Freigeben über


Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß NIST SP 800-53 Rev. 5 (Azure Government)

Der folgende Artikel enthält Details dazu, wie die integrierte Azure Policy-Initiative zur Einhaltung gesetzlicher Bestimmungen den Compliancebereichen und Steuerungen in NIST SP 800-53 Rev. 5 (Azure Government) entspricht. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 5. Um die Eigentumsverhältnisse zu verstehen, überprüfen Sie den Richtlinientyp und die gemeinsame Verantwortung in der Cloud.

Die folgenden Zuordnungen gelten für die Steuerungen unter NIST SP 800-53 Rev. 5. Viele der Steuerungen werden über die Definition einer Azure Policy-Initiative implementiert. Zum Anzeigen der vollständigen Initiativendefinition öffnen Sie Policy im Azure-Portal und wählen dann die Seite Definitionen aus. Suchen Sie anschließend nach der integrierten Initiativendefinition zur Einhaltung der gesetzlichen Bestimmungen gemäß NIST SP 800-53 Rev. 5, und wählen Sie sie aus.

Wichtig

Jede Steuerung unten ist einer oder mehreren Azure Policy-Definitionen zugeordnet. Diese Richtlinien können Ihnen bei der Konformitätsbewertung mit der Steuerung helfen. Es gibt jedoch oft keine 1:1- oder vollständige Übereinstimmung zwischen einer Steuerung und einer bzw. mehreren Richtlinien. Daher bezieht sich Konform in Azure Policy nur auf die Richtliniendefinitionen selbst und gewährleistet nicht die vollständige Compliance mit allen Anforderungen einer Steuerung. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Compliancebereichen, Steuerungen und Azure Policy-Definitionen für diesen Konformitätsstandard können sich im Lauf der Zeit ändern. Den Änderungsverlaufs finden Sie im GitHub-Commit-Verlauf.

Zugriffssteuerung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 AC-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1000: Anforderungen an Richtlinien und Prozeduren für die Zugriffssteuerung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1001: Anforderungen an Richtlinien und Prozeduren für die Zugriffssteuerung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Kontoverwaltung

ID: NIST SP 800-53 Rev. 5 AC-2 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. AuditIfNotExists, Disabled 3.0.0
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
App Service-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Verwendung benutzerdefinierter RBAC-Rollen überwachen Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. Audit, Disabled 1.0.1
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. AuditIfNotExists, Disabled 1.0.0
Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. AuditIfNotExists, Disabled 1.0.0
Funktions-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Disabled 1.0.0
Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Disabled 1.0.0
Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1002: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1003: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1004: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1005: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1006: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1007: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1008: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1009: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1010: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1011: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1012: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1022: Kontoverwaltung | Stornierung von Anmeldeinformationen von freigegebenen oder Gruppenkonten Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0

Automatisierte Systemkontoverwaltung

ID: NIST SP 800-53 Rev. 5 AC-2 (1) Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Von Microsoft verwaltete Steuerung 1013: Kontoverwaltung | Automatisierte Systemkontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0

Automatisierte Verwaltung von temporären und Notfallkonten

ID: NIST SP 800-53 Rev. 5 AC-2 (2) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1014: Kontoverwaltung | Entfernen von temporären oder Notfallkonten Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Deaktivieren von Konten

ID: NIST SP 800-53 Rev. 5 AC-2 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1015: Kontoverwaltung | Deaktivieren inaktiver Konten Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Automatisierte Überwachung von Aktionen

ID: NIST SP 800-53 Rev. 5 AC-2 (4) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1016: Kontoverwaltung | Automatisierte Überwachungsaktionen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Abmeldung nach Inaktivität

ID: NIST SP 800-53 Rev. 5 AC-2 (5) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1017: Kontoverwaltung | Abmeldung bei Inaktivität Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Privilegierte Benutzerkonten

ID: NIST SP 800-53 Rev. 5 AC-2 (7) Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
Verwendung benutzerdefinierter RBAC-Rollen überwachen Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. Audit, Disabled 1.0.1
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Von Microsoft verwaltete Steuerung 1018: Kontoverwaltung | Rollenbasierte Schemas Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1019: Kontoverwaltung | Rollenbasierte Schemas Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1020: Kontoverwaltung | Rollenbasierte Schemas Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0

Einschränkungen in Bezug auf die Verwendung von freigegebenen Konten und Gruppenkonten

ID: NIST SP 800-53 Rev. 5 AC-2 (9) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1021: Kontoverwaltung | Einschränkungen bei der Verwendung von freigegebenen oder Gruppenkonten Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Nutzungsbedingungen

ID: NIST SP 800-53 Rev. 5 AC-2 (11) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1023: Kontoverwaltung | Bedingungen für die Verwendung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Kontoüberwachung auf atypische Verwendung

ID: NIST SP 800-53 Rev. 5 AC-2 (12) Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 4.0.1-preview
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL sollte für nicht geschützte SQL Managed Instance-Instanzen aktiviert werden Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage (klassisch) muss aktiviert sein Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. AuditIfNotExists, Disabled 1.0.4
Von Microsoft verwaltete Steuerung 1024: Kontoverwaltung | Kontoüberwachung/ungewöhnlich Nutzung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1025: Kontoverwaltung | Kontoüberwachung/ungewöhnlich Nutzung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Deaktivieren von Konten für Hochrisikopersonen

ID: NIST SP 800-53 Rev. 5 AC-2 (13) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1026: Kontoverwaltung | Deaktivieren von Konten für Hochrisikopersonen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Zugriffserzwingung

ID: NIST SP 800-53 Rev. 5 AC-3 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 1.3.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 1.3.0
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
App Service-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Linux-Computer überwachen, die Konten ohne Kennwörter verwenden Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die über Konten ohne Kennwörter verfügen. AuditIfNotExists, Disabled 1.4.0
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.4.0
Funktions-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1027: Erzwingen des Zugriffs Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0
Speicherkonten sollten zu neuen Azure Resource Manager-Ressourcen migriert werden Verwenden Sie den neuen Azure Resource Manager für Ihre Speicherkonten, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung. Audit, Deny, Disabled 1.0.0
VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. Audit, Deny, Disabled 1.0.0

Rollenbasierte Zugriffssteuerung

ID: NIST SP 800-53 Rev. 5 AC-3 (7) Zuständigkeit: Kunde

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. Um eine granulare Filterung anhand der durch die Benutzer ausführbaren Aktionen zu ermöglichen, verwenden Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen in Kubernetes Service-Clustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren. Audit, Disabled 1.0.4

Erzwingung des Datenflusses

ID: NIST SP 800-53 Rev. 5 AC-4 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Veraltet]: Azure Cognitive Search-Dienste müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-veraltet
[Veraltet] Cognitive Services muss eine private Verbindung verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. AuditIfNotExists, Disabled 3.0.0
API Management-Dienste müssen ein virtuelles Netzwerk verwenden Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. Audit, Deny, Disabled 1.0.2
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. AuditIfNotExists, Disabled 2.0.0
In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. Audit, Disabled 2.0.0
Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. Audit, Deny, Disabled 3.2.0
Azure Cache for Redis muss private Verbindung verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cognitive Search-Dienste müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Cognitive Search-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. Audit, Deny, Disabled 2.1.0
Azure Data Factory muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Themen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault sollte eine aktive Firewall haben Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 1.4.1
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Azure Service Bus-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Azure SignalR Service muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Synapse-Arbeitsbereiche müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
Containerregistrierungen sollten eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
CosmosDB-Konten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Datenträgerzugriffsressourcen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Event Hub-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1028: Erzwingung des Datenflusses Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. Audit, Disabled 1.1.0
Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. Audit, Deny, Disabled 1.1.0
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.1.1
Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. Audit, Deny, Disabled 1.0.1
Speicherkonten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0

Dynamische Informationsflusssteuerung

ID: NIST SP 800-53 Rev. 5 AC-4 (3) Zuständigkeit: Kunde

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0

Filter für Sicherheits- und Datenschutzrichtlinien

ID: NIST SP 800-53 Rev. 5 AC-4 (8) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1029: Erzwingung des Datenflusses | Sicherheitsrichtlinienfilter Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Physische oder logische Trennung von Informationsflüssen

ID: NIST SP 800-53 Rev. 5 AC-4 (21) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1030: Erzwingung des Datenflusses | Physische/logische Trennung von Informationsflows Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Aufgabentrennung

ID: NIST SP 800-53 Rev. 5 AC-5 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1031: Aufgabentrennung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1032: Aufgabentrennung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1033: Aufgabentrennung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. AuditIfNotExists, Disabled 3.0.0

Ansatz der geringsten Rechte

ID: NIST SP 800-53 Rev. 5 AC-6 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. AuditIfNotExists, Disabled 3.0.0
Verwendung benutzerdefinierter RBAC-Rollen überwachen Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. Audit, Disabled 1.0.1
Von Microsoft verwaltete Steuerung 1034: Ansatz der geringsten Rechte Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Autorisieren des Zugriffs auf Sicherheitsfunktionen

ID: NIST SP 800-53 Rev. 5 AC-6 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1035: Ansatz der geringsten Rechte | Autorisieren des Zugriffs auf Sicherheitsfunktionen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Nicht privilegierter Zugriff auf nicht sicherheitsrelevante Funktionen

ID: NIST SP 800-53 Rev. 5 AC-6 (2) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1036: Ansatz der geringsten Rechte | Nicht privilegierter Zugriff auf nicht sicherheitsrelevante Funktionen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Netzwerkzugriff auf privilegierte Befehle

ID: NIST SP 800-53 Rev. 5 AC-6 (3) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1037: Ansatz der geringsten Rechte | Netzwerkzugriff auf privilegierte Befehle Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Privilegierte Konten

ID: NIST SP 800-53 Rev. 5 AC-6 (5) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1038: Ansatz der geringsten Rechte | Privilegierte Konten Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Überprüfen von Benutzerberechtigungen

ID: NIST SP 800-53 Rev. 5 AC-6 (7) Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. AuditIfNotExists, Disabled 3.0.0
Verwendung benutzerdefinierter RBAC-Rollen überwachen Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. Audit, Disabled 1.0.1
Von Microsoft verwaltete Steuerung 1039: Ansatz der geringsten Rechte | Steuerung von Benutzerberechtigungen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1040: Ansatz der geringsten Rechte | Steuerung von Benutzerberechtigungen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Berechtigungsebenen für die Ausführung von Code

ID: NIST SP 800-53 Rev. 5 AC-6 (8) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1041: Ansatz der geringsten Rechte | Berechtigungsebenen für die Ausführung von Code Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Protokollieren der Verwendung privilegierter Funktionen

ID: NIST SP 800-53 Rev. 5 AC-6 (9) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1042: Ansatz der geringsten Rechte | Überwachen der Verwendung privilegierter Funktionen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Unterbinden der Ausführung privilegierter Funktionen durch unberechtigte Benutzer

ID: NIST SP 800-53 Rev. 5 AC-6 (10) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1043: Ansatz der geringsten Rechte | Unterbinden der Ausführung privilegierter Funktionen durch unberechtigte Benutzer Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Fehlgeschlagene Anmeldeversuche

ID: NIST SP 800-53 Rev. 5 AC-7 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1044: fehlerhafte Anmeldeversuche Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1045: fehlerhafte Anmeldeversuche Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Mobiles Gerät bereinigen oder zurücksetzen

ID: NIST SP 800-53 Rev. 5 AC-7 (2) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1046: Fehlgeschlagene Anmeldeversuche | Bereinigen / Zurücksetzen mobiler Geräte Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Benachrichtigung zur Systemnutzung

ID: NIST SP 800-53 Rev. 5 AC-8 Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1047: Benachrichtigung zur Systemnutzung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1048: Benachrichtigung zur Systemnutzung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1049: Benachrichtigung zur Systemnutzung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Steuerung gleichzeitiger Sitzungen

ID: NIST SP 800-53 Rev. 5 AC-10 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1050: Steuerung gleichzeitiger Sitzungen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Gerätesperre

ID: NIST SP 800-53 Rev. 5 AC-11 Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1051: Sitzungssperre Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1052: Sitzungssperre Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Unkenntlichmachung der Anzeige

ID: NIST SP 800-53 Rev. 5 AC-11 (1) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1053: Sitzungssperre | Unkenntlichmachung der Anzeige Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Beendigung der Sitzung

ID: NIST SP 800-53 Rev. 5 AC-12 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1054: Beendigung der Sitzung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Vom Benutzer initiierte Abmeldungen

ID: NIST SP 800-53 Rev. 5 AC-12 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1055: Beendigung der Sitzung | Benutzerseitig eingeleitete Abmeldungen/Meldungsanzeigen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1056: Beendigung der Sitzung | Benutzerseitig eingeleitete Abmeldungen/Meldungsanzeigen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Zulässige Aktionen ohne Identifizierung oder Authentifizierung

ID: NIST SP 800-53 Rev. 5 AC-14 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1057: zulässige Aktionen ohne Identifizierung oder Authentifizierung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1058: zulässige Aktionen ohne Identifizierung oder Authentifizierung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Sicherheits- und Datenschutzattribute

ID: NIST SP 800-53 Rev. 5 AC-16 Zuständigkeit: Kunde

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2

Remotezugriff

ID: NIST SP 800-53 Rev. 5 AC-17 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Veraltet]: Azure Cognitive Search-Dienste müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-veraltet
[Veraltet] Cognitive Services muss eine private Verbindung verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 1.3.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 1.3.0
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Bei App Service-Apps sollte das Remotedebuggen deaktiviert sein Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. AuditIfNotExists, Disabled 1.4.0
Azure Cache for Redis muss private Verbindung verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Data Factory muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Themen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. AuditIfNotExists, Disabled 1.0.0
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Azure Service Bus-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Azure SignalR Service muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Synapse-Arbeitsbereiche müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Containerregistrierungen sollten eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
CosmosDB-Konten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.4.0
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.2.0
Datenträgerzugriffsressourcen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Event Hub-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1059: Remotezugriff Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1060: Remotezugriff Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. Audit, Disabled 1.1.0
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.1.1
Speicherkonten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0

Überwachung und Steuerung

ID: NIST SP 800-53 Rev. 5 AC-17 (1) Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Veraltet]: Azure Cognitive Search-Dienste müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-veraltet
[Veraltet] Cognitive Services muss eine private Verbindung verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 1.3.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 1.3.0
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Bei App Service-Apps sollte das Remotedebuggen deaktiviert sein Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. AuditIfNotExists, Disabled 1.4.0
Azure Cache for Redis muss private Verbindung verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Data Factory muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Themen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. AuditIfNotExists, Disabled 1.0.0
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Azure Service Bus-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Azure SignalR Service muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Synapse-Arbeitsbereiche müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Containerregistrierungen sollten eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
CosmosDB-Konten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.4.0
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.2.0
Datenträgerzugriffsressourcen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Event Hub-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1061: Remotezugriff | Automatisierte Überwachung/Steuerung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. Audit, Disabled 1.1.0
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.1.1
Speicherkonten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0

Schutz der Vertraulichkeit und Integrität durch Verschlüsselung

ID: NIST SP 800-53 Rev. 5 AC-17 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1062: Remotezugriff | Schutz der Vertraulichkeit/Integrität mithilfe von Verschlüsselung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Verwaltete Zugriffssteuerungspunkte

ID: NIST SP 800-53 Rev. 5 AC-17 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1063: Remotezugriff | Verwaltete Zugriffssteuerungspunkte Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Privilegierte Befehle/Zugriff

ID: NIST SP 800-53 Rev. 5 AC-17 (4) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1064: Remotezugriff | Privilegierte Befehle/privilegierter Zugriff Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1065: Remotezugriff | Privilegierte Befehle/privilegierter Zugriff Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Trennen/Deaktivieren des Zugriffs

ID: NIST SP 800-53 Rev. 5 AC-17 (9) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1066: Remotezugriff | Trennen/Deaktivieren des Zugriffs Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Drahtloser Zugriff

ID: NIST SP 800-53 Rev. 5 AC-18 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1067: Einschränkungen des drahtlosen Zugriffs Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1068: Einschränkungen des drahtlosen Zugriffs Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Authentifizierung und Verschlüsselung

ID: NIST SP 800-53 Rev. 5 AC-18 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1069: Einschränkungen des drahtlosen Zugriffs | Authentifizierung und Verschlüsselung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Deaktivieren von Drahtlosnetzwerken

ID: NIST SP 800-53 Rev. 5 AC-18 (3) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1070: Einschränkungen des drahtlosen Zugriffs | Deaktivieren von Drahtlosnetzwerken Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Beschränken von Konfigurationen durch Benutzer

ID: NIST SP 800-53 Rev. 5 AC-18 (4) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1071: Einschränkungen des drahtlosen Zugriffs | Beschränken von Konfigurationen durch Benutzer Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Antennen/Sendeleistungspegel

ID: NIST SP 800-53 Rev. 5 AC-18 (5) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1072: Einschränkungen des drahtlosen Zugriffs | Antennen/Sendeleistungspegel Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Zugriffssteuerung für mobile Geräte

ID: NIST SP 800-53 Rev. 5 AC-19 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1073: Zugriffssteuerung für tragbare und mobile Systeme Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1074: Zugriffssteuerung für tragbare und mobile Systeme Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Vollständige geräte-/containerbasierte Verschlüsselung

ID: NIST SP 800-53 Rev. 5 AC-19 (5) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1075: Zugriffssteuerung für mobile Geräte | Vollständige geräte-/containerbasierte Verschlüsselung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Verwenden externer Systeme

ID: NIST SP 800-53 Rev. 5 AC-20 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1076: Verwendung externer Informationssysteme Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1077: Verwendung externer Informationssysteme Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Beschränkungen der zulässigen Nutzung

ID: NIST SP 800-53 Rev. 5 AC-20 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1078: Verwendung externer Informationssysteme | Beschränkungen der zulässigen Nutzung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1079: Verwendung externer Informationssysteme | Beschränkungen der zulässigen Nutzung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Tragbare Speichergeräte Eingeschränkte Nutzung

ID: NIST SP 800-53 Rev. 5 AC-20 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1080: Verwendung externer Informationssysteme | Tragbare Speichergeräte Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Gemeinsame Nutzung von Informationen

ID: NIST SP 800-53 Rev. 5 AC-21 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1081: gemeinsame Nutzung von Informationen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1082: gemeinsame Nutzung von Informationen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Öffentlich zugängliche Inhalte

ID: NIST SP 800-53 Rev. 5 AC-22 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1083: öffentlich zugängliche Inhalte Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1084: öffentlich zugängliche Inhalte Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1085: öffentlich zugängliche Inhalte Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1086: öffentlich zugängliche Inhalte Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Bewusstsein und Training

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 AT-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1087: Sicherheitsbewusstsein und -schulungen – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1088: Sicherheitsbewusstsein und -schulungen – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0

Alphabetisierungsschulung und Bewusstsein

ID: NIST SP 800-53 Rev. 5 AT-2 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1089: Sicherheitsbewusstsein Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1090: Sicherheitsbewusstsein Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1091: Sicherheitsbewusstsein Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0

Insiderbedrohung

ID: NIST SP 800-53 Rev. 5 AT-2 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1092: Sicherheitsbewusstsein | Bedrohungen von innen Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0

Rollenbasiertes Training

ID: NIST SP 800-53 Rev. 5 AT-3 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1093: Rollenbasierte Sicherheitsschulungen Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1094: Rollenbasierte Sicherheitsschulungen Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1095: Rollenbasierte Sicherheitsschulungen Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0

Praxisnahe Übungen

ID: NIST SP 800-53 Rev. 5 AT-3 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1096: Rollenbasierte Sicherheitsschulungen | Praxisnahe Übungen Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0

Trainingsdatensätze

ID: NIST SP 800-53 Rev. 5 AT-4 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1098: Datensätze von Sicherheitsschulungen Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1099: Datensätze von Sicherheitsschulungen Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0

Überwachung und Verantwortlichkeit

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 AU-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1100: Überwachung und Verantwortlichkeit – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1101: Überwachung und Verantwortlichkeit – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Ereignisprotokollierung

ID: NIST SP 800-53 Rev. 5 AU-2 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1102: Überwachen von Ereignissen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1103: Überwachen von Ereignissen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1104: Überwachen von Ereignissen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1105: Überwachen von Ereignissen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1106: Überwachen von Ereignissen | Überprüfungen und Updates Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Inhalt der Überwachungsdatensätze

ID: NIST SP 800-53 Rev. 5 AU-3 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1107: Inhalt der Überwachungsdatensätze Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Zusätzliche Überwachungsinformationen

ID: NIST SP 800-53 Rev. 5 AU-3 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1108: Inhalt der Überwachungsdatensätze | Zusätzliche Überwachungsinformationen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Speicherkapazität für Überwachungsprotokolle

ID: NIST SP 800-53 Rev. 5 AU-4 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1110: Speicherkapazität für Überwachungsdatensätze Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Reaktion auf Fehler beim Überwachungsprotokollierungsprozess

ID: NIST SP 800-53 Rev. 5 AU-5 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1111: Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1112: Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Warnung zu Speicherkapazität

ID: NIST SP 800-53 Rev. 5 AU-5 (1) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1113: Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen | Speicherkapazitäten für Überwachungsdatensätze Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Benachrichtigungen in Echtzeit

ID: NIST SP 800-53 Rev. 5 AU-5 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1114: Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen | Benachrichtigungen in Echtzeit Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Prüfung, Analyse und Berichterstellung zum Überwachungsdatensatz

ID: NIST SP 800-53 Rev. 5 AU-6 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 4.0.1-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage (klassisch) muss aktiviert sein Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. AuditIfNotExists, Disabled 1.0.4
Von Microsoft verwaltete Steuerung 1115: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1116: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1123: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Anpassung der Überwachungsebene Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0

Automatisierte Prozessintegration

ID: NIST SP 800-53 Rev. 5 AU-6 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1117: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Prozessintegration Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Korrelieren von Repositorys für Überwachungsdatensätze

ID: NIST SP 800-53 Rev. 5 AU-6 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1118: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Korrelieren von Überwachungsrepositorys Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Zentrale Überprüfung und Analyse

ID: NIST SP 800-53 Rev. 5 AU-6 (4) Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 4.0.1-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 2.0.1
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 2.0.0
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.2
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage (klassisch) muss aktiviert sein Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. AuditIfNotExists, Disabled 1.0.4
Von Microsoft verwaltete Steuerung 1119: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Zentrale Überprüfung und Analyse Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Key Vault müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.1.0
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Service Bus müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

Integrierte Analyse von Überwachungsdatensätzen

ID: NIST SP 800-53 Rev. 5 AU-6 (5) Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 4.0.1-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 2.0.1
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 2.0.0
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.2
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage (klassisch) muss aktiviert sein Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. AuditIfNotExists, Disabled 1.0.4
Von Microsoft verwaltete Steuerung 1120: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Integrations-, Scan- und Überwachungsfunktionen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Key Vault müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.1.0
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Service Bus müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

Korrelation mit der physischen Überwachung

ID: NIST SP 800-53 Rev. 5 AU-6 (6) Eigentum: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1121: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Korrelation mit der physischen Überwachung Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Zulässige Aktionen

ID: NIST SP 800-53 Rev. 5 AU-6 (7) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1122: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Zulässige Aktionen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Reduzierung von Überwachungsdatensätzen und Berichterstellung

ID: NIST SP 800-53 Rev. 5 AU-7 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1124: Überwachungsreduzierung und Berichterstellung Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1125: Überwachungsreduzierung und Berichterstellung Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Automatische Verarbeitung

ID: NIST SP 800-53 Rev. 5 AU-7 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1126: Überwachungsreduzierung und Berichterstellung | Automatische Verarbeitung Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Zeitstempel

ID: NIST SP 800-53 Rev. 5 AU-8 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1127: Zeitstempel Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1128: Zeitstempel Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Schutz von Überwachungsinformationen

ID: NIST SP 800-53 Rev. 5 AU-9 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1131: Schutz von Überwachungsinformationen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Speichern auf separaten physischen Systemen oder Komponenten

ID: NIST SP 800-53 Rev. 5 AU-9 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1132: Schutz von Überwachungsinformationen | Sicherung von Überwachungsinformationen auf getrennten physischen Systemen/Komponenten Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Kryptografischer Schutz

ID: NIST SP 800-53 Rev. 5 AU-9 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1133: Schutz von Überwachungsinformationen | Kryptografischer Schutz Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Zugriff durch eine Teilmenge berechtigter Benutzer

ID: NIST SP 800-53 Rev. 5 AU-9 (4) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1134: Schutz von Überwachungsinformationen | Zugriff durch eine Teilmenge berechtigter Benutzer Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Unleugbarkeit

ID: NIST SP 800-53 Rev. 5 AU-10 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1135: Unleugbarkeit Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Aufbewahrung von Überwachungsdatensätzen

ID: NIST SP 800-53 Rev. 5 AU-11 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1136: Aufbewahrung von Überwachungsdatensätzen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL Server-Überwachung im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. AuditIfNotExists, Disabled 3.0.0

Generierung von Überwachungsdatensätzen

ID: NIST SP 800-53 Rev. 5 AU-12 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 4.0.1-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 2.0.1
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 2.0.0
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.2
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage (klassisch) muss aktiviert sein Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. AuditIfNotExists, Disabled 1.0.4
Von Microsoft verwaltete Steuerung 1137: Generierung von Überwachungsdatensätzen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1138: Generierung von Überwachungsdatensätzen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1139: Generierung von Überwachungsdatensätzen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Key Vault müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.1.0
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Service Bus müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

Systemweiter und zeitkorrelierter Überwachungspfad

ID: NIST SP 800-53 Rev. 5 AU-12 (1) Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 4.0.1-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 2.0.1
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 2.0.0
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.2
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage (klassisch) muss aktiviert sein Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. AuditIfNotExists, Disabled 1.0.4
Von Microsoft verwaltete Steuerung 1140: Generierung von Überwachungsdatensätzen | Systemweiter bzw. zeitlich korrelierter Überwachungspfad Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Key Vault müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.1.0
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Service Bus müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

Änderungen durch autorisierte Personen

ID: NIST SP 800-53 Rev. 5 AU-12 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1141: Generierung von Überwachungsdatensätzen | Änderungen durch autorisierte Personen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Bewertung, Autorisierung und Überwachung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 CA-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1142: Richtlinien und Prozeduren zur Zertifizierung, Autorisierung und Sicherheitsbewertung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1143: Richtlinien und Prozeduren zur Zertifizierung, Autorisierung und Sicherheitsbewertung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Steuerelementbewertungen

ID: NIST SP 800-53 Rev. 5 CA-2 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1144: Sicherheitsbewertungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1145: Sicherheitsbewertungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1146: Sicherheitsbewertungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1147: Sicherheitsbewertungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Unabhängige Gutachter

ID: NIST SP 800-53 Rev. 5 CA-2 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1148: Sicherheitsbewertungen | Unabhängige Gutachter Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Spezialisierte Bewertungen

ID: NIST SP 800-53 Rev. 5 CA-2 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1149: Sicherheitsbewertungen | Spezialisierte Bewertungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Nutzen von Ergebnissen externer Organisationen

ID: NIST SP 800-53 Rev. 5 CA-2 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1150: Sicherheitsbewertungen | Externe Organisationen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Informationsaustausch

ID: NIST SP 800-53 Rev. 5 CA-3 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1151: Systemverbindungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1152: Systemverbindungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1153: Systemverbindungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Aktions- und Meilensteinplan

ID: NIST SP 800-53 Rev. 5 CA-5 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1156: Aktions- und Meilensteinplan Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1157: Aktions- und Meilensteinplan Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Authorization

ID: NIST SP 800-53 Rev. 5 CA-6 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1158: Sicherheitsautorisierung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1159: Sicherheitsautorisierung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1160: Sicherheitsautorisierung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Kontinuierliche Überwachung

ID: NIST SP 800-53 Rev. 5 CA-7 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1161: kontinuierliche Überwachung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1162: kontinuierliche Überwachung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1163: kontinuierliche Überwachung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1164: kontinuierliche Überwachung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1165: kontinuierliche Überwachung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1166: kontinuierliche Überwachung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1167: kontinuierliche Überwachung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Unabhängige Bewertung

ID: NIST SP 800-53 Rev. 5 CA-7 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1168: kontinuierliche Überwachung | Unabhängige Bewertung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Trendanalyse

ID: NIST SP 800-53 Rev. 5 CA-7 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1169: kontinuierliche Überwachung | Trendanalyse Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Penetrationstests

ID: NIST SP 800-53 Rev. 5 CA-8 Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1170: Penetrationstests Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Unabhängiger Dienstleister oder Team für Penetrationstests

ID: NIST SP 800-53 Rev. 5 CA-8 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1171: Penetrationstests | Unabhängiger Dienstleister oder Team für Penetrationstests Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Interne Systemverbindungen

ID: NIST SP 800-53 Rev. 5 CA-9 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1172: interne Systemverbindungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1173: interne Systemverbindungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Konfigurationsverwaltung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 CM-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1174: Konfigurationsverwaltung – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1175: Konfigurationsverwaltung – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Baselinekonfiguration

ID: NIST SP 800-53 Rev. 5 CM-2 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1176: Baselinekonfiguration Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1177: Baselinekonfiguration | Überprüfungen und Updates Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1178: Baselinekonfiguration | Überprüfungen und Updates Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1179: Baselinekonfiguration | Überprüfungen und Updates Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Automatisierungsunterstützung zur Steigerung der Genauigkeit/Aktualität

ID: NIST SP 800-53 Rev. 5 CM-2 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1180: Baselinekonfiguration | Automatisierungsunterstützung zur Steigerung der Genauigkeit/Währung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Beibehaltung von vorherigen Konfigurationen

ID: NIST SP 800-53 Rev. 5 CM-2 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1181: Baselinekonfiguration | Beibehaltung von vorherigen Konfigurationen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Konfigurieren von Systemen und Komponenten für Gebiete mit hohem Risiko

ID: NIST SP 800-53 Rev. 5 CM-2 (7) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1182: Baselinekonfiguration | Konfigurieren von Systemen, Komponenten und Geräten für Gebiete mit hohem Risiko Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1183: Baselinekonfiguration | Konfigurieren von Systemen, Komponenten und Geräten für Gebiete mit hohem Risiko Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Steuerung von Konfigurationsänderungen

ID: NIST SP 800-53 Rev. 5 CM-3 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1184: Steuerung von Konfigurationsänderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1185: Steuerung von Konfigurationsänderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1186: Steuerung von Konfigurationsänderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1187: Steuerung von Konfigurationsänderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1188: Steuerung von Konfigurationsänderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1189: Steuerung von Konfigurationsänderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1190: Steuerung von Konfigurationsänderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Automatisierte Dokumentation, Benachrichtigung und Verbot von Änderungen

ID: NIST SP 800-53 Rev. 5 CM-3 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1191: Steuerung von Konfigurationsänderungen | Automatisierte Mechanismen zu Dokumentations-, Benachrichtigungs- und Änderungsverboten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1192: Steuerung von Konfigurationsänderungen | Automatisierte Mechanismen zu Dokumentations-, Benachrichtigungs- und Änderungsverboten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1193: Steuerung von Konfigurationsänderungen | Automatisierte Mechanismen zu Dokumentations-, Benachrichtigungs- und Änderungsverboten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1194: Steuerung von Konfigurationsänderungen | Automatisierte Mechanismen zu Dokumentations-, Benachrichtigungs- und Änderungsverboten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1195: Steuerung von Konfigurationsänderungen | Automatisierte Mechanismen zu Dokumentations-, Benachrichtigungs- und Änderungsverboten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1196: Steuerung von Konfigurationsänderungen | Automatisierte Mechanismen zu Dokumentations-, Benachrichtigungs- und Änderungsverboten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Testen, Überprüfen und Dokumentation von Änderungen

ID: NIST SP 800-53 Rev. 5 CM-3 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1197: Steuerung von Konfigurationsänderungen | Testen, Überprüfen und Dokumentieren von Änderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Sicherheits- und Datenschutzbeauftragte

ID: NIST SP 800-53 Rev. 5 CM-3 (4) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1198: Steuerung von Konfigurationsänderungen | Sicherheitsbeauftragter Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Verwaltung von kryptografischen Mechanismen

ID: NIST SP 800-53 Rev. 5 CM-3 (6) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1199: Steuerung von Konfigurationsänderungen | Verwaltung von kryptografischen Mechanismen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Auswirkungenanalysen

ID: NIST SP 800-53 Rev. 5 CM-4 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1200: Analyse der Auswirkungen auf die Sicherheit Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Trennen von Testumgebungen

ID: NIST SP 800-53 Rev. 5 CM-4 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1201: Analyse der Auswirkungen auf die Sicherheit | Trennen von Testumgebungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Zugriffseinschränkungen für Änderungen

ID: NIST SP 800-53 Rev. 5 CM-5 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1202: Zugriffseinschränkungen für Änderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Automatisierte Zugriffserzwingung und Überwachungsdatensätze

ID: NIST SP 800-53 Rev. 5 CM-5 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1203: Zugriffseinschränkungen für Änderungen | Automatisierte Zugriffserzwingung und Überwachung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Berechtigungsbeschränkung für Produktion und Betrieb

ID: NIST SP 800-53 Rev. 5 CM-5 (5) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1206: Zugriffseinschränkungen für Änderungen | Beschränken von Berechtigungen in Bezug auf Produktion/Betrieb Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1207: Zugriffseinschränkungen für Änderungen | Beschränken von Berechtigungen in Bezug auf Produktion/Betrieb Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Konfigurationseinstellungen

ID: NIST SP 800-53 Rev. 5 CM-6 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Veraltet]: Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit gültigen Zertifikaten können auf die App zugreifen. Diese Richtlinie wurde durch eine neue Richtlinie mit demselben Namen ersetzt, da HTTP 2.0 keine Clientzertifikate unterstützt. Audit, Disabled 3.1.0-deprecated
App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. AuditIfNotExists, Disabled 1.0.0
Für App Service-Apps sollte das Remotedebuggen deaktiviert sein Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. AuditIfNotExists, Disabled 2.0.0
Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen OPA-Webhook (Open Policy Agent) für die Zugangssteuerung, um umfassende Durchsetzungen und Schutzvorrichtungen für Ihre Cluster zentral und konsistent anzuwenden. Audit, Disabled 1.0.2
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. AuditIfNotExists, Disabled 2.0.0
CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 10.2.0
Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben Hiermit wird verhindert, dass Podcontainer die Namespaces für Hostprozess-ID und Host-IPC in einem Kubernetes-Cluster freigeben. Diese Empfehlung ist Bestandteil von CIS 5.2.2 und CIS 5.2.3, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 6.1.0
Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 7.1.1
Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 7.1.0
Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 10.2.0
Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 7.1.0
Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist für Kubernetes Service (AKS) und Azure Arc-fähiges Kubernetes allgemein verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 7.1.1
Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 7.1.1
Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden Schränken Sie den Podzugriff auf das Hostnetzwerk und den zulässigen Hostportbereich in einem Kubernetes-Cluster ein. Diese Empfehlung ist Teil von CIS 5.2.4, um die Sicherheit Ihrer Kubernetes-Umgebungen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 7.1.0
Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 9.1.0
Kubernetes-Cluster dürfen keine privilegierten Container zulassen Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 10.1.0
Kubernetes-Cluster dürfen keine Rechteausweitung zulassen Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 8.1.0
Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen. Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. AuditIfNotExists, Disabled 1.5.0
Von Microsoft verwaltete Steuerung 1208: Konfigurationseinstellungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1209: Konfigurationseinstellungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1210: Konfigurationseinstellungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1211: Konfigurationseinstellungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. AuditIfNotExists, Disabled 1.0.0

Automatisierte Verwaltung, Anwendung und Überprüfung

ID: NIST SP 800-53 Rev. 5 CM-6 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1212: Konfigurationseinstellungen | Automatisierte zentrale Verwaltung, Anwendung und Überprüfung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Reaktion auf nicht autorisierte Änderungen

ID: NIST SP 800-53 Rev. 5 CM-6 (2) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1213: Konfigurationseinstellungen | Reaktion auf nicht autorisierte Änderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Mindestfunktionalität

ID: NIST SP 800-53 Rev. 5 CM-7 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Von Microsoft verwaltete Steuerung 1214: Mindestfunktionalität Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1215: Mindestfunktionalität Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Regelmäßige Überprüfung

ID: NIST SP 800-53 Rev. 5 CM-7 (1) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1216: Mindestfunktionalität | Regelmäßige Überprüfung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1217: Mindestfunktionalität | Regelmäßige Überprüfung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Programmausführung verhindern

ID: NIST SP 800-53 Rev. 5 CM-7 (2) Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1218: Mindestfunktionalität | Unterbinden der Programmausführung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Autorisierte Software Ausnahmsweise zulassen

ID: NIST SP 800-53 Rev. 5 CM-7 (5) Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1219: Mindestfunktionalität | Autorisierte Software und Whitelists Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1220: Mindestfunktionalität | Autorisierte Software und Whitelists Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1221: Mindestfunktionalität | Autorisierte Software und Whitelists Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Komponentenbestand des Systems

ID: NIST SP 800-53 Rev. 5 CM-8 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1222: Komponentenbestand des Informationssystems Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1223: Komponentenbestand des Informationssystems Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1229: Komponentenbestand des Informationssystems | Vermeidung einer doppelten Kontoverwaltung für Komponenten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Updates bei Installationen und Entfernungen

ID: NIST SP 800-53 Rev. 5 CM-8 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1224: Komponentenbestand des Informationssystems | Updates bei Installationen und Entfernungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Automatisierte Wartung

ID: NIST SP 800-53 Rev. 5 CM-8 (2) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1225: Komponentenbestand des Informationssystems | Automatisierte Wartung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Automatisierte Erkennung von nicht autorisierten Komponenten

ID: NIST SP 800-53 Rev. 5 CM-8 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1226: Komponentenbestand des Informationssystems | Automatisierte Erkennung von nicht autorisierten Komponenten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1227: Komponentenbestand des Informationssystems | Automatisierte Erkennung von nicht autorisierten Komponenten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1241: von Benutzern installierte Software | Benachrichtigungen zu nicht autorisierten Installationen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Informationen zur Verantwortlichkeit

ID: NIST SP 800-53 Rev. 5 CM-8 (4) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1228: Komponentenbestand des Informationssystems | Informationen zur Verantwortlichkeit Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Konfigurationsverwaltungsplan

ID: NIST SP 800-53 Rev. 5 CM-9 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1230: Konfigurationsverwaltungsplan Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1231: Konfigurationsverwaltungsplan Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1232: Konfigurationsverwaltungsplan Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1233: Konfigurationsverwaltungsplan Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Einschränkungen für die Softwarenutzung

ID: NIST SP 800-53 Rev. 5 CM-10 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1234: Einschränkungen für die Softwarenutzung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1235: Einschränkungen für die Softwarenutzung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1236: Einschränkungen für die Softwarenutzung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Open-Source-Software

ID: NIST SP 800-53 Rev. 5 CM-10 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1237: Einschränkungen für die Softwarenutzung | Open-Source-Software Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Von Benutzern installierte Software

ID: NIST SP 800-53 Rev. 5 CM-11 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1238: von Benutzern installierte Software Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1239: von Benutzern installierte Software Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1240: von Benutzern installierte Software Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Notfallplanung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 CP-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1242: Notfallplanungsrichtlinie und -verfahren Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1243: Notfallplanungsrichtlinie und -verfahren Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Notfallplan

ID: NIST SP 800-53 Rev. 5 CP-2 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1244: Notfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1245: Notfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1246: Notfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1247: Notfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1248: Notfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1249: Notfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1250: Notfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

ID: NIST SP 800-53 Rev. 5 CP-2 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1251: Notfallplan | Koordination mit zugehörigen Plänen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Capacity Planning

ID: NIST SP 800-53 Rev. 5 CP-2 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1252: Notfallplan | Kapazitätsplanung Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Wiederaufnehmen wesentlicher Organisationsziele/Geschäftsfunktionen

ID: NIST SP 800-53 Rev. 5 CP-2 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1253: Notfallplan | Wiederaufnehmen wesentlicher Organisationsziele/Geschäftsfunktionen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1254: Notfallplan | Wiederaufnehmen aller Organisationsziele/Geschäftsfunktionen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Aufrechterhalten wesentlicher Organisationsziele/Geschäftsfunktionen

ID: NIST SP 800-53 Rev. 5 CP-2 (5) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1255: Notfallplan | Aufrechterhalten wesentlicher Organisationsziele/Geschäftsfunktionen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Identifizieren kritischer Ressourcen

ID: NIST SP 800-53 Rev. 5 CP-2 (8) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1256: Notfallplan | Identifizieren kritischer Ressourcen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Schulungen zu Notfallplänen

ID: NIST SP 800-53 Rev. 5 CP-3 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1257: Schulungen zu Notfallplänen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1258: Schulungen zu Notfallplänen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1259: Schulungen zu Notfallplänen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Simulierte Ereignisse

ID: NIST SP 800-53 Rev. 5 CP-3 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1260: Schulungen zu Notfallplänen | Simulierte Ereignisse Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Notfallplantests

ID: NIST SP 800-53 Rev. 5 CP-4 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1261: Notfallplantests Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1262: Notfallplantests Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1263: Notfallplantests Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

ID: NIST SP 800-53 Rev. 5 CP-4 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1264: Notfallplantests | Koordination mit zugehörigen Plänen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Alternativer Verarbeitungsstandort

ID: NIST SP 800-53 Rev. 5 CP-4 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1265: Notfallplantests | Alternativer Verarbeitungsstandort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1266: Notfallplantests | Alternativer Verarbeitungsstandort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Alternativer Speicherort

ID: NIST SP 800-53 Rev. 5 CP-6 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundanter Speicher muss für Speicherkonten aktiviert sein Georedundanz zum Erstellen hoch verfügbarer Anwendungen verwenden Audit, Disabled 1.0.0
Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein Diese Richtlinie überwacht alle Azure SQL-Datenbank-Instanzen mit nicht aktivierter langfristiger georedundanter Sicherung. AuditIfNotExists, Disabled 2.0.0
Von Microsoft verwaltete Steuerung 1267: alternativer Speicherstandort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1268: alternativer Speicherstandort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Trennung vom primären Standort

ID: NIST SP 800-53 Rev. 5 CP-6 (1) Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundanter Speicher muss für Speicherkonten aktiviert sein Georedundanz zum Erstellen hoch verfügbarer Anwendungen verwenden Audit, Disabled 1.0.0
Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein Diese Richtlinie überwacht alle Azure SQL-Datenbank-Instanzen mit nicht aktivierter langfristiger georedundanter Sicherung. AuditIfNotExists, Disabled 2.0.0
Von Microsoft verwaltete Steuerung 1269: alternativer Speicherstandort | Trennung vom primären Standort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Wiederherstellungszeit und -punktziele

ID: NIST SP 800-53 Rev. 5 CP-6 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1270: alternativer Speicherstandort | Wiederherstellungszeit/Punktziele Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Zugriff

ID: NIST SP 800-53 Rev. 5 CP-6 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1271: alternativer Speicherstandort | Barrierefreiheit Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Alternativer Verarbeitungsstandort

ID: NIST SP 800-53 Rev. 5 CP-7 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Von Microsoft verwaltete Steuerung 1272: alternativer Verarbeitungsstandort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1273: alternativer Verarbeitungsstandort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1274: alternativer Verarbeitungsstandort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Trennung vom primären Standort

ID: NIST SP 800-53 Rev. 5 CP-7 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1275: alternativer Verarbeitungsstandort | Trennung vom primären Standort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Zugriff

ID: NIST SP 800-53 Rev. 5 CP-7 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1276: alternativer Verarbeitungsstandort | Barrierefreiheit Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Dienstpriorität

ID: NIST SP 800-53 Rev. 5 CP-7 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1277: alternativer Verarbeitungsstandort | Dienstpriorität Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Vorbereitung der Verwendung

ID: NIST SP 800-53 Rev. 5 CP-7 (4) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1278: alternativer Verarbeitungsstandort | Vorbereitung der Verwendung Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Telekommunikationsdienste

ID: NIST SP 800-53 Rev. 5 CP-8 Eigentum: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1279: Telekommunikationsdienste Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Priorität von Dienstbereitstellungen

ID: NIST SP 800-53 Rev. 5 CP-8 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1280: Telekommunikationsdienste | Priorität von Dienstbereitstellungen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1281: Telekommunikationsdienste | Priorität von Dienstbereitstellungen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Single Points of Failure

ID: NIST SP 800-53 Rev. 5 CP-8 (2) Eigentum: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1282: Telekommunikationsdienste | Single Points of Failure Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Trennung von primären/alternativen Anbietern

ID: NIST SP 800-53 Rev. 5 CP-8 (3) Eigentum: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1283: Telekommunikationsdienste | Trennung von primären/alternativen Anbietern Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Anbieternotfallplan

ID: NIST SP 800-53 Rev. 5 CP-8 (4) Eigentum: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1284: Telekommunikationsdienste | Anbieternotfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1285: Telekommunikationsdienste | Anbieternotfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1286: Telekommunikationsdienste | Anbieternotfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Systemsicherung

ID: NIST SP 800-53 Rev. 5 CP-9 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Backup muss für Virtual Machines aktiviert sein. Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. AuditIfNotExists, Disabled 3.0.0
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Für Schlüsseltresore sollte der Löschschutz aktiviert sein. Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist. Audit, Deny, Disabled 2.1.0
Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein. Wenn Sie einen Schlüsseltresor löschen und vorläufiges Löschen nicht aktiviert ist, werden alle Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, dauerhaft gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen. Audit, Deny, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1287: Sicherung des Informationssystems Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1288: Sicherung des Informationssystems Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1289: Sicherung des Informationssystems Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1290: Sicherung des Informationssystems Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Zuverlässigkeits-/Integritätstests

ID: NIST SP 800-53 Rev. 5 CP-9 (1) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1291: Sicherung des Informationssystems | Zuverlässigkeits-/Integritätstest Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Wiederherstellungstests mithilfe von Stichproben

ID: NIST SP 800-53 Rev. 5 CP-9 (2) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1292: Sicherung des Informationssystems | Wiederherstellungstests mithilfe von Stichproben Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Separater Speicher für kritische Daten

ID: NIST SP 800-53 Rev. 5 CP-9 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1293: Sicherung des Informationssystems | Separater Speicher für kritische Daten Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Übertragung an den alternativen Speicherstandort

ID: NIST SP 800-53 Rev. 5 CP-9 (5) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1294: Sicherung des Informationssystems | Übertragung an den alternativen Speicherstandort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Wiederherstellung und Wiederinbetriebnahme des Systems

ID: NIST SP 800-53 Rev. 5 CP-10 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1295: Wiederherstellung und Wiederinbetriebnahme des Informationssystems Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Transaktionswiederherstellung

ID: NIST SP 800-53 Rev. 5 CP-10 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1296: Wiederherstellung und Wiederinbetriebnahme des Informationssystems | Transaktionswiederherstellung Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Wiederherstellung innerhalb eines Zeitraums

ID: NIST SP 800-53 Rev. 5 CP-10 (4) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1297: Wiederherstellung und Wiederinbetriebnahme des Informationssystems | Wiederherstellung innerhalb eines Zeitraums Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Identifizierung und Authentifizierung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 IA-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1298: Identifikation, Authentifizierung und Verfahren Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1299: Identifikation, Authentifizierung und Verfahren Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Identifikation und Authentifizierung (Organisationsbenutzer)

ID: NIST SP 800-53 Rev. 5 IA-2 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
App Service-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Funktions-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1300: Identifikation und Authentifizierung von Benutzern Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0

Mehrstufige Authentifizierung für privilegierte Konten

ID: NIST SP 800-53 Rev. 5 IA-2 (1) Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1301: Identifizierung und Authentifizierung von Benutzern | Netzwerkzugriff auf privilegierte Konten Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1303: Identifizierung und Authentifizierung von Benutzern | Lokaler Zugriff auf privilegierte Konten Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Mehrstufige Authentifizierung für nicht privilegierte Konten

ID: NIST SP 800-53 Rev. 5 IA-2 (2) Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1302: Identifizierung und Authentifizierung von Benutzern | Netzwerkzugriff auf nicht privilegierte Konten Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1304: Identifizierung und Authentifizierung von Benutzern | Lokaler Zugriff auf nicht privilegierte Konten Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Individuelle Authentifizierung mit Gruppenauthentifizierung

ID: NIST SP 800-53 Rev. 5 IA-2 (5) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1305: Identifizierung und Authentifizierung von Benutzern | Gruppenauthentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Zugriff auf Konten Replay-Widerstand

ID: NIST SP 800-53 Rev. 5 IA-2 (8) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1306: Identifizierung und Authentifizierung von Benutzern | Netzwerkzugriff auf privilegierte Konten – Replay... Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1307: Identifizierung und Authentifizierung von Benutzern | Netzwerkzugriff auf nicht privilegierte Konten Replay... Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Akzeptieren von PIV-Anmeldeinformationen

ID: NIST SP 800-53 Rev. 5 IA-2 (12) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1309: Identifizierung und Authentifizierung von Benutzern | Akzeptieren von PIV-Anmeldeinformationen Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Identifikation und Authentifizierung von Geräten

ID: NIST SP 800-53 Rev. 5 IA-3 Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1310: Identifikation und Authentifizierung von Geräten Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Bezeichnerverwaltung

ID: NIST SP 800-53 Rev. 5 IA-4 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
App Service-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Funktions-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1311: Bezeichnerverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1312: Bezeichnerverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1313: Bezeichnerverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1314: Bezeichnerverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1315: Bezeichnerverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0

Identifizieren des Benutzerstatus

ID: NIST SP 800-53 Rev. 5 IA-4 (4) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1316: Bezeichnerverwaltung | Identifizieren des Benutzerstatus Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Authentifikatorverwaltung

ID: NIST SP 800-53 Rev. 5 IA-5 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 1.3.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 1.3.0
Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. AuditIfNotExists, Disabled 1.4.0
Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. AuditIfNotExists, Disabled 1.0.0
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.4.0
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.2.0
Von Microsoft verwaltete Steuerung 1317: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1318: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1319: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1320: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1321: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1322: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1323: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1324: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1325: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1326: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Kennwortbasierte Authentifizierung

ID: NIST SP 800-53 Rev. 5 IA-5 (1) Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 1.3.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 1.3.0
Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. AuditIfNotExists, Disabled 1.4.0
Windows-Computer überwachen, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen. Der Standardwert für eindeutige Kennwörter ist 24. AuditIfNotExists, Disabled 1.1.0
Windows-Computer überwachen, für die nicht das maximale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das maximale Kennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das maximale Kennwortalter beträgt 70 Tage. AuditIfNotExists, Disabled 1.1.0
Windows-Computer überwachen, für die nicht das minimale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das Mindestkennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das Mindestalter des Kennworts beträgt 1 Tag. AuditIfNotExists, Disabled 1.1.0
Windows-Computer überwachen, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist. AuditIfNotExists, Disabled 1.0.0
Windows-Computer überwachen, bei denen keine Mindestkennwortlänge auf eine bestimmte Anzahl von Zeichen festgelegt ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, für die keine Mindestkennwortlänge festgelegt ist. Der Standardwert für die Mindestkennwortlänge beträgt 14 Zeichen AuditIfNotExists, Disabled 1.1.0
Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. AuditIfNotExists, Disabled 1.0.0
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.4.0
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.2.0
Von Microsoft verwaltete Steuerung 1327: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1328: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1329: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1330: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1331: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1332: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1338: Authentifikatorverwaltung | Automatisierte Unterstützung zum Bestimmen der Kennwortsicherheit Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Authentifizierung basierend auf dem öffentlichen Schlüssel

ID: NIST SP 800-53 Rev. 5 IA-5 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1333: Authentifikatorverwaltung | PKI-basierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1334: Authentifikatorverwaltung | PKI-basierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1335: Authentifikatorverwaltung | PKI-basierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1336: Authentifikatorverwaltung | PKI-basierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Schutz von Authentifikatoren

ID: NIST SP 800-53 Rev. 5 IA-5 (6) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1339: Authentifikatorverwaltung | Schutz von Authentifikatoren Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Keine Einbettung unverschlüsselter statischer Authentifikatoren

ID: NIST SP 800-53 Rev. 5 IA-5 (7) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1340: Authentifikatorverwaltung | Keine Einbettung unverschlüsselter statischer Authentifikatoren Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Konten auf mehreren Systemen

ID: NIST SP 800-53 Rev. 5 IA-5 (8) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1341: Authentifikatorverwaltung | Konten auf mehreren Informationssystemen Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Ablauf zwischengespeicherter Authentifikatoren

ID: NIST SP 800-53 Rev. 5 IA-5 (13) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1343: Authentifikatorverwaltung | Ablauf zwischengespeicherter Authentifikatoren Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Authentifizierungsfeedback

ID: NIST SP 800-53 Rev. 5 IA-6 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1344: Authentifikatorrückmeldung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Kryptografiemodulauthentifizierung

ID: NIST SP 800-53 Rev. 5 IA-7 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1345: Kryptografiemodulauthentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Identifikation und Authentifizierung (Nicht-Organisationsbenutzer)

ID: NIST SP 800-53 Rev. 5 IA-8 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1346: Identifikation und Authentifizierung (Nicht-Organisationsbenutzer) Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Akzeptieren von PIV-Anmeldeinformationen von anderen Behörden

ID: NIST SP 800-53 Rev. 5 IA-8 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1347: Identifizierung und Authentifizierung (Nicht-Organisationsbenutzer) | Akzeptieren von PIV-Anmeldeinformationen... Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Akzeptanz externer Authentifikaktoren

ID: NIST SP 800-53 Rev. 5 IA-8 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1348: Identifizierung und Authentifizierung (Nicht-Organisationsbenutzer) | Akzeptanz von Drittparteien... Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1349: Identifizierung und Authentifizierung (Nicht-Organisationsbenutzer) | Nutzung von durch FICAM genehmigter Produkte Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Verwendung von definierten Profilen

ID: NIST SP 800-53 Rev. 5 IA-8 (4) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1350: Identifizierung und Authentifizierung (Nicht-Organisationsbenutzer) | Nutzung von durch FICAM ausgegebener Profile Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Reaktion auf Vorfälle

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 IR-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1351: Reaktion auf Vorfälle – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1352: Reaktion auf Vorfälle – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Schulung zur Reaktion auf Vorfälle

ID: NIST SP 800-53 Rev. 5 IR-2 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1353: Schulung zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1354: Schulung zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1355: Schulung zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Simulierte Ereignisse

ID: NIST SP 800-53 Rev. 5 IR-2 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1356: Schulung zur Reaktion auf Vorfälle | Simulierte Ereignisse Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Automatisierte Schulungsumgebungen

ID: NIST SP 800-53 Rev. 5 IR-2 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1357: Schulung zur Reaktion auf Vorfälle | Automatisierte Schulungsumgebungen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Tests zur Reaktion auf Vorfälle

ID: NIST SP 800-53 Rev. 5 IR-3 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1358: Tests zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

ID: NIST SP 800-53 Rev. 5 IR-3 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1359: Tests zur Reaktion auf Vorfälle | Koordination mit zugehörigen Plänen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Behandlung von Vorfällen

ID: NIST SP 800-53 Rev. 5 IR-4 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 2.0.0
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage (klassisch) muss aktiviert sein Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. AuditIfNotExists, Disabled 1.0.4
Von Microsoft verwaltete Steuerung 1360: Behandlung von Vorfällen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1361: Behandlung von Vorfällen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1362: Behandlung von Vorfällen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1

Automatisierte Prozesse zur Behandlung von Vorfällen

ID: NIST SP 800-53 Rev. 5 IR-4 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1363: Behandlung von Vorfällen | Automatisierte Prozesse zur Behandlung von Vorfällen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Dynamische Neukonfiguration

ID: NIST SP 800-53 Rev. 5 IR-4 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1364: Behandlung von Vorfällen | Dynamische Neukonfiguration Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Fortsetzung von Vorgängen

ID: NIST SP 800-53 Rev. 5 IR-4 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1365: Behandlung von Vorfällen | Fortsetzung von Vorgängen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Korrelation von Informationen

ID: NIST SP 800-53 Rev. 5 IR-4 (4) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1366: Behandlung von Vorfällen | Korrelation von Informationen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Bedrohungen von innen

ID: NIST SP 800-53 Rev. 5 IR-4 (6) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1367: Behandlung von Vorfällen | Insiderbedrohungen – spezielle Methoden Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Korrelation mit externen Organisationen

ID: NIST SP 800-53 Rev. 5 IR-4 (8) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1368: Behandlung von Vorfällen | Korrelation mit externen Organisationen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Überwachen von Vorfällen

ID: NIST SP 800-53 Rev. 5 IR-5 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 2.0.0
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage (klassisch) muss aktiviert sein Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. AuditIfNotExists, Disabled 1.0.4
Von Microsoft verwaltete Steuerung 1369: Überwachen von Vorfällen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1

Automatisierte Nachverfolgung, Datensammlung und Analyse

ID: NIST SP 800-53 Rev. 5 IR-5 (1) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1370: Überwachung von Vorfällen | Automatisierte Nachverfolgung, Datensammlung und Analyse Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Melden von Vorfällen

ID: NIST SP 800-53 Rev. 5 IR-6 Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1371: Melden von Vorfällen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1372: Melden von Vorfällen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Automatisierte Meldung

ID: NIST SP 800-53 Rev. 5 IR-6 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1373: Melden von Vorfällen | Automatisierte Meldung Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

ID: NIST SP 800-53 Rev. 5 IR-6 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 2.0.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1

Unterstützung bei der Reaktion auf Vorfälle

ID: NIST SP 800-53 Rev. 5 IR-7 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1374: Unterstützung bei der Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Automatisierung des Supports zur Sicherstellung der Verfügbarkeit von Informationen und Support

ID: NIST SP 800-53 Rev. 5 IR-7 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1375: Unterstützung bei der Reaktion auf Vorfälle | Automatisierung des Supports zur Sicherstellung der Verfügbarkeit von Informationen und Support Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Koordination mit externen Anbietern

ID: NIST SP 800-53 Rev. 5 IR-7 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1376: Unterstützung bei der Reaktion auf Vorfälle | Koordination mit externen Anbietern Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1377: Unterstützung bei der Reaktion auf Vorfälle | Koordination mit externen Anbietern Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Plan zur Reaktion auf Vorfälle

ID: NIST SP 800-53 Rev. 5 IR-8 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1378: Plan zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1379: Plan zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1380: Plan zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1381: Plan zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1382: Plan zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1383: Plan zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Reaktion auf Informationslecks

ID: NIST SP 800-53 Rev. 5 IR-9 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1384: Reaktion auf Informationslecks Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1385: Reaktion auf Informationslecks Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1386: Reaktion auf Informationslecks Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1387: Reaktion auf Informationslecks Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1388: Reaktion auf Informationslecks Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1389: Reaktion auf Informationslecks Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1390: Reaktion auf Informationslecks | Zuständiges Personal Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Training

ID: NIST SP 800-53 Rev. 5 IR-9 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1391: Reaktion auf Informationslecks | Schulung Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Vorgänge nach einem Leck

ID: NIST SP 800-53 Rev. 5 IR-9 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1392: Reaktion auf Informationslecks | Vorgänge nach einem Leck Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Offenlegung gegenüber unbefugtem Personal

ID: NIST SP 800-53 Rev. 5 IR-9 (4) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1393: Reaktion auf Informationslecks | Offenlegung gegenüber unbefugtem Personal Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Wartung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 MA-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1394: Systemwartung – Richtlinien und Verfahren Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1395: Systemwartung – Richtlinien und Verfahren Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Kontrollierte Wartung

ID: NIST SP 800-53 Rev. 5 MA-2 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1396: kontrollierte Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1397: kontrollierte Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1398: kontrollierte Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1399: kontrollierte Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1400: kontrollierte Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1401: kontrollierte Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Automatisierte Wartungsaktivitäten

ID: NIST SP 800-53 Rev. 5 MA-2 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1402: kontrollierte Wartung | Automatisierte Wartungsaktivitäten Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1403: kontrollierte Wartung | Automatisierte Wartungsaktivitäten Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Wartungswerkzeuge

ID: NIST SP 800-53 Rev. 5 MA-3 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1404: Wartungswerkzeuge Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Überprüfen der Werkzeuge

ID: NIST SP 800-53 Rev. 5 MA-3 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1405: Wartungstools | Überprüfen der Tools Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Überprüfen von Medien

ID: NIST SP 800-53 Rev. 5 MA-3 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1406: Wartungstools | Überprüfen von Medien Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Vermeidung einer unbefugten Entfernung

ID: NIST SP 800-53 Rev. 5 MA-3 (3) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1407: Wartungstools | Vermeidung einer unbefugten Entfernung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1408: Wartungstools | Vermeidung einer unbefugten Entfernung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1409: Wartungstools | Vermeidung einer unbefugten Entfernung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1410: Wartungstools | Vermeidung einer unbefugten Entfernung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Nichtlokale Wartung

ID: NIST SP 800-53 Rev. 5 MA-4 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1411: Wartung per Remote-Zugriff Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1412: Remote-Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1413: Remote-Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1414: Remote-Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1415: Remote-Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Vergleichbares Sicherheits- und Bereinigungssystem

ID: NIST SP 800-53 Rev. 5 MA-4 (3) Ownership: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1417: Remote-Wartung | Vergleichbares Sicherheits- bzw. Bereinigungssystem Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1418: Remote-Wartung | Vergleichbares Sicherheits- bzw. Bereinigungssystem Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Kryptografischer Schutz

ID: NIST SP 800-53 Rev. 5 MA-4 (6) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1419: Remote-Wartung | Kryptografischer Schutz Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Wartungsmitarbeiter

ID: NIST SP 800-53 Rev. 5 MA-5 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1420: Wartungsmitarbeiter Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1421: Wartungsmitarbeiter Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1422: Wartungsmitarbeiter Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Mitarbeiter ohne entsprechende Zugangsberechtigungen

ID: NIST SP 800-53 Rev. 5 MA-5 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1423: Wartungsmitarbeiter | Mitarbeiter ohne entsprechende Zugangsberechtigungen Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1424: Wartungsmitarbeiter | Mitarbeiter ohne entsprechende Zugangsberechtigungen Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Rechtzeitige Wartung

ID: NIST SP 800-53 Rev. 5 MA-6 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1425: rechtzeitige Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Medienschutz

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 MP-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1426: Richtlinien und Verfahren zum Medienschutz Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1427: Richtlinien und Verfahren zum Medienschutz Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0

Medienzugriff

ID: NIST SP 800-53 Rev. 5 MP-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1428: Medienzugriff Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0

Medienkennzeichnung

ID: NIST SP 800-53 Rev. 5 MP-3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1429: Bezeichnen von Medien Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1430: Bezeichnen von Medien Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0

Medienspeicher

ID: NIST SP 800-53 Rev. 5 MP-4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1431: Medienspeicher Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1432: Medienspeicher Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0

Medientransport

ID: NIST SP 800-53 Rev. 5 MP-5 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1433: Medientransport Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1434: Medientransport Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1435: Medientransport Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1436: Medientransport Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0

Medienbereinigung

ID: NIST SP 800-53 Rev. 5 MP-6 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1438: Medienbereinigung und -entsorgung Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1439: Medienbereinigung und -entsorgung Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0

Überprüfen/Genehmigen/Nachverfolgen/Dokumentieren/Verifizieren

ID: NIST SP 800-53 Rev. 5 MP-6 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1440: Medienbereinigung und -entsorgung | Überprüfen/Genehmigen/Nachverfolgen/Dokumentieren/Verifizieren Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0

Testen von Arbeitsgeräten

ID: NIST SP 800-53 Rev. 5 MP-6 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1441: Medienbereinigung und -entsorgung | Testen von Arbeitsgeräten Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0

Nicht zerstörerische Techniken

ID: NIST SP 800-53 Rev. 5 MP-6 (3) Eigentum: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1442: Medienbereinigung und -entsorgung | Nicht zerstörerische Techniken Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0

Verwenden von Medien

ID: NIST SP 800-53 Rev. 5 MP-7 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1443: Verwenden von Medien Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1444: Verwenden von Medien | Verhindern der Verwendung ohne Besitzer Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0

Physischer Schutz und Schutz der Umgebung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 PE-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1445: Richtlinien und Verfahren für physischen Schutz und Schutz der Umgebung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1446: Richtlinien und Verfahren für physischen Schutz und Schutz der Umgebung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Autorisierungen für physischen Zugriff

ID: NIST SP 800-53 Rev. 5 PE-2 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1447: Autorisierungen für physischen Zugriff Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1448: Autorisierungen für physischen Zugriff Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1449: Autorisierungen für physischen Zugriff Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1450: Autorisierungen für physischen Zugriff Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Steuerung des physischen Zugriffs

ID: NIST SP 800-53 Rev. 5 PE-3 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1451: Steuerung des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1452: Steuerung des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1453: Steuerung des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1454: Steuerung des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1455: Steuerung des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1456: Steuerung des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1457: Steuerung des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Systemzugriff

ID: NIST SP 800-53 Rev. 5 PE-3 (1) Eigentum: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1458: Steuerung des physischen Zugriffs | Zugriff auf das Informationssystem Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Zugriffssteuerung für die Übertragung

ID: NIST SP 800-53 Rev. 5 PE-4 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1459: Zugriffssteuerung für das Übertragungsmedium Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Steuerung des Zugriffs auf Ausgabegeräte

ID: NIST SP 800-53 Rev. 5 PE-5 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1460: Zugriffssteuerung für Ausgabegeräte Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Überwachen des physischen Zugriffs

ID: NIST SP 800-53 Rev. 5 PE-6 Eigentum: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1461: Überwachen des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1462: Überwachen des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1463: Überwachen des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Eindringalarme/Überwachungsgeräte

ID: NIST SP 800-53 Rev. 5 PE-6 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1464: Überwachen des physischen Zugriffs | Eindringalarme/Überwachungsgeräte Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Überwachen des physischen Zugriffs auf Systeme

ID: NIST SP 800-53 Rev. 5 PE-6 (4) Eigentum: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1465: Überwachen des physischen Zugriffs | Überwachen des physischen Zugriffs auf Informationssysteme Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Datensätze von Besucherzugriffen

ID: NIST SP 800-53 Rev. 5 PE-8 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1466: Datensätze von Besucherzugriffen Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1467: Datensätze von Besucherzugriffen Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Automatische Verwaltung/Überprüfung von Datensätzen

ID: NIST SP 800-53 Rev. 5 PE-8 (1) Eigentum: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1468: Datensätze von Besucherzugriffen | Automatische Verwaltung/Überprüfung von Datensätzen Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Stromversorgungsgeräte und -verkabelung

ID: NIST SP 800-53 Rev. 5 PE-9 Eigentum: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1469: Stromversorgungsgeräte und -verkabelung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Notabschaltung

ID: NIST SP 800-53 Rev. 5 PE-10 Eigentum: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1470: Notabschaltung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1471: Notabschaltung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1472: Notabschaltung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Notstromversorgung

ID: NIST SP 800-53 Rev. 5 PE-11 Eigentum: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1473: Notstromversorgung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Alternative Stromversorgung Minimale Betriebsfähigkeit

ID: NIST SP 800-53 Rev. 5 PE-11 (1) Eigentum: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1474: Notstromversorgung | Langfristige alternative Stromversorgung – minimale Betriebsfähigkeit Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Notbeleuchtung

ID: NIST SP 800-53 Rev. 5 PE-12 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1475: Notbeleuchtung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Brandschutz

ID: NIST SP 800-53 Rev. 5 PE-13 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1476: Brandschutz Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Erkennungssysteme Automatische Aktivierung und Benachrichtigung

ID: NIST SP 800-53 Rev. 5 PE-13 (1) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1477: Brandschutz | Erkennungsgeräte/-systeme Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Unterdrückungssysteme Automatische Aktivierung und Benachrichtigung

ID: NIST SP 800-53 Rev. 5 PE-13 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1478: Brandschutz | Bekämpfungsgeräte/-systeme Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1479: Brandschutz | Automatische Brandbekämpfung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Umgebungskontrollen

ID: NIST SP 800-53 Rev. 5 PE-14 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1480: Temperatur- und Luftfeuchtigkeitssteuerung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1481: Temperatur- und Luftfeuchtigkeitssteuerung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Überwachung mit Alarmen/Benachrichtigungen

ID: NIST SP 800-53 Rev. 5 PE-14 (2) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1482: Temperatur- und Luftfeuchtigkeitssteuerung | Überwachung mit Alarmen/Benachrichtigungen Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Wasserschadenschutz

ID: NIST SP 800-53 Rev. 5 PE-15 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1483: Wasserschadenschutz Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Automatisierungsunterstützung

ID: NIST SP 800-53 Rev. 5 PE-15 (1) Eigentum: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1484: Wasserschadenschutz | Automatisierungsunterstützung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Lieferung und Entfernung

ID: NIST SP 800-53 Rev. 5 PE-16 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1485: Lieferung und Entfernung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Alternativer Arbeitsort

ID: NIST SP 800-53 Rev. 5 PE-17 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1486: alternativer Arbeitsort Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1487: alternativer Arbeitsort Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1488: alternativer Arbeitsort Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Position der Systemkomponenten

ID: NIST SP 800-53 Rev. 5 PE-18 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1489: Position der Informationssystemkomponenten Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Planung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 PL-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1490: Sicherheitsplanungsrichtlinien und -verfahren Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1491: Sicherheitsplanungsrichtlinien und -verfahren Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0

Systemsicherheits- und Datenschutzpläne

ID: NIST SP 800-53 Rev. 5 PL-2 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1492: Systemsicherheitsplan Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1493: Systemsicherheitsplan Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1494: Systemsicherheitsplan Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1495: Systemsicherheitsplan Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1496: Systemsicherheitsplan Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1497: Systemsicherheitsplan | Planen/Koordinieren mit anderen Organisationsentitäten Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0

Verhaltensregeln

ID: NIST SP 800-53 Rev. 5 PL-4 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1498: Verhaltensregeln Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1499: Verhaltensregeln Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1500: Verhaltensregeln Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1501: Verhaltensregeln Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0

Einschränkungen für die Nutzung von Sozialen Medien und externen Websites und Anwendungen

ID: NIST SP 800-53 Rev. 5 PL-4 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1502: Verhaltensregeln | Einschränkungen für soziale Medien und Networking Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0

Sicherheits- und Datenschutzarchitekturen

ID: NIST SP 800-53 Rev. 5 PL-8 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1503: Informationssicherheitsarchitektur Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1504: Informationssicherheitsarchitektur Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1505: Informationssicherheitsarchitektur Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0

Personalsicherheit

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 PS-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1506: Personalsicherheitsrichtlinien und Verfahren Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1507: Personalsicherheitsrichtlinien und Verfahren Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Risikobezeichnung für Position

ID: NIST SP 800-53 Rev. 5 PS-2 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1508: Positionskategorisierung Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1509: Positionskategorisierung Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1510: Positionskategorisierung Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Personalscreening

ID: NIST SP 800-53 Rev. 5 PS-3 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1511: Personalscreening Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1512: Personalscreening Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Informationen, die besondere Schutzmaßnahmen erfordern

ID: NIST SP 800-53 Rev. 5 PS-3 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1513: Personalscreening | Informationen mit besonderen Schutzmaßnahmen Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1514: Personalscreening | Informationen mit besonderen Schutzmaßnahmen Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Beendigung des Mitarbeiterverhältnisses

ID: NIST SP 800-53 Rev. 5 PS-4 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1515: Beendigung des Mitarbeiterverhältnisses Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1516: Beendigung des Mitarbeiterverhältnisses Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1517: Beendigung des Mitarbeiterverhältnisses Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1518: Beendigung des Mitarbeiterverhältnisses Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1519: Beendigung des Mitarbeiterverhältnisses Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1520: Beendigung des Mitarbeiterverhältnisses Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Automatisierte Aktionen

ID: NIST SP 800-53 Rev. 5 PS-4 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1521: Beendigung des Mitarbeiterverhältnisses | Automatisierte Benachrichtigung Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Personalübertragung

ID: NIST SP 800-53 Rev. 5 PS-5 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1522: Personalübertragung Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1523: Personalübertragung Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1524: Personalübertragung Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1525: Personalübertragung Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Zugriffsvereinbarungen

ID: NIST SP 800-53 Rev. 5 PS-6 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1526: Zugriffsvereinbarungen Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1527: Zugriffsvereinbarungen Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1528: Zugriffsvereinbarungen Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Sicherheit externer Mitarbeiter

ID: NIST SP 800-53 Rev. 5 PS-7 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1529: Personalsicherheit von Dritten Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1530: Personalsicherheit von Dritten Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1531: Personalsicherheit von Dritten Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1532: Personalsicherheit von Dritten Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1533: Personalsicherheit von Dritten Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Personalsanktionen

ID: NIST SP 800-53 Rev. 5 PS-8 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1534: Personalsanktionen Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1535: Personalsanktionen Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Risikobewertung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 RA-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1536: Richtlinien und Verfahren zur Risikobewertung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1537: Richtlinien und Verfahren zur Risikobewertung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Sicherheitskategorisierung

ID: NIST SP 800-53 Rev. 5 RA-2 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1538: Sicherheitskategorisierung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1539: Sicherheitskategorisierung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1540: Sicherheitskategorisierung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Risikobewertung

ID: NIST SP 800-53 Rev. 5 RA-3 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1541: Risikobewertung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1542: Risikobewertung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1543: Risikobewertung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1544: Risikobewertung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1545: Risikobewertung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Überprüfung auf Sicherheitsrisiken

ID: NIST SP 800-53 Rev. 5 RA-5 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage (klassisch) muss aktiviert sein Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. AuditIfNotExists, Disabled 1.0.4
Von Microsoft verwaltete Steuerung 1546: Überprüfung auf Sicherheitsrisiken Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1547: Überprüfung auf Sicherheitsrisiken Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1548: Überprüfung auf Sicherheitsrisiken Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1549: Überprüfung auf Sicherheitsrisiken Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1550: Überprüfung auf Sicherheitsrisiken Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1551: Überprüfung auf Sicherheitsrisiken | Update von Toolfunktionen Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. AuditIfNotExists, Disabled 4.1.0
Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und zeigt Abweichungen von Best Practices wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte vertrauliche Daten an. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. AuditIfNotExists, Disabled 1.0.0
Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.1.0
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. AuditIfNotExists, Disabled 1.0.1
Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein Hiermit werden Azure SQL Server-Instanzen überwacht, für die die Sicherheitsrisikobewertung nicht ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. AuditIfNotExists, Disabled 3.0.0
Für Ihre Synapse-Arbeitsbereiche muss eine Sicherheitsrisikobewertung aktiviert sein Ermitteln, verfolgen und beheben Sie potenzielle Sicherheitsrisiken, indem Sie regelmäßige Überprüfungen zur SQL-Sicherheitsrisikobewertung für Ihre Synapse-Arbeitsbereiche konfigurieren. AuditIfNotExists, Disabled 1.0.0

Aktualisieren von zu überprüfenden Sicherheitsrisiken

ID: NIST SP 800-53 Rev. 5 RA-5 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1552: Überprüfung auf Sicherheitsrisiken | Aktualisieren nach Häufigkeit, vor neuer Überprüfung, bei Identifikation Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Umfang/Abdeckungstiefe

ID: NIST SP 800-53 Rev. 5 RA-5 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1553: Überprüfung auf Sicherheitsrisiken | Umfang/Abdeckungstiefe Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Erkennbare Informationen

ID: NIST SP 800-53 Rev. 5 RA-5 (4) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1554: Überprüfung auf Sicherheitsrisiken | Erkennbare Informationen Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Privilegierter Zugriff

ID: NIST SP 800-53 Rev. 5 RA-5 (5) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1555: Überprüfung auf Sicherheitsrisiken | Privilegierter Zugriff Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Automatisierte Trendanalysen

ID: NIST SP 800-53 Rev. 5 RA-5 (6) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1556: Überprüfung auf Sicherheitsrisiken | Automatisierte Trendanalysen Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Auswerten der historischen Überwachungsprotokolle

ID: NIST SP 800-53 Rev. 5 RA-5 (8) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1557: Überprüfung auf Sicherheitsrisiken | Auswerten der historischen Überwachungsprotokolle Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Korrelieren von Überprüfungsinformationen

ID: NIST SP 800-53 Rev. 5 RA-5 (10) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1558: Überprüfung auf Sicherheitsrisiken | Korrelieren von Überprüfungsinformationen Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

System- und Diensterwerb

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 SA-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1559: Richtlinien und Verfahren beim System- und Diensterwerb Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1560: Richtlinien und Verfahren beim System- und Diensterwerb Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Zuordnung von Ressourcen

ID: NIST SP 800-53 Rev. 5 SA-2 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1561: Zuordnung von Ressourcen Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1562: Zuordnung von Ressourcen Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1563: Zuordnung von Ressourcen Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Lebenszyklus der Systementwicklung

ID: NIST SP 800-53 Rev. 5 SA-3 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1564: Lebenszyklus der Systementwicklung Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1565: Lebenszyklus der Systementwicklung Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1566: Lebenszyklus der Systementwicklung Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1567: Lebenszyklus der Systementwicklung Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Erwerbsverfahren

ID: NIST SP 800-53 Rev. 5 SA-4 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1568: Erwerbsverfahren Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1569: Erwerbsverfahren Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1570: Erwerbsverfahren Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1571: Erwerbsverfahren Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1572: Erwerbsverfahren Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1573: Erwerbsverfahren Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1574: Erwerbsverfahren Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Funktionale Eigenschaften von Kontrollen

ID: NIST SP 800-53 Rev. 5 SA-4 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1575: Erwerbsverfahren | Funktionale Eigenschaften von Sicherheitskontrollen Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Design-/Implementierungsinformationen für Kontrollen

ID: NIST SP 800-53 Rev. 5 SA-4 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1576: Erwerbsverfahren | Design-/Implementierungsinformationen für Sicherheitskontrollen Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Kontinuierlicher Überwachungsplan für Kontrollen

ID: NIST SP 800-53 Rev. 5 SA-4 (8) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1577: Erwerbsverfahren | Plan zur kontinuierlichen Überwachung Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Verwendete Funktionen/Ports/Protokolle/Dienste

ID: NIST SP 800-53 Rev. 5 SA-4 (9) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1578: Erwerbsverfahren | verwendete Funktionen/Ports/Protokolle/Dienste Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Verwenden genehmigter PIV-Produkte

ID: NIST SP 800-53 Rev. 5 SA-4 (10) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1579: Erwerbsverfahren | Verwenden genehmigter PIV-Produkte Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Systemdokumentation

ID: NIST SP 800-53 Rev. 5 SA-5 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1580: Dokumentation des Informationssystems Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1581: Dokumentation des Informationssystems Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1582: Dokumentation des Informationssystems Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1583: Dokumentation des Informationssystems Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1584: Dokumentation des Informationssystems Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Prinzipien der Sicherheits- und Datenschutzentwicklung

ID: NIST SP 800-53 Rev. 5 SA-8 Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1585: Prinzipien der Sicherheitsentwicklung Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Externe Systemdienste

ID: NIST SP 800-53 Rev. 5 SA-9 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1586: externe Informationssystemdienste Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1587: externe Informationssystemdienste Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1588: externe Informationssystemdienste Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Risikobewertungen und Organisationsgenehmigungen

ID: NIST SP 800-53 Rev. 5 SA-9 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1589: externe Informationssystemdienste | Risikobewertungen/Organisationsgenehmigungen Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1590: externe Informationssystemdienste | Risikobewertungen/Organisationsgenehmigungen Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Identifikation von Funktionen/Ports/Protokollen/Diensten

ID: NIST SP 800-53 Rev. 5 SA-9 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1591: externe Informationssystemdienste | Identifikation von Funktionen/Ports/Protokollen... Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Einheitliche Interessen von Consumern und Anbietern

ID: NIST SP 800-53 Rev. 5 SA-9 (4) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1592: externe Informationssystemdienste | Einheitliche Interessen von Consumern und Anbietern Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Verarbeitungs-, Speicher- und Dienststandort

ID: NIST SP 800-53 Rev. 5 SA-9 (5) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1593: externe Informationssystemdienste | Verarbeitungs-, Speicher- und Dienststandort Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Konfigurationsverwaltung durch Entwickler

ID: NIST SP 800-53 Rev. 5 SA-10 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1594: Konfigurationsverwaltung durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1595: Konfigurationsverwaltung durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1596: Konfigurationsverwaltung durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1597: Konfigurationsverwaltung durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1598: Konfigurationsverwaltung durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Integritätsprüfung für Software und Firmware

ID: NIST SP 800-53 Rev. 5 SA-10 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1599: Konfigurationsverwaltung durch Entwickler | Integritätsprüfung für Software/Firmware Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Testen und Auswerten durch Entwickler

ID: NIST SP 800-53 Rev. 5 SA-11 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1600: Sicherheitstests und -bewertungen durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1601: Sicherheitstests und -bewertungen durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1602: Sicherheitstests und -bewertungen durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1603: Sicherheitstests und -bewertungen durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1604: Sicherheitstests und -bewertungen durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Statische Codeanalyse

ID: NIST SP 800-53 Rev. 5 SA-11 (1) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1605: Sicherheitstests und -bewertungen durch Entwickler | Analyse von statischem Code Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Analyse von Bedrohungen und Sicherheitsrisiken

ID: NIST SP 800-53 Rev. 5 SA-11 (2) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1606: Sicherheitstests und -bewertungen durch Entwickler | Analyse von Bedrohungen und Sicherheitsrisiken Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Analyse von dynamischem Code

ID: NIST SP 800-53 Rev. 5 SA-11 (8) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1607: Sicherheitstests und -bewertungen durch Entwickler | Analyse von dynamischem Code Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Verfahren, Standards und Tools der Entwicklung

ID: NIST SP 800-53 Rev. 5 SA-15 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1609: Verfahren, Standards und Tools für die Entwicklung Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1610: Verfahren, Standards und Tools für die Entwicklung Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Von Entwicklern angebotene Schulungen

ID: NIST SP 800-53 Rev. 5 SA-16 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1611: von Entwicklern angebotene Schulungen Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Sicherheits- und Datenschutzarchitektur und Design von Entwicklern

ID: NIST SP 800-53 Rev. 5 SA-17 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1612: Sicherheitsarchitektur und Design von Entwicklern Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1613: Sicherheitsarchitektur und Design von Entwicklern Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1614: Sicherheitsarchitektur und Design von Entwicklern Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

System- und Kommunikationsschutz

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 SC-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1615: System- und Kommunikationsschutz – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1616: System- und Kommunikationsschutz – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Trennung von System- und Benutzerfunktionalität

ID: NIST SP 800-53 Rev. 5 SC-2 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1617: Anwendungspartitionierung Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Isolation von Sicherheitsfunktionen

ID: NIST SP 800-53 Rev. 5 SC-3 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Von Microsoft verwaltete Steuerung 1618: Isolation von Sicherheitsfunktionen Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). AuditIfNotExists, Disabled 1.1.1

Informationen in gemeinsam genutzten Systemressourcen

ID: NIST SP 800-53 Rev. 5 SC-4 Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1619: Informationen in gemeinsam genutzten Ressourcen Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Schutz vor Denial-of-Service-Angriffen

ID: NIST SP 800-53 Rev. 5 SC-5 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure DDoS Protection sollte aktiviert sein. DDoS Protection sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Anwendungsgateways mit einer öffentlichen IP-Adresse ist. AuditIfNotExists, Disabled 3.0.1
Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 1.0.2
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1620: Schutz vor Denial-of-Service-Angriffen Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 2.0.0

Ressourcenverfügbarkeit

ID: NIST SP 800-53 Rev. 5 SC-6 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1621: Ressourcenverfügbarkeit Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Schutz von Grenzen

ID: NIST SP 800-53 Rev. 5 SC-7 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Veraltet]: Azure Cognitive Search-Dienste müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-veraltet
[Veraltet] Cognitive Services muss eine private Verbindung verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. AuditIfNotExists, Disabled 3.0.0
API Management-Dienste müssen ein virtuelles Netzwerk verwenden Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. Audit, Deny, Disabled 1.0.2
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. Audit, Disabled 2.0.0
Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. Audit, Deny, Disabled 3.2.0
Azure Cache for Redis muss private Verbindung verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cognitive Search-Dienste müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Cognitive Search-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. Audit, Deny, Disabled 2.1.0
Azure Data Factory muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Themen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault sollte eine aktive Firewall haben Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 1.4.1
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Azure Service Bus-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Azure SignalR Service muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Synapse-Arbeitsbereiche müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 1.0.2
Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
Containerregistrierungen sollten eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
CosmosDB-Konten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Datenträgerzugriffsressourcen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Event Hub-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1622: Schutz von Grenzen Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1623: Schutz von Grenzen Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1624: Schutz von Grenzen Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. Audit, Disabled 1.1.0
Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. Audit, Deny, Disabled 1.1.0
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.1.1
Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. Audit, Deny, Disabled 1.0.1
Speicherkonten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 2.0.0

Zugriffspunkte

ID: NIST SP 800-53 Rev. 5 SC-7 (3) Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Veraltet]: Azure Cognitive Search-Dienste müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-veraltet
[Veraltet] Cognitive Services muss eine private Verbindung verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-deprecated
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. AuditIfNotExists, Disabled 3.0.0
API Management-Dienste müssen ein virtuelles Netzwerk verwenden Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. Audit, Deny, Disabled 1.0.2
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. Audit, Disabled 2.0.0
Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. Audit, Deny, Disabled 3.2.0
Azure Cache for Redis muss private Verbindung verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cognitive Search-Dienste müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Cognitive Search-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. Audit, Deny, Disabled 2.1.0
Azure Data Factory muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Themen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault sollte eine aktive Firewall haben Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 1.4.1
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Azure Service Bus-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Azure SignalR Service muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Synapse-Arbeitsbereiche müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 1.0.2
Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
Containerregistrierungen sollten eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
CosmosDB-Konten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Datenträgerzugriffsressourcen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Event Hub-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1625: Schutz von Grenzen | Zugriffspunkte Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. Audit, Disabled 1.1.0
Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. Audit, Deny, Disabled 1.1.0
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.1.1
Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. Audit, Deny, Disabled 1.0.1
Speicherkonten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 2.0.0

Externe Telekommunikationsdienste

ID: NIST SP 800-53 Rev. 5 SC-7 (4) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1626: Schutz von Grenzen | Externe Telekommunikationsdienste Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1627: Schutz von Grenzen | Externe Telekommunikationsdienste Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1628: Schutz von Grenzen | Externe Telekommunikationsdienste Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1629: Schutz von Grenzen | Externe Telekommunikationsdienste Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1630: Schutz von Grenzen | Externe Telekommunikationsdienste Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Standardmäßig ablehnen Ausnahmsweise zulassen

ID: NIST SP 800-53 Rev. 5 SC-7 (5) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1155: Systemverbindungen | Einschränkungen für Verbindungen mit externen Systemen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1631: Schutz von Grenzen | Richtlinie zur standardmäßigen Verweigerung von Programmen mit ausnahmebasierter Zulassung Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Getrenntes Tunneln für Remotegeräte

ID: NIST SP 800-53 Rev. 5 SC-7 (7) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1632: Schutz von Grenzen | Unterbinden von getrenntem Tunneln für Remotegeräte Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Weiterleiten von Datenverkehr an authentifizierte Proxyserver

ID: NIST SP 800-53 Rev. 5 SC-7 (8) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1633: Schutz von Grenzen | Weiterleiten von Datenverkehr an authentifizierte Proxyserver Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Vermeidung von Exfiltration

ID: NIST SP 800-53 Rev. 5 SC-7 (10) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1634: Schutz von Grenzen | Vermeidung von nicht autorisierter Exfiltration Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Hostbasierter Schutz

ID: NIST SP 800-53 Rev. 5 SC-7 (12) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1635: Schutz von Grenzen | Hostbasierter Schutz Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Isolation von Sicherheitstools, -mechanismen und unterstützenden Komponenten

ID: NIST SP 800-53 Rev. 5 SC-7 (13) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1636: Schutz von Grenzen | Isolation von Sicherheitstools, -mechanismen und unterstützenden Komponenten Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Ausfallschutz

ID: NIST SP 800-53 Rev. 5 SC-7 (18) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1637: Schutz von Grenzen | Ausfallschutz Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Dynamische Isolation und Trennung

ID: NIST SP 800-53 Rev. 5 SC-7 (20) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1638: Schutz von Grenzen | Dynamische Isolation und Trennung Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Isolation von Systemkomponenten

ID: NIST SP 800-53 Rev. 5 SC-7 (21) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1639: Schutz von Grenzen | Isolation von Komponenten des Informationssystems Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Vertraulichkeit und Integrität von übertragenen Informationen

ID: NIST SP 800-53 Rev. 5 SC-8 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 4.0.0
App Service-Apps sollten nur FTPS erfordern Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. AuditIfNotExists, Disabled 3.0.0
App Service-Apps sollten die neueste TLS-Version verwenden Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 2.1.0
Azure HDInsight-Cluster müssen Verschlüsselung während der Übertragung für die Verschlüsselung der Kommunikation zwischen Azure HDInsight-Clusterknoten verwenden Daten können während der Übertragung zwischen Azure HDInsight-Clusterknoten manipuliert werden. Zur Vermeidung von Missbrauch und Manipulation können die Daten durch Aktivieren der Verschlüsselung während der Übertragung verschlüsselt werden. Audit, Deny, Disabled 1.0.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 5.0.0
Funktions-Apps sollten nur FTPS erfordern Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. AuditIfNotExists, Disabled 3.0.0
Funktions-Apps sollten die neueste TLS-Version verwenden Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 2.1.0
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 9.1.0
Von Microsoft verwaltete Steuerung 1640: Vertraulichkeit und Integrität von übertragenen Informationen Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 1.0.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 2.0.0
Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. AuditIfNotExists, Disabled 3.0.1

Kryptografischer Schutz

ID: NIST SP 800-53 Rev. 5 SC-8 (1) Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 4.0.0
App Service-Apps sollten nur FTPS erfordern Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. AuditIfNotExists, Disabled 3.0.0
App Service-Apps sollten die neueste TLS-Version verwenden Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 2.1.0
Azure HDInsight-Cluster müssen Verschlüsselung während der Übertragung für die Verschlüsselung der Kommunikation zwischen Azure HDInsight-Clusterknoten verwenden Daten können während der Übertragung zwischen Azure HDInsight-Clusterknoten manipuliert werden. Zur Vermeidung von Missbrauch und Manipulation können die Daten durch Aktivieren der Verschlüsselung während der Übertragung verschlüsselt werden. Audit, Deny, Disabled 1.0.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, Disabled 1.0.1
Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 5.0.0
Funktions-Apps sollten nur FTPS erfordern Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. AuditIfNotExists, Disabled 3.0.0
Funktions-Apps sollten die neueste TLS-Version verwenden Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 2.1.0
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 9.1.0
Von Microsoft verwaltete Steuerung 1641: Vertraulichkeit und Integrität von übertragenen Informationen | Kryptografischer oder alternativer physischer Schutz Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 1.0.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Audit, Deny, Disabled 2.0.0
Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. AuditIfNotExists, Disabled 3.0.1

Netzwerktrennung

ID: NIST SP 800-53 Rev. 5 SC-10 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1642: Netzwerktrennung Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Einrichtung und Verwaltung von Kryptografieschlüsseln

ID: NIST SP 800-53 Rev. 5 SC-12 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Azure Recovery Services Tresore sollten vom Kunden verwaltete Schlüssel für die Verschlüsselung von Sicherungsdaten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung im Ruhezustand für Ihre Sicherungsdaten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/AB-CmkEncryption. Audit, Deny, Disabled 1.0.0-preview
[Vorschau]: Daten des IoT Hub-Gerätebereitstellungsdiensts müssen mithilfe von kundenseitig verwalteten Schlüsseln (CMKs) verschlüsselt werden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihren IoT Hub-Gerätebereitstellungsdienst zu verwalten. Ruhende Daten werden automatisch mit dienstseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMKs) benötigt. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter https://aka.ms/dps/CMK. Audit, Deny, Disabled 1.0.0-preview
Azure KI Services-Ressourcen sollten ruhende Daten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsseln. Die Verwendung von kundenseitig verwalteten Schlüsseln zum Verschlüsseln ruhender Daten bietet mehr Kontrolle über den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Dies ist insbesondere für Organisationen mit entsprechenden Complianceanforderungen relevant. Standardmäßig wird dies nicht bewertet. Eine Anwendung sollte nur bei Erzwingen durch Compliance- oder restriktive Richtlinienanforderungen erfolgen. Wenn keine Aktivierung erfolgt ist, werden die Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt. Für die Implementierung aktualisieren Sie den Effect-Parameter in der Sicherheitsrichtlinie für den entsprechenden Geltungsbereich. Audit, Deny, Disabled 2.2.0
Azure Automation-Konten müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Automation-Konten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/automation-cmk. Audit, Deny, Disabled 1.0.0
Azure Batch-Konto muss kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden. Verwenden Sie kundenseitig verwaltete Schlüssel, um für die Daten Ihres Batch-Kontos die Verschlüsselung ruhender Daten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/Batch-CMK. Audit, Deny, Disabled 1.0.1
Azure Container Instances-Containergruppe muss einen kundenseitig verwalteten Schlüssel für die Verschlüsselung verwenden Schützen Sie Ihre Container mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. Audit, Disabled, Deny 1.0.0
Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Cosmos DB-Instanzen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/cosmosdb-cmk. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Azure Data Box-Aufträge müssen einen kundenseitig verwalteten Schlüssel zum Verschlüsseln des Kennworts für die Geräteentsperrung verwenden Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die Verschlüsselung des Kennworts für die Geräteentsperrung für Azure Data Box zu steuern. Kundenseitig verwaltete Schlüssel bieten zudem Unterstützung beim Verwalten des Zugriffs auf das Kennwort zur Geräteentsperrung durch den Data Box Dienst, um das Gerät vorzubereiten und Daten automatisiert zu kopieren. Die Daten auf dem Gerät selbst sind bereits im Ruhezustand mit einer AES-256-Verschlüsselung (Advanced Encryption Standard) verschlüsselt, und das Kennwort zur Geräteentsperrung wird standardmäßig mit einem von Microsoft verwalteten Schlüssel verschlüsselt. Audit, Deny, Disabled 1.0.0
Azure Data Explorer-Verschlüsselung ruhender Daten muss einen kundenseitig verwalteten Schlüssel verwenden Das Aktivieren der Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel in Ihrem Azure Data Explorer-Cluster bietet zusätzliche Kontrolle über den Schlüssel, der von der Verschlüsselung ruhender Schlüssel verwendet wird. Dieses Feature ist häufig für Kunden mit speziellen Complianceanforderungen relevant und erfordert eine Key Vault-Instanz zur Verwaltung der Schlüssel. Audit, Deny, Disabled 1.0.0
Azure Data Factorys müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihre Azure Data Factory-Instanz zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/adf-cmk. Audit, Deny, Disabled 1.0.1
Azure HDInsight-Cluster müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure HDInsight-Cluster zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/hdi.cmk. Audit, Deny, Disabled 1.0.1
Azure HDInsight-Cluster müssen Verschlüsselung auf dem Host zur Verschlüsselung ruhender Daten verwenden Durch das Aktivieren der Verschlüsselung auf dem Host können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn Sie die Verschlüsselung auf dem Host aktivieren, werden die auf dem VM-Host gespeicherten Daten ruhend verschlüsselt und verschlüsselt an den Speicherdienst übermittelt. Audit, Deny, Disabled 1.0.0
Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. Verwalten Sie die Verschlüsselung ruhender Daten für Daten im Azure Machine Learning-Arbeitsbereich mit kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/azureml-workspaces-cmk. Audit, Deny, Disabled 1.1.0
Azure Monitor-Protokollcluster müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden Erstellen Sie Azure Monitor-Protokollcluster mit Verschlüsselung durch kundenseitig verwaltete Schlüssel. Standardmäßig werden die Protokolldaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind aber häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit dem kundenseitig verwalteten Schlüssel in Azure Monitor haben Sie eine bessere Kontrolle über den Zugriff auf Ihre Daten. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Azure Stream Analytics-Aufträge sollten kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden Verwenden Sie vom Kunden verwaltete Schlüssel, wenn Sie alle Metadaten und privaten Datenbestände Ihrer Stream Analytics-Aufträge sicher in Ihrem Speicherkonto speichern möchten. Dadurch haben Sie die vollständige Kontrolle darüber, wie Ihre Stream Analytics-Daten verschlüsselt werden. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Azure Synapse-Arbeitsbereiche müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten zu steuern, die in Azure Synapse-Arbeitsbereichen gespeichert sind. Kundenseitig verwaltete Schlüssel bieten eine Mehrfachverschlüsselung, indem zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine zweite Verschlüsselungsebene hinzugefügt wird. Audit, Deny, Disabled 1.0.0
Bot Service muss mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden Azure Bot Service verschlüsselt Ihre Ressource automatisch, um Ihre Daten zu schützen sowie die Sicherheits- und Complianceanforderungen der Organisation zu erfüllen. Standardmäßig werden von Microsoft verwaltete Verschlüsselungsschlüssel verwendet. Wählen Sie kundenseitig verwaltete Schlüssel (auch als Bring Your Own Key (BYOK) bezeichnet) aus, um mehr Flexibilität bei der Verwaltung von Schlüsseln oder der Steuerung des Zugriffs auf Ihr Abonnement zu haben. Weitere Informationen zur Azure Bot Service-Verschlüsselung finden Sie hier: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden Das Verschlüsseln von Datenträgern für Betriebssystem und Daten mithilfe von kundenseitig verwalteten Schlüsseln bietet mehr Kontrolle und größere Flexibilität bei der Schlüsselverwaltung. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. Audit, Deny, Disabled 1.0.1
Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für den Inhalt Ihrer Registrierungen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2
Für Event Hub-Namespaces muss ein kundenseitig verwalteter Schlüssel zur Verschlüsselung verwendet werden Azure Event Hubs unterstützt die Option zum Verschlüsseln ruhender Daten mit von Microsoft verwalteten Schlüsseln (Standardeinstellung) oder kundenseitig verwalteten Schlüsseln. Wenn Sie Daten mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln, können Sie den Zugriff auf die Schlüssel zuweisen, rotieren, deaktivieren und widerrufen, die von Event Hub zum Verschlüsseln von Daten in Ihrem Namespace verwendet werden. Beachten Sie, dass Event Hub nur Verschlüsselung mit kundenseitig verwalteten Schlüsseln für Namespaces in dedizierten Clustern unterstützt. Audit, Disabled 1.0.0
Logic Apps-Integrationsdienstumgebung muss mit kundenseitig verwalteten Schlüsseln verschlüsselt werden Führen Sie eine Bereitstellung in einer Integrationsdienstumgebung durch, um die Verschlüsselung ruhender Logic Apps-Daten mithilfe kundenseitig verwalteter Schlüssel zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Audit, Deny, Disabled 1.0.0
Verwaltete Datenträger müssen sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln verschlüsselt werden Kunden mit besonders hohen Sicherheitsanforderungen, die befürchten, dass ein einzelner Verschlüsselungsalgorithmus, eine einzelne Verschlüsselungsimplementierung oder ein einzelner Verschlüsselungsschlüssel kompromittiert werden könnte, haben nun die Möglichkeit, eine zusätzliche Verschlüsselungsebene mit einem anderen Verschlüsselungsalgorithmus/-modus auf der Infrastrukturebene zu nutzen (unter Verwendung von plattformseitig verwalteten Schlüsseln). Für die Verwendung der Mehrfachverschlüsselung sind Datenträgerverschlüsselungssätze erforderlich. Weitere Informationen finden Sie unter https://aka.ms/disks-doubleEncryption. Audit, Deny, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1643: Einrichtung und Verwaltung von Kryptografieschlüsseln Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Datenträger für Betriebssystem und Daten müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für die Inhalte Ihrer verwalteten Datenträger zu verwalten. Standardmäßig werden ruhende Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel benötigt. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/disks-cmk. Audit, Deny, Disabled 3.0.0
Gespeicherte Abfragen in Azure Monitor müssen zur Protokollverschlüsselung im Kundenspeicherkonto gespeichert werden Verknüpfen Sie das Speicherkonto mit einem Log Analytics-Arbeitsbereich, um gespeicherte Abfragen durch eine Verschlüsselung des Speicherkontos zu schützen. Kundenseitig verwaltete Schlüssel sind häufig erforderlich, um gesetzliche Bestimmungen einzuhalten und eine bessere Kontrolle des Zugriffs auf Ihre gespeicherten Abfragen in Azure Monitor zu erhalten. Ausführlichere Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Für Service Bus Premium-Namespaces muss ein kundenseitig verwaltete Schlüssel zur Verschlüsselung verwendet werden Azure Service Bus unterstützt die Option zum Verschlüsseln ruhender Daten mit von Microsoft verwalteten Schlüsseln (Standardeinstellung) oder kundenseitig verwalteten Schlüsseln. Wenn Sie Daten mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln, können Sie den Zugriff auf die Schlüssel zuweisen, rotieren, deaktivieren und widerrufen, die von Service Bus zum Verschlüsseln von Daten in Ihrem Namespace verwendet werden. Beachten Sie, dass Service Bus nur Verschlüsselung mit kundenseitig verwalteten Schlüsseln für Premium-Namespaces unterstützt. Audit, Disabled 1.0.0
Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. Audit, Deny, Disabled 2.0.0
SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. Audit, Deny, Disabled 2.0.1
Verschlüsselungsbereiche für Speicherkonten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie kundenseitig verwaltete Schlüssel zur Verwaltung ruhender Verschlüsselungen Ihrer Verschlüsselungsbereiche für Speicherkonten. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zu Verschlüsselungsbereichen für Speicherkonten finden Sie unter https://aka.ms/encryption-scopes-overview. Audit, Deny, Disabled 1.0.0
Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden Schützen Sie Ihr Blob und Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. Audit, Disabled 1.0.3

Verfügbarkeit

ID: NIST SP 800-53 Rev. 5 SC-12 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1644: Einrichtung und Verwaltung von Kryptografieschlüsseln | Verfügbarkeit Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Symmetrische Schlüssel

ID: NIST SP 800-53 Rev. 5 SC-12 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1645: Einrichtung und Verwaltung von Kryptografieschlüsseln | Symmetrische Schlüssel Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Asymmetrische Schlüssel

ID: NIST SP 800-53 Rev. 5 SC-12 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1646: Einrichtung und Verwaltung von Kryptografieschlüsseln | Asymmetrische Schlüssel Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Kryptografischer Schutz

ID: NIST SP 800-53 Rev. 5 SC-13 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1647: Verwendung von Kryptografie Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Gemeinsame Computergeräte und Anwendungen

ID: NIST SP 800-53 Rev. 5 SC-15 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1648: gemeinsame Computergeräte Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1649: gemeinsame Computergeräte Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Public Key-Infrastrukturzertifikate

ID: NIST SP 800-53 Rev. 5 SC-17 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1650: Public Key-Infrastrukturzertifikate Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Mobiler Code

ID: NIST SP 800-53 Rev. 5 SC-18 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1651: mobiler Code Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1652: mobiler Code Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1653: mobiler Code Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Sicherer Namens- und Adressauflösungsdienst (autoritative Quelle)

ID: NIST SP 800-53 Rev. 5 SC-20 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1656: sicherer Namens- und Adressauflösungsdienst (autoritative Quelle) Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1657: sicherer Namens- und Adressauflösungsdienst (autoritative Quelle) Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Sicherer Namens- und Adressauflösungsdienst (rekursiver Konfliktlöser oder Cachekonfliktlöser)

ID: NIST SP 800-53 Rev. 5 SC-21 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1658: sicherer Namens- und Adressauflösungsdienst (rekursiver oder Cachekonfliktlöser) Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Architektur und Bereitstellung für den Namens- und Adressauflösungsdienst

ID: NIST SP 800-53 Rev. 5 SC-22 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1659: Architektur und Bereitstellung für den Namens- und Adressauflösungsdienst Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Echtheit von Sitzungen

ID: NIST SP 800-53 Rev. 5 SC-23 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1660: Echtheit von Sitzungen Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Invalidierung von Sitzungs-IDs bei der Abmeldung

ID: NIST SP 800-53 Rev. 5 SC-23 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1661: Echtheit von Sitzungen | Invalidierung von Sitzungs-IDs bei der Abmeldung Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Ausfall in bekanntem Zustand

ID: NIST SP 800-53 Rev. 5 SC-24 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1662: Ausfall in bekanntem Zustand Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Schutz von ruhenden Informationen

ID: NIST SP 800-53 Rev. 5 SC-28 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
In der App Service-Umgebung sollte die interne Verschlüsselung aktiviert sein Wenn Sie „InternalEncryption“ auf TRUE festlegen, werden die Auslagerungsdatei, die Workerdatenträger und der interne Netzwerkverkehr zwischen den Front-Ends und den Workern in einer App Service-Umgebung verschlüsselt. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Disabled 1.0.1
Automation-Kontovariablen sollten verschlüsselt werden Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. Audit, Deny, Disabled 1.1.0
Azure Data Box-Aufträge müssen die Mehrfachverschlüsselung für ruhende Daten auf dem Gerät aktivieren Aktivieren Sie eine zweite Ebene der softwarebasierten Verschlüsselung für ruhende Daten auf dem Gerät. Das Gerät ist bereits über eine AES-256-Verschlüsselung (Advanced Encryption Standard) für ruhende Daten geschützt. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt. Audit, Deny, Disabled 1.0.0
Azure Monitor-Protokollcluster müssen mit aktivierter Infrastrukturverschlüsselung erstellt werden (Mehrfachverschlüsselung) Verwenden Sie einen dedizierten Azure Monitor-Cluster, um sicherzustellen, dass die sichere Datenverschlüsselung auf der Dienst- und Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei unterschiedlichen Schlüsseln aktiviert ist. Diese Option ist standardmäßig aktiviert, sofern sie in der jeweiligen Region unterstützt wird. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Azure Stack Edge-Geräte sollten doppelte Verschlüsselung verwenden. Stellen Sie zum Schutz der ruhenden Daten auf dem Gerät Folgendes sicher: Die Daten sind doppelt verschlüsselt, der Zugriff auf Daten wird gesteuert, und nach der Deaktivierung des Geräts werden die Daten auf sichere Weise von den Datenträgern gelöscht. Bei der Mehrfachverschlüsselung werden zwei Verschlüsselungsebenen verwendet: Verschlüsselung vom Typ „BitLocker XTS-AES 256-Bit“ auf den Datenvolumes und integrierte Verschlüsselung der Festplatten. Weitere Informationen finden Sie in der Dokumentation zur Sicherheitsübersicht für das jeweilige Stack Edge-Gerät. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Datenträgerverschlüsselung muss in Azure Data Explorer aktiviert sein Durch das Aktivieren der Datenträgerverschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Audit, Deny, Disabled 2.0.0
Doppelte Verschlüsselung muss für Azure Data Explorer aktiviert sein Durch das Aktivieren der doppelten Verschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn die doppelte Verschlüsselung aktiviert ist, werden Daten im Speicherkonto zweimal – einmal auf Dienstebene und einmal auf Infrastrukturebene – mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. Audit, Deny, Disabled 2.0.0
Von Microsoft verwaltete Steuerung 1663: Schutz von ruhenden Informationen Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen Service Fabric bietet drei Schutzebenen („None“, „Sign“ und „EncryptAndSign“) für die Kommunikation zwischen zwei Knoten unter Verwendung eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden. Audit, Deny, Disabled 1.1.0
Speicherkonten sollten eine Infrastrukturverschlüsselung aufweisen Aktivieren Sie die Infrastrukturverschlüsselung, um die Sicherheit der Daten zu erhöhen. Bei aktivierter Infrastrukturverschlüsselung werden die Daten in einem Speicherkonto doppelt verschlüsselt. Audit, Deny, Disabled 1.0.0
Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. Um die Datensicherheit zu erhöhen, sollten die auf dem VM-Host Ihrer Azure Kubernetes Service-Knoten-VMs gespeicherten Daten im Ruhezustand verschlüsselt werden. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. Audit, Deny, Disabled 1.0.1
Transparent Data Encryption für SQL-Datenbanken aktivieren TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. AuditIfNotExists, Disabled 2.0.0
Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe. Audit, Deny, Disabled 1.0.0

Kryptografischer Schutz

ID: NIST SP 800-53 Rev. 5 SC-28 (1) Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
In der App Service-Umgebung sollte die interne Verschlüsselung aktiviert sein Wenn Sie „InternalEncryption“ auf TRUE festlegen, werden die Auslagerungsdatei, die Workerdatenträger und der interne Netzwerkverkehr zwischen den Front-Ends und den Workern in einer App Service-Umgebung verschlüsselt. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Disabled 1.0.1
Automation-Kontovariablen sollten verschlüsselt werden Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. Audit, Deny, Disabled 1.1.0
Azure Data Box-Aufträge müssen die Mehrfachverschlüsselung für ruhende Daten auf dem Gerät aktivieren Aktivieren Sie eine zweite Ebene der softwarebasierten Verschlüsselung für ruhende Daten auf dem Gerät. Das Gerät ist bereits über eine AES-256-Verschlüsselung (Advanced Encryption Standard) für ruhende Daten geschützt. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt. Audit, Deny, Disabled 1.0.0
Azure Monitor-Protokollcluster müssen mit aktivierter Infrastrukturverschlüsselung erstellt werden (Mehrfachverschlüsselung) Verwenden Sie einen dedizierten Azure Monitor-Cluster, um sicherzustellen, dass die sichere Datenverschlüsselung auf der Dienst- und Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei unterschiedlichen Schlüsseln aktiviert ist. Diese Option ist standardmäßig aktiviert, sofern sie in der jeweiligen Region unterstützt wird. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Azure Stack Edge-Geräte sollten doppelte Verschlüsselung verwenden. Stellen Sie zum Schutz der ruhenden Daten auf dem Gerät Folgendes sicher: Die Daten sind doppelt verschlüsselt, der Zugriff auf Daten wird gesteuert, und nach der Deaktivierung des Geräts werden die Daten auf sichere Weise von den Datenträgern gelöscht. Bei der Mehrfachverschlüsselung werden zwei Verschlüsselungsebenen verwendet: Verschlüsselung vom Typ „BitLocker XTS-AES 256-Bit“ auf den Datenvolumes und integrierte Verschlüsselung der Festplatten. Weitere Informationen finden Sie in der Dokumentation zur Sicherheitsübersicht für das jeweilige Stack Edge-Gerät. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 1.1.0
Datenträgerverschlüsselung muss in Azure Data Explorer aktiviert sein Durch das Aktivieren der Datenträgerverschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Audit, Deny, Disabled 2.0.0
Doppelte Verschlüsselung muss für Azure Data Explorer aktiviert sein Durch das Aktivieren der doppelten Verschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn die doppelte Verschlüsselung aktiviert ist, werden Daten im Speicherkonto zweimal – einmal auf Dienstebene und einmal auf Infrastrukturebene – mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. Audit, Deny, Disabled 2.0.0
Von Microsoft verwaltete Steuerung 1437: Medientransport | Kryptografischer Schutz Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1664: Schutz von ruhenden Informationen | Kryptografischer Schutz Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen Service Fabric bietet drei Schutzebenen („None“, „Sign“ und „EncryptAndSign“) für die Kommunikation zwischen zwei Knoten unter Verwendung eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden. Audit, Deny, Disabled 1.1.0
Speicherkonten sollten eine Infrastrukturverschlüsselung aufweisen Aktivieren Sie die Infrastrukturverschlüsselung, um die Sicherheit der Daten zu erhöhen. Bei aktivierter Infrastrukturverschlüsselung werden die Daten in einem Speicherkonto doppelt verschlüsselt. Audit, Deny, Disabled 1.0.0
Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. Um die Datensicherheit zu erhöhen, sollten die auf dem VM-Host Ihrer Azure Kubernetes Service-Knoten-VMs gespeicherten Daten im Ruhezustand verschlüsselt werden. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. Audit, Deny, Disabled 1.0.1
Transparent Data Encryption für SQL-Datenbanken aktivieren TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. AuditIfNotExists, Disabled 2.0.0
Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe. Audit, Deny, Disabled 1.0.0

Prozessisolation

ID: NIST SP 800-53 Rev. 5 SC-39 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1665: Prozessisolation Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

System- und Informationsintegrität

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 SI-1 Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1666: Integrität von Systemen und Informationen – Richtlinien und Verfahren Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1667: Integrität von Systemen und Informationen – Richtlinien und Verfahren Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Fehlerbehebung

ID: NIST SP 800-53 Rev. 5 SI-2 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
App Service-Apps sollten die neueste „HTTP-Version“ verwenden Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 4.0.0
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Funktions-Apps sollten die neueste „HTTP-Version“ verwenden Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 4.0.0
Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht. Audit, Disabled 1.0.2
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage (klassisch) muss aktiviert sein Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. AuditIfNotExists, Disabled 1.0.4
Von Microsoft verwaltete Steuerung 1668: Fehlerbehebung Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1669: Fehlerbehebung Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1670: Fehlerbehebung Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1671: Fehlerbehebung Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. AuditIfNotExists, Disabled 4.1.0
Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.1.0

Automatisierter Fehlerbehebungsstatus

ID: NIST SP 800-53 Rev. 5 SI-2 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1673: Fehlerbehebung | Automatisierter Fehlerbehebungsstatus Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Zeitraum bis zur Behebung von Fehlern und Benchmarks für Korrekturmaßnahmen

ID: NIST SP 800-53 Rev. 5 SI-2 (3) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1674: Fehlerbehebung | Zeitraum bis zur Behebung von Fehlern/Benchmarks für Korrekturmaßnahmen Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1675: Fehlerbehebung | Zeitraum bis zur Behebung von Fehlern/Benchmarks für Korrekturmaßnahmen Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Entfernen älterer Software- oder Firmwareversionen

ID: NIST SP 800-53 Rev. 5 SI-2 (6) Zuständigkeit: Kunde

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
App Service-Apps sollten die neueste „HTTP-Version“ verwenden Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 4.0.0
Funktions-Apps sollten die neueste 'HTTP Version' verwenden Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. AuditIfNotExists, Disabled 4.0.0
Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht. Audit, Disabled 1.0.2

Schutz vor schädlichem Code

ID: NIST SP 800-53 Rev. 5 SI-3 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Von Microsoft verwaltete Steuerung 1676: Schutz vor schädlichem Code Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1677: Schutz vor schädlichem Code Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1678: Schutz vor schädlichem Code Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1679: Schutz vor schädlichem Code Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1681: Schutz vor schädlichem Code | Automatische Updates Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1682: Schutz vor schädlichem Code | Erkennung basierend auf nicht vorhandenen Signaturen Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). AuditIfNotExists, Disabled 1.1.1

Systemüberwachung

ID: NIST SP 800-53 Rev. 5 SI-4 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 4.0.1-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.2
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Storage (klassisch) muss aktiviert sein Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. AuditIfNotExists, Disabled 1.0.4
Von Microsoft verwaltete Steuerung 1683: Überwachung des Informationssystems Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1684: Überwachung des Informationssystems Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1685: Überwachung des Informationssystems Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1686: Überwachung des Informationssystems Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1687: Überwachung des Informationssystems Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1688: Überwachung des Informationssystems Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1689: Überwachung des Informationssystems Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

Systemweites Intrusion-Detection-System

ID: NIST SP 800-53 Rev. 5 SI-4 (1) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1690: Überwachung des Informationssystems | Systemweites Intrusion-Detection-System Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Automatisierte Tools und Mechanismen für die Echtzeitanalyse

ID: NIST SP 800-53 Rev. 5 SI-4 (2) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1691: Überwachung des Informationssystems | Automatisierte Tools für die Echtzeitanalyse Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Ein- und ausgehender Kommunikationsdatenverkehr

ID: NIST SP 800-53 Rev. 5 SI-4 (4) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1692: Überwachung des Informationssystems | Ein- und ausgehender Kommunikationsdatenverkehr Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Vom System generierte Warnungen

ID: NIST SP 800-53 Rev. 5 SI-4 (5) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1693: Überwachung des Informationssystems | Vom System generierte Warnungen Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Analysieren von Anomalien im Kommunikationsdatenverkehr

ID: NIST SP 800-53 Rev. 5 SI-4 (11) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1694: Überwachung des Informationssystems | Analysieren von Anomalien im Kommunikationsdatenverkehr Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Von der Organisation generierte automatisierte Warnungen

ID: NIST SP 800-53 Rev. 5 SI-4 (12) Zuständigkeit: Kunde

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 2.0.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1

Angriffserkennung in Drahtlosnetzwerken

ID: NIST SP 800-53 Rev. 5 SI-4 (14) Zuständigkeit: Gemeinsam

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1695: Überwachung des Informationssystems | Angriffserkennung in Drahtlosnetzwerken Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Korrelieren der Überwachungsinformationen

ID: NIST SP 800-53 Rev. 5 SI-4 (16) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1696: Überwachung des Informationssystems | Korrelieren der Überwachungsinformationen Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Analyse des Datenverkehrs und verdeckte Exfiltration

ID: NIST SP 800-53 Rev. 5 SI-4 (18) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1697: Überwachung des Informationssystems | Analyse des Datenverkehrs/verdeckte Exfiltration Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Risiken für Personen

ID: NIST SP 800-53 Rev. 5 SI-4 (19) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1698: Überwachung des Informationssystems | Personen mit erhöhtem Risiko Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Privilegierte Benutzer

ID: NIST SP 800-53 Rev. 5 SI-4 (20) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1699: Überwachung des Informationssystems | Privilegierte Benutzer Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Nicht autorisierte Netzwerkdienste

ID: NIST SP 800-53 Rev. 5 SI-4 (22) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1700: Überwachung des Informationssystems | Nicht autorisierte Netzwerkdienste Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Hostbasierte Geräte

ID: NIST SP 800-53 Rev. 5 SI-4 (23) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1701: Überwachung des Informationssystems | Hostbasierte Geräte Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Anzeigen einer Kompromittierung

ID: NIST SP 800-53 Rev. 5 SI-4 (24) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1702: Überwachung des Informationssystems | Anzeichen einer Kompromittierung Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Sicherheitswarnungen, Empfehlungen und Direktiven

ID: NIST SP 800-53 Rev. 5 SI-5 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Microsoft Managed Control 1703 – Sicherheitswarnungen & Empfehlungen Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Microsoft Managed Control 1704 – Sicherheitswarnungen & Empfehlungen Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Microsoft Managed Control 1705 – Sicherheitswarnungen & Empfehlungen Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Microsoft Managed Control 1706 – Sicherheitswarnungen & Empfehlungen Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Automatisierte Warnungen und Empfehlungen

ID: NIST SP 800-53 Rev. 5 SI-5 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Microsoft Managed Control 1707 – Sicherheitswarnungen & Empfehlungen | Automatisierte Benachrichtigungen und Empfehlungen Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Überprüfung der Sicherheits- und Datenschutzfunktion

ID: NIST SP 800-53 Rev. 5 SI-6 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1708: Überprüfung von Sicherheitsfunktionen Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1709: Überprüfung von Sicherheitsfunktionen Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1710: Überprüfung von Sicherheitsfunktionen Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1711: Überprüfung von Sicherheitsfunktionen Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Integrität von Software, Firmware und Informationen

ID: NIST SP 800-53 Rev. 5 SI-7 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Microsoft Managed Control 1712 – Software & Informationsintegrität Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Integritätsüberprüfungen

ID: NIST SP 800-53 Rev. 5 SI-7 (1) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Microsoft Managed Control 1713 – Software & Informationsintegrität | Integritätsprüfungen Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Automatisierte Benachrichtigungen bei Integritätsverletzungen

ID: NIST SP 800-53 Rev. 5 SI-7 (2) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Microsoft Managed Control 1714 – Software & Informationsintegrität | Automatisierte Benachrichtigungen über Integritätsverletzungen Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Automatisierte Reaktion bei Integritätsverletzungen

ID: NIST SP 800-53 Rev. 5 SI-7 (5) Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Microsoft Managed Control 1715 – Software & Informationsintegrität | Automatisierte Reaktion auf Integritätsverletzungen Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Integration von Erkennung und Reaktion

ID: NIST SP 800-53 Rev. 5 SI-7 (7) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Microsoft Managed Control 1716 – Software & Informationsintegrität | Integration von Erkennung und Reaktion Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Spamschutz

ID: NIST SP 800-53 Rev. 5 SI-8 Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1719: Spamschutz Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1720: Spamschutz Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Automatische Updates

ID: NIST SP 800-53 Rev. 5 SI-8 (2) Zuständigkeit: Microsoft

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1722: Spamschutz | Automatische Updates Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Überprüfen von Informationseingaben

ID: NIST SP 800-53 Rev. 5 SI-10 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1723: Überprüfen von Informationseingaben Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Fehlerbehandlung

ID: NIST SP 800-53 Rev. 5 SI-11 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1724: Fehlerbehandlung Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1725: Fehlerbehandlung Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Informationsverwaltung und -aufbewahrung

ID: NIST SP 800-53 Rev. 5 SI-12 Eigentum: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1726: Verarbeitung und Aufbewahrung der Informationsausgabe Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0

Arbeitsspeicherschutz

ID: NIST SP 800-53 Rev. 5 SI-16 Besitzer: Shared

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Von Microsoft verwaltete Steuerung 1727: Arbeitsspeicherschutz Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen Überwachung 1.0.0
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). AuditIfNotExists, Disabled 1.1.1

Nächste Schritte

Weitere Artikel über Azure Policy: