuen Funktionen aktiviert werden. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von Microsoft Defender für SQL für die Aktivierung in Synapse-Arbeitsbereichen | Aktivieren Sie Microsoft Defender für SQL in Ihren Azure Synapse Arbeitsbereichen, um anomale Aktivitäten zu erkennen, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf SQL-Datenbanken zuzugreifen oder diese zu missbrauchen. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren zum Aktivieren von Microsoft Defender für Storage (klassisch) | Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. | DeployIfNotExists, Disabled | 1.0.2 |
Microsoft Defender für Storage in Konfiguration aktivieren | Microsoft Defender für Storage ist eine Azure-native Ebene der Sicherheitsintelligenz, die potentielle Bedrohungen Ihrer Speicherkonten erkennt. Mit dieser Richtlinie werden alle Defender für Storage-Funktionen aktiviert: Aktivitätsüberwachung, Prüfung auf Schadsoftware und Erkennung von Bedrohungen sensibler Daten. Weitere Informationen zu den Funktionen und Vorteilen von Defender für Storage finden Sie unter aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.4.0 |
Konfigurieren von Microsoft Defender Threat Protection für KI-Workloads | Neue Funktionen werden kontinuierlich zum Bedrohungsschutz für KI-Workloads hinzugefügt, was die explizite Aktivierung des Benutzers erfordern kann. Verwenden Sie diese Richtlinie, um sicherzustellen, dass alle neuen Funktionen aktiviert werden. | DeployIfNotExists, Disabled | 1.0.0 |
Konfigurieren von virtuellen SQL-Computern für die automatische Installation von Azure Monitor Agent | Automatisieren Sie die Bereitstellung der Azure Monitor-Agent-Erweiterung auf Ihren Windows-SQL-Virtual Machines. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.5.0 |
Konfigurieren von virtuellen SQL-Computern für die automatische Installation von Microsoft Defender für SQL | Konfigurieren Sie Windows SQL-Virtual Machines für die automatische Installation der Microsoft Defender for SQL-Erweiterung. Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. | DeployIfNotExists, Disabled | 1.5.0 |
Konfigurieren von virtuellen SQL-Computern für die automatische Installation von Microsoft Defender für SQL und DCR mit einem Log Analytics-Arbeitsbereich | Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe, eine Datensammlungsregel und einen Log Analytics-Arbeitsbereich in der gleichen Region, in der sich der Computer befindet. | DeployIfNotExists, Disabled | 1.7.0 |
Konfigurieren von virtuellen SQL-Computern für die automatische Installation von Microsoft Defender für SQL und DCR mit einem benutzerdefinierten LA-Arbeitsbereich | Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe und eine Datensammlungsregel in der gleichen Region, in der sich der benutzerdefinierte Log Analytics-Arbeitsbereich befindet. | DeployIfNotExists, Disabled | 1.8.0 |
Konfigurieren des Microsoft Defender für SQL Log Analytics-Arbeitsbereichs | Microsoft Defender for SQL erfasst Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe und einen Log Analytics-Arbeitsbereich in der gleichen Region, in der sich der Computer befindet. | DeployIfNotExists, Disabled | 1.4.0 |
Erstellen und Zuweisen einer integrierten benutzerzugewiesenen verwalteten Identität | Weisen Sie eine integrierte benutzerseitig zugewiesene verwaltete Identität im großen Stil zu SQL-VMs zu. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.7.0 |
Bereitstellen – Unterdrückungsregeln für Azure Security Center-Warnungen konfigurieren | Unterdrücken Sie Azure Security Center-Warnungen, um eine Überlastung durch zu viele Warnungen zu vermeiden, indem Sie Unterdrückungsregeln für Ihre Verwaltungsgruppe oder Ihr Abonnement bereitstellen. | deployIfNotExists | 1.0.0 |
Export in Event Hub als vertrauenswürdigen Dienst für Microsoft Defender for Cloud-Daten bereitstellen | Aktivieren Sie den Export in Event Hub als vertrauenswürdigen Dienst von Microsoft Defender for Cloud-Daten. Diese Richtlinie stellt einen Export in Event Hub als Konfiguration eines vertrauenswürdigen Dienstes mit Ihren Bedingungen und der Event Hub-Zielinstanz für den zugewiesenen Bereich bereit. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | DeployIfNotExists, Disabled | 1.0.0 |
Export für Microsoft Defender für Cloud-Daten in Event Hub bereitstellen | Aktivieren Sie den Export in den Event Hub von Microsoft Defender für Cloud-Daten. Diese Richtlinie stellt einen Export in die Event Hub-Konfiguration mit Ihren Bedingungen und der Event Hub-Zielinstanz für den zugewiesenen Bereich bereit. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 4.2.0 |
Export zu Log Analytics-Arbeitsbereich für Microsoft Defender für Cloud-Daten bereitstellen | Aktivieren Sie den Export in den Log Analytics-Arbeitsbereich von Microsoft Defender für Clouddaten. Diese Richtlinie stellt einen Export in die Konfiguration eines Log Analytics-Arbeitsbereichs mit Ihren Bedingungen und dem Zielarbeitsbereich für den zugewiesenen Bereich bereit. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 4.1.0 |
Bereitstellen der Workflowautomatisierung für Microsoft Defender für Cloud-Warnungen | Aktivieren Sie die Automatisierung von Microsoft Defender für Cloudbenachrichtigungen. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 5.0.1 |
Bereitstellen der Workflowautomatisierung für Microsoft Defender für Cloud-Empfehlungen | Aktivieren Sie die Automatisierung von Microsoft Defender für Cloud-Empfehlungen. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 5.0.1 |
Bereitstellen der Workflowautomatisierung für die Einhaltung gesetzlicher Bestimmungen in Microsoft Defender für Cloud | Aktivieren Sie die Automatisierung von Microsoft Defender für die Cloud-Compliance. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 5.0.1 |
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.2.0 |
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein | Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 2.1.0 |
Aktivieren von Microsoft Defender für Cloud in Ihrem Abonnement | Identifiziert vorhandene Abonnements, die von Microsoft Defender für Cloud nicht überwacht werden, und schützt sie mit den kostenlosen Features von Defender für Cloud. Abonnements, die bereits überwacht werden, werden als konform betrachtet. Um neu erstellte Abonnements zu registrieren, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen einen Wartungstask. | deployIfNotExists | 1.0.1 |
Aktivieren der automatischen Bereitstellung des Log Analytics-Agents für Ihre Abonnements mit einem benutzerdefinierten Arbeitsbereich in Security Center | Ermöglichen Sie Security Center die automatische Bereitstellung des Log Analytics-Agents für Ihre Abonnements, um Sicherheitsdaten über einen benutzerdefinierten Arbeitsbereich zu überwachen und zu sammeln. | DeployIfNotExists, Disabled | 1.0.0 |
Aktivieren der automatischen Bereitstellung des Log Analytics-Agents für Ihre Abonnements mit dem Standardarbeitsbereich in Security Center | Ermöglichen Sie Security Center die automatische Bereitstellung des Log Analytics-Agents für Ihre Abonnements, um Sicherheitsdaten über den ASC-Standardarbeitsbereich zu überwachen und zu sammeln. | DeployIfNotExists, Disabled | 1.0.0 |
Aktivieren des Bedrohungsschutzes für KI-Workloads | Der Microsoft-Bedrohungsschutz für KI-Workloads bietet kontextbezogene, nachweisbasierte Sicherheitswarnungen zum Schutz benutzerdefinierter Anwendungen mit generativer KI. | DeployIfNotExists, Disabled | 1.0.0 |
Endpoint Protection-Integritätsprobleme sollten auf Ihren Computern gelöst werden | Beheben Sie Endpoint Protection-Integritätsprobleme auf Ihren virtuellen Computern, um diese vor den neuesten Bedrohungen und Sicherheitsrisiken zu schützen. Von Azure Security Center unterstützte Endpoint Protection-Lösungen sind unter https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions dokumentiert. Die Endpoint Protection-Bewertung ist unter https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection dokumentiert. | AuditIfNotExists, Disabled | 1.0.0 |
Endpoint Protection sollte auf Ihren Computern installiert sein | Installieren Sie eine unterstützte Endpoint Protection-Lösung, um Ihre Computer vor Bedrohungen und Sicherheitsrisiken zu schützen. | AuditIfNotExists, Disabled | 1.0.0 |
Die Endpoint Protection-Lösung sollte für VM-Skalierungsgruppen installiert sein | Hiermit überprüfen Sie die Existenz und die Integrität einer Endpoint Protection-Lösung in Ihren VM-Skalierungsgruppen, um sie vor Bedrohungen und Sicherheitsrisiken zu schützen. | AuditIfNotExists, Disabled | 3.0.0 |
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. | Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. | Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Disabled | 3.0.0 |
Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht. | Audit, Disabled | 1.0.2 |
Für Cloud Services-Rolleninstanzen (erweiterter Support) muss der Log Analytics-Agent installiert sein. | Security Center erfasst Daten aus Cloud Services-Rolleninstanzen (erweiterter Support), um eine Überwachung auf Sicherheitsrisiken und Bedrohungen durchzuführen. | AuditIfNotExists, Disabled | 2.0.0 |
Geheime Ergebnisse auf Computern müssen aufgelöst werden | Überprüft VMs, um festzustellen, ob sie geheime Erkenntnisse aus den geheimen Scan-Lösungen auf Ihren VMs enthalten. | AuditIfNotExists, Disabled | 1.0.2 |
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Disabled | 3.0.0 |
Microsoft Defender-CSPM muss aktiviert sein. | Defender Cloud Security Posture Management (CSPM) bietet erweiterte Statusfunktionen und einen neuen intelligenten Cloudsicherheitsgraphen, um Risiken zu identifizieren, zu priorisieren und zu verringern. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Funktionen für den Sicherheitsstatus verfügbar, die in Defender for Cloud standardmäßig aktiviert sind. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender für APIs muss aktiviert sein. | Microsoft Defender für APIs bietet neue Ermittlungs-, Schutz-, Erkennungs- und Reaktionsabdeckung, um allgemeine API-basierte Angriffe und Sicherheitsfehler zu überwachen. | AuditIfNotExists, Disabled | 1.0.3 |
Microsoft Defender für Azure Cosmos DB sollte aktiviert sein | Microsoft Defender für Azure Cosmos DB ist eine in Azure native Sicherheitsebene, die Versuche erkennt, Datenbanken in Ihren Azure Cosmos DB-Konten auszunutzen. Defender für Azure Cosmos DB erkennt potenzielle Einschleusungen von SQL-Befehlen, bekannte böswillige Akteure basierend auf Microsoft Threat Intelligence, verdächtige Zugriffsmuster und potenzielle Exploits Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender für SQL muss für ungeschützte Synapse-Arbeitsbereiche aktiviert sein. | Aktivieren Sie Defender für SQL, um Ihre Synapse-Arbeitsbereiche zu schützen. Defender für SQL überwacht Synapse SQL, um anomale Aktivitäten zu erkennen, die auf ungewöhnliche und potenziell schädliche Versuche hinweisen, auf Datenbanken zuzugreifen oder diese zu missbrauchen. | AuditIfNotExists, Disabled | 1.0.0 |
Der Microsoft Defender für SQL-Status muss für Arc-fähige SQL Server-Instanzen geschützt werden. | Microsoft Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. Nach der Aktivierung gibt der Schutzstatus an, dass die Ressource aktiv überwacht wird. Selbst wenn Defender aktiviert ist, sollten mehrere Konfigurationseinstellungen für den Agent, den Computer, den Arbeitsbereich und SQL Server überprüft werden, um den aktiven Schutz sicherzustellen. | Audit, Disabled | 1.0.1 |
Microsoft Defender für Storage muss aktiviert sein. | Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Disabled | 1.0.0 |
Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen | Hiermit werden Server ohne installierten Endpoint Protection-Agent über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. | Um eine granulare Filterung anhand der durch die Benutzer ausführbaren Aktionen zu ermöglichen, verwenden Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen in Kubernetes Service-Clustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren. | Audit, Disabled | 1.0.4 |
Security Center Standard-Tarif muss ausgewählt sein | Der Tarif „Standard“ ermöglicht die Bedrohungserkennung für Netzwerke und VMs und stellt Threat Intelligence-Daten, Anomalieerkennung und Verhaltensanalysen in Azure Security Center bereit. | Audit, Disabled | 1.1.0 |
Einrichten von Abonnements für den Übergang zu einer alternativen Lösung zur Sicherheitsrisikobewertung | Microsoft Defender for Cloud bietet eine kostenlose Überprüfung auf Sicherheitsrisiken für Ihre Computer. Das Aktivieren dieser Richtlinie führt dazu, dass Defender for Cloud die Ergebnisse aus der integrierten Microsoft Defender-Sicherheitsrisikoverwaltungslösung automatisch an alle unterstützten Computer weiterverbreitet. | DeployIfNotExists, Disabled | 1.0.0-preview |
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. | AuditIfNotExists, Disabled | 4.1.0 |
Die auf SQL Server ausgerichtete automatische Bereitstellung sollte für SQL-Server auf Computerplänen aktiviert werden | Um sicherzustellen, dass Ihre SQL-VMs und Arc-fähigen SQL-Server geschützt sind, stellen Sie sicher, dass der auf SQL ausgerichtete Azure Monitoring Agent für die automatische Bereitstellung konfiguriert ist. Dies ist auch erforderlich, wenn Sie die automatische Bereitstellung des Microsoft Monitoring Agent zuvor konfiguriert haben, da diese Komponente veraltet ist. Weitere Informationen: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden | Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und zeigt Abweichungen von Best Practices wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte vertrauliche Daten an. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. | AuditIfNotExists, Disabled | 1.0.0 |
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden | Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. | AuditIfNotExists, Disabled | 3.0.0 |
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
Systemupdates sollten auf Ihren Computern installiert sein (über Update Center) | Auf Ihren Computern fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig wichtige Patches für Sicherheitslücken. Da diese Lücken bei Angriffen mit Schadsoftware häufig ausgenutzt werden, ist es sehr wichtig, dass Sie Ihre Software immer auf dem aktuellen Stand halten. Führen Sie die Schritte zur Problembehebung aus, um alle ausstehenden Patches zu installieren und Ihre Computer zu schützen. | AuditIfNotExists, Disabled | 1.0.1 |
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein | Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. | AuditIfNotExists, Disabled | 3.0.0 |
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.1.0 |
Nächste Schritte
In diesem Artikel haben Sie sich über die Definitionen der Azure Policy-Sicherheitsrichtlinien in Defender für Cloud informiert. Weitere Informationen zu den Initiativen, Richtlinien und deren Zusammenhang mit den Defender für Cloud-Empfehlungen finden Sie unter Was sind Sicherheitsrichtlinien, Initiativen und Empfehlungen?.