Integrierte Azure Policy-Definitionen für Azure Resource Manager
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Azure Resource Manager. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Azure Resource Manager
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
| Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Das Aktivitätsprotokoll muss mindestens ein Jahr lang aufbewahrt werden | Diese Richtlinie überwacht das Aktivitätsprotokoll, wenn die Aufbewahrung nicht auf 365 Tage oder unbegrenzt (Festlegung der Aufbewahrungstage auf 0) festgelegt ist. | AuditIfNotExists, Disabled | 1.0.0 |
| Tag zu Ressourcengruppen hinzufügen | Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt, wenn eine Ressourcengruppe erstellt oder aktualisiert wird, in der dieses Tag fehlt. Vorhandene Ressourcengruppen können korrigiert werden, indem eine Korrekturaufgabe ausgelöst wird. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. | modify | 1.0.0 |
| Tag zu Abonnements hinzufügen | Fügt Abonnements das angegebene Tag und den angegebenen Wert über eine Wiederherstellungsaufgabe hinzu. Wenn das Tag mit einem anderen Wert vorhanden ist, erfolgt keine Änderung. Weitere Informationen zur Richtlinienwartung finden Sie unter https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Tag für Ressourcengruppen hinzufügen oder ersetzen | Hiermit werden das angegebene Tag und der zugehörige Wert hinzugefügt oder ersetzt, wenn eine Ressourcengruppe erstellt oder aktualisiert wird. Vorhandene Ressourcengruppen können korrigiert werden, indem eine Korrekturaufgabe ausgelöst wird. | modify | 1.0.0 |
| Tag für Abonnements hinzufügen oder ersetzen | Fügt Abonnements das angegebene Tag und den angegebenen Wert über eine Wiederherstellungsaufgabe hinzu oder ersetzt diese. Vorhandene Ressourcengruppen können korrigiert werden, indem eine Korrekturaufgabe ausgelöst wird. Weitere Informationen zur Richtlinienwartung finden Sie unter https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Zulässige Standorte für Ressourcengruppen | Mit dieser Richtlinie können Sie die Standorte einschränken, an denen Ihr Unternehmen Ressourcengruppen erstellen kann. Wird zur Erzwingung Ihrer Geokonformitätsanforderungen verwendet. | deny | 1.0.0 |
| Für bestimmte administrative Vorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte administrative Vorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Für bestimmte Richtlinienvorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte Richtlinienvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 3.0.0 |
| Für bestimmte Sicherheitsvorgänge muss eine Aktivitätsprotokollwarnung vorliegen | Diese Richtlinie überwacht bestimmte Sicherheitsvorgänge ohne Konfiguration von Aktivitätsprotokollwarnungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Tag und zugehörigen Wert an Ressourcengruppen anfügen | Hiermit werden das angegebene Tag und der zugehörige Wert angefügt, wenn eine Ressourcengruppe erstellt oder aktualisiert wird, in der dieses Tag fehlt. Tags von Ressourcengruppen, die vor Anwendung dieser Richtlinie erstellt wurden, werden erst bei Bearbeitung geändert. Ab sofort ist die neue Richtlinienauswirkung „modify“ verfügbar, die eine Korrektur von Tags für vorhandene Ressourcen unterstützt (siehe https://aka.ms/modifydoc). | append | 1.0.0 |
| VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Azure Defender für App Service sollte aktiviert werden | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Key Vault sollte aktiviert werden | Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für relationale Open-Source-Datenbanken sollte aktiviert sein | Azure Defender für relationale Open-Source-Datenbanken erkennt anormale Aktivitäten, die auf ungewöhnliche und potenziell schädliche Zugriffsversuche auf oder Exploits von Datenbanken hinweisen. Weitere Informationen zu den Funktionen von Azure Defender für relationale Open-Source-Datenbanken finden Sie unter https://aka.ms/AzDforOpenSourceDBsDocu. Wichtig: Wenn Sie diesen Plan aktivieren, entstehen Gebühren für den Schutz Ihrer relationalen Open-Source-Datenbanken. Weitere Informationen zu den Preisen finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL-Server auf Computern sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Das Azure Monitor-Protokollprofil muss Protokolle für die Kategorien „write“, „delete“ und „action“ erfassen | Diese Richtlinie stellt sicher, dass ein Protokollprofil Protokolle für die Kategorien „write“, „delete“ und „action“ sammelt. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Monitor muss Aktivitätsprotokolle aus allen Regionen erfassen | Diese Richtlinie überwacht das Azure Monitor-Protokollprofil darauf, dass keine Aktivitäten aus allen unterstützten Azure-Regionen, einschließlich „Global“, exportiert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Azure Monitor-Lösung „Sicherheit und Überwachung“ muss bereitgestellt werden | Diese Richtlinie stellt sicher, dass „Sicherheit und Überwachung“ bereitgestellt wird. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure-Abonnements benötigen ein Protokollprofil für das Aktivitätsprotokoll | Diese Richtlinie stellt sicher, dass ein Protokollprofil für den Export von Aktivitätsprotokollen aktiviert ist. Sie überwacht, ob für den Export der Protokolle entweder in ein Speicherkonto oder in einen Event Hub ein Protokollprofil erstellt wurde. | AuditIfNotExists, Disabled | 1.0.0 |
| Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
| Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure-Aktivitätsprotokolle zum Streaming an einen angegebenen Log Analytics-Arbeitsbereich konfigurieren | Legt Diagnoseeinstellungen für Azure-Aktivitäten fest, damit Überwachungsprotokolle von Abonnements an einen Log Analytics-Arbeitsbereich gestreamt werden, um Ereignisse auf Abonnementebene zu überwachen. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure Defender für App Service für die Aktivierung | Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurieren von Azure Defender für Azure SQL-Datenbank für die Aktivierung | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurieren von Azure Defender für relationale Open-Source-Datenbanken als aktiviert | Azure Defender für relationale Open-Source-Datenbanken erkennt anormale Aktivitäten, die auf ungewöhnliche und potenziell schädliche Zugriffsversuche auf oder Exploits von Datenbanken hinweisen. Weitere Informationen zu den Funktionen von Azure Defender für relationale Open-Source-Datenbanken finden Sie unter https://aka.ms/AzDforOpenSourceDBsDocu. Wichtig: Wenn Sie diesen Plan aktivieren, entstehen Gebühren für den Schutz Ihrer relationalen Open-Source-Datenbanken. Weitere Informationen zu den Preisen finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren von Azure Defender für Resource Manager für die Aktivierung | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren von Azure Defender für Server für die Aktivierung | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurieren von Azure Defender für SQL-Server für die Aktivierung auf Computern | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | DeployIfNotExists, Disabled | 1.0.1 |
| Grundlegenden Microsoft Defender für Storage (nur Aktivitätsüberwachung) in Konfiguration aktivieren | Microsoft Defender für Storage ist eine Azure-native Ebene der Sicherheitsintelligenz, die potentielle Bedrohungen Ihrer Speicherkonten erkennt. Diese Richtlinie aktiviert die grundlegenden Funktionen von Defender für Storage (Aktivitätsüberwachung). Verwenden Sie zum Aktivieren des vollständigen Schutzes, der auch die Prüfung auf Malware beim Hochladen und die Erkennung von Bedrohungen vertraulicher Daten umfasst, die vollständige Aktivierungsrichtlinie: aka.ms/DefenderForStoragePolicy. Weitere Informationen zu den Funktionen und Vorteilen von Defender für Storage finden Sie unter aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren der Notfallwiederherstellung auf VMs durch Aktivieren der Replikation über Azure Site Recovery | Virtuelle Computer ohne Notfallwiederherstellungskonfigurationen sind anfällig für Ausfälle und andere Unterbrechungen. Wenn für den virtuellen Computer noch keine Notfallwiederherstellung konfiguriert ist, wird dies durch Aktivieren der Replikation unter Verwendung vordefinierter Konfigurationen initiiert, um die Geschäftskontinuität zu gewährleisten. Sie können optional virtuelle Computer einschließen/ausschließen, die ein bestimmtes Tag enthalten, um den Umfang der Zuweisung zu kontrollieren. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. | DeployIfNotExists, Disabled | 2.1.0 |
| Konfigurieren des Log Analytics-Arbeitsbereichs und des Automation-Kontos zum Zentralisieren von Protokollen und Überwachungen | Stellen Sie die Ressourcengruppe mit dem Log Analytics-Arbeitsbereich und dem verknüpften Automation-Konto bereit, um Protokolle und Überwachungen zu zentralisieren. Das Automation-Konto ist für Lösungen wie Updates und Änderungsnachverfolgung erforderlich. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
| Konfigurieren des Microsoft Defender CSPM-Plans | Defender Cloud Security Posture Management (CSPM) bietet erweiterte Statusfunktionen und einen neuen intelligenten Cloudsicherheitsgraphen, um Risiken zu identifizieren, zu priorisieren und zu verringern. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Funktionen für den Sicherheitsstatus verfügbar, die in Defender for Cloud standardmäßig aktiviert sind. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren der Aktivierung von Microsoft Defender-CSPM | Defender Cloud Security Posture Management (CSPM) bietet erweiterte Statusfunktionen und einen neuen intelligenten Cloudsicherheitsgraphen, um Risiken zu identifizieren, zu priorisieren und zu verringern. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Funktionen für den Sicherheitsstatus verfügbar, die in Defender for Cloud standardmäßig aktiviert sind. | DeployIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender für Azure Cosmos DB für die Aktivierung konfigurieren | Microsoft Defender für Azure Cosmos DB ist eine in Azure native Sicherheitsebene, die Versuche erkennt, Datenbanken in Ihren Azure Cosmos DB-Konten auszunutzen. Defender für Azure Cosmos DB erkennt potenzielle Einschleusungen von SQL-Befehlen, bekannte böswillige Akteure basierend auf Microsoft Threat Intelligence, verdächtige Zugriffsmuster und potenzielle Exploits Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren des Microsoft Defender for Containers-Plans | Neue Funktionen werden dem Defender for Containers-Plan kontinuierlich hinzugefügt, was die explizite Aktivierung durch den Benutzer erfordern kann. Verwenden Sie diese Richtlinie, um sicherzustellen, dass alle neuen Funktionen aktiviert werden. | DeployIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Container als Aktiviert konfigurieren | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurieren der Integrationseinstellungen für Microsoft Defender for Endpoint mit Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | Konfiguriert die Integrationseinstellungen für Microsoft Defender for Endpoint in Microsoft Defender for Cloud (auch bekannt als WDATP_EXCLUDE_LINUX_...), um die automatische MDE-Bereitstellung für Linux-Server zu aktivieren. Die WDATP-Einstellung muss aktiviert sein, damit diese Einstellung angewendet werden kann. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren der Integrationseinstellungen für Microsoft Defender for Endpoint mit Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) | Konfiguriert die Integrationseinstellungen für Microsoft Defender for Endpoint in Microsoft Defender for Cloud (auch bekannt als WDATP_UNIFIED_SOLUTION), um die automatische Bereitstellung von MDE Unified Agent für Windows Server 2012R2 und 2016 zu aktivieren. Die WDATP-Einstellung muss aktiviert sein, damit diese Einstellung angewendet werden kann. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren der Integrationseinstellungen für Microsoft Defender for Endpoint mit Microsoft Defender for Cloud (WDATP) | Konfiguriert die Integrationseinstellungen für Microsoft Defender for Endpoint in Microsoft Defender for Cloud (auch bekannt als WDATP) für Windows-Downlevelcomputer, für die ein Onboarding über MMA in MDE durchgeführt wurde, und für die automatische Bereitstellung von MDE auf Windows Server 2019 sowie Windows Virtual Desktop und höher. Muss aktiviert sein, damit die anderen Einstellungen (wie WDATP_UNIFIED) funktionieren. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren des Microsoft Defender for Key Vault-Plans | Microsoft Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Versuche, auf Key Vault-Konten zuzugreifen oder sie zu missbrauchen, ermittelt werden. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren des Microsoft Defender for Servers-Plans | Neue Funktionen werden Defender for Servers kontinuierlich hinzugefügt, was die explizite Aktivierung durch den Benutzer erfordern kann. Verwenden Sie diese Richtlinie, um sicherzustellen, dass alle neuen Funktionen aktiviert werden. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurieren zum Aktivieren von Microsoft Defender für Storage (klassisch) | Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. | DeployIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender für Storage in Konfiguration aktivieren | Microsoft Defender für Storage ist eine Azure-native Ebene der Sicherheitsintelligenz, die potentielle Bedrohungen Ihrer Speicherkonten erkennt. Mit dieser Richtlinie werden alle Defender für Storage-Funktionen aktiviert: Aktivitätsüberwachung, Prüfung auf Schadsoftware und Erkennung von Bedrohungen sensibler Daten. Weitere Informationen zu den Funktionen und Vorteilen von Defender für Storage finden Sie unter aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.4.0 |
| Konfigurieren von Microsoft Defender Threat Protection für KI-Workloads | Neue Funktionen werden kontinuierlich zum Bedrohungsschutz für KI-Workloads hinzugefügt, was die explizite Aktivierung des Benutzers erfordern kann. Verwenden Sie diese Richtlinie, um sicherzustellen, dass alle neuen Funktionen aktiviert werden. | DeployIfNotExists, Disabled | 1.0.0 |
| Abonnements zum Einrichten von Previewfunktionen konfigurieren | Diese Richtlinie wertet die Previewfunktionen eines vorhandenen Abonnements aus. Abonnements können korrigiert werden, um bei einer neuen Previewfunktion registriert zu werden. Neue Abonnements werden nicht automatisch registriert. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Bereitstellen – Unterdrückungsregeln für Azure Security Center-Warnungen konfigurieren | Unterdrücken Sie Azure Security Center-Warnungen, um eine Überlastung durch zu viele Warnungen zu vermeiden, indem Sie Unterdrückungsregeln für Ihre Verwaltungsgruppe oder Ihr Abonnement bereitstellen. | deployIfNotExists | 1.0.0 |
| Export in Event Hub als vertrauenswürdigen Dienst für Microsoft Defender for Cloud-Daten bereitstellen | Aktivieren Sie den Export in Event Hub als vertrauenswürdigen Dienst von Microsoft Defender for Cloud-Daten. Diese Richtlinie stellt einen Export in Event Hub als Konfiguration eines vertrauenswürdigen Dienstes mit Ihren Bedingungen und der Event Hub-Zielinstanz für den zugewiesenen Bereich bereit. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | DeployIfNotExists, Disabled | 1.0.0 |
| Export für Microsoft Defender für Cloud-Daten in Event Hub bereitstellen | Aktivieren Sie den Export in den Event Hub von Microsoft Defender für Cloud-Daten. Diese Richtlinie stellt einen Export in die Event Hub-Konfiguration mit Ihren Bedingungen und der Event Hub-Zielinstanz für den zugewiesenen Bereich bereit. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 4.2.0 |
| Export zu Log Analytics-Arbeitsbereich für Microsoft Defender für Cloud-Daten bereitstellen | Aktivieren Sie den Export in den Log Analytics-Arbeitsbereich von Microsoft Defender für Clouddaten. Diese Richtlinie stellt einen Export in die Konfiguration eines Log Analytics-Arbeitsbereichs mit Ihren Bedingungen und dem Zielarbeitsbereich für den zugewiesenen Bereich bereit. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 4.1.0 |
| Bereitstellen der Workflowautomatisierung für Microsoft Defender für Cloud-Warnungen | Aktivieren Sie die Automatisierung von Microsoft Defender für Cloudbenachrichtigungen. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 5.0.1 |
| Bereitstellen der Workflowautomatisierung für Microsoft Defender für Cloud-Empfehlungen | Aktivieren Sie die Automatisierung von Microsoft Defender für Cloud-Empfehlungen. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 5.0.1 |
| Bereitstellen der Workflowautomatisierung für die Einhaltung gesetzlicher Bestimmungen in Microsoft Defender für Cloud | Aktivieren Sie die Automatisierung von Microsoft Defender für die Cloud-Compliance. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 5.0.1 |
| E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.2.0 |
| E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein | Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 2.1.0 |
| Aktivieren von Microsoft Defender für Cloud in Ihrem Abonnement | Identifiziert vorhandene Abonnements, die von Microsoft Defender für Cloud nicht überwacht werden, und schützt sie mit den kostenlosen Features von Defender für Cloud. Abonnements, die bereits überwacht werden, werden als konform betrachtet. Um neu erstellte Abonnements zu registrieren, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen einen Wartungstask. | deployIfNotExists | 1.0.1 |
| Aktivieren der automatischen Bereitstellung des Log Analytics-Agents für Ihre Abonnements mit einem benutzerdefinierten Arbeitsbereich in Security Center | Ermöglichen Sie Security Center die automatische Bereitstellung des Log Analytics-Agents für Ihre Abonnements, um Sicherheitsdaten über einen benutzerdefinierten Arbeitsbereich zu überwachen und zu sammeln. | DeployIfNotExists, Disabled | 1.0.0 |
| Aktivieren der automatischen Bereitstellung des Log Analytics-Agents für Ihre Abonnements mit dem Standardarbeitsbereich in Security Center | Ermöglichen Sie Security Center die automatische Bereitstellung des Log Analytics-Agents für Ihre Abonnements, um Sicherheitsdaten über den ASC-Standardarbeitsbereich zu überwachen und zu sammeln. | DeployIfNotExists, Disabled | 1.0.0 |
| Aktivieren des Bedrohungsschutzes für KI-Workloads | Der Microsoft-Bedrohungsschutz für KI-Workloads bietet kontextbezogene, nachweisbasierte Sicherheitswarnungen zum Schutz benutzerdefinierter Anwendungen mit generativer KI. | DeployIfNotExists, Disabled | 1.0.0 |
| Ausschließen von Ressourcen für Nutzungskosten | Mit dieser Richtlinie können Sie Ressourcen für Nutzungskosten ausschließen. Zu den Nutzungskosten gehören Dinge wie gebührenpflichtiger Speicher und Azure-Ressourcen, die nutzungsabhängig abgerechnet werden. | Audit, Deny, Disabled | 1.0.0 |
| Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. | Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender-CSPM muss aktiviert sein. | Defender Cloud Security Posture Management (CSPM) bietet erweiterte Statusfunktionen und einen neuen intelligenten Cloudsicherheitsgraphen, um Risiken zu identifizieren, zu priorisieren und zu verringern. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Funktionen für den Sicherheitsstatus verfügbar, die in Defender for Cloud standardmäßig aktiviert sind. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für APIs muss aktiviert sein. | Microsoft Defender für APIs bietet neue Ermittlungs-, Schutz-, Erkennungs- und Reaktionsabdeckung, um allgemeine API-basierte Angriffe und Sicherheitsfehler zu überwachen. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Defender für Azure Cosmos DB sollte aktiviert sein | Microsoft Defender für Azure Cosmos DB ist eine in Azure native Sicherheitsebene, die Versuche erkennt, Datenbanken in Ihren Azure Cosmos DB-Konten auszunutzen. Defender für Azure Cosmos DB erkennt potenzielle Einschleusungen von SQL-Befehlen, bekannte böswillige Akteure basierend auf Microsoft Threat Intelligence, verdächtige Zugriffsmuster und potenzielle Exploits Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage muss aktiviert sein. | Microsoft Defender for Storage erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Der neue Defender for Storage-Plan umfasst die Überprüfung auf Schadsoftware und die Bedrohungserkennung für vertrauliche Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Disabled | 1.0.0 |
| Tag und zugehöriger Wert für Ressourcengruppen erforderlich | Erzwingt ein erforderliches Tag und dessen Wert für Ressourcengruppen. | deny | 1.0.0 |
| Tag für Ressourcengruppen erforderlich | Hiermit wird das Vorhandensein eines Tags für Ressourcengruppen erzwungen. | deny | 1.0.0 |
| Einrichten von Abonnements für den Übergang zu einer alternativen Lösung zur Sicherheitsrisikobewertung | Microsoft Defender for Cloud bietet eine kostenlose Überprüfung auf Sicherheitsrisiken für Ihre Computer. Das Aktivieren dieser Richtlinie führt dazu, dass Defender for Cloud die Ergebnisse aus der integrierten Microsoft Defender-Sicherheitsrisikoverwaltungslösung automatisch an alle unterstützten Computer weiterverbreitet. | DeployIfNotExists, Disabled | 1.0.0-preview |
| In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
| Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein | Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. | AuditIfNotExists, Disabled | 3.0.0 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.