Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß NIST SP 800-53 Rev. 5 (Azure Government)
Der folgende Artikel enthält Details dazu, wie die integrierte Azure Policy-Initiative zur Einhaltung gesetzlicher Bestimmungen den Compliancebereichen und Steuerungen in NIST SP 800-53 Rev. 5 (Azure Government) entspricht. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 5. Grundlegendes zum Besitzer finden Sie unter Azure Policy-Richtliniendefinition und Gemeinsame Verantwortung in der Cloud.
Die folgenden Zuordnungen gelten für die Steuerungen unter NIST SP 800-53 Rev. 5. Viele der Steuerungen werden über die Definition einer Azure Policy-Initiative implementiert. Zum Anzeigen der vollständigen Initiativendefinition öffnen Sie Policy im Azure-Portal und wählen dann die Seite Definitionen aus. Suchen Sie anschließend nach der integrierten Initiativendefinition zur Einhaltung der gesetzlichen Bestimmungen gemäß NIST SP 800-53 Rev. 5, und wählen Sie sie aus.
Wichtig
Jede Steuerung unten ist einer oder mehreren Azure Policy-Definitionen zugeordnet. Diese Richtlinien können Ihnen bei der Konformitätsbewertung mit der Steuerung helfen. Es gibt jedoch oft keine 1:1- oder vollständige Übereinstimmung zwischen einer Steuerung und einer bzw. mehreren Richtlinien. Daher bezieht sich Konform in Azure Policy nur auf die Richtliniendefinitionen selbst und gewährleistet nicht die vollständige Compliance mit allen Anforderungen einer Steuerung. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Compliancebereichen, Steuerungen und Azure Policy-Definitionen für diesen Konformitätsstandard können sich im Lauf der Zeit ändern. Den Änderungsverlaufs finden Sie im GitHub-Commit-Verlauf.
Zugriffssteuerung
Richtlinie und Prozeduren
ID: NIST SP 800-53 Rev. 5 AC-1 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1000: Anforderungen an Richtlinien und Prozeduren für die Zugriffssteuerung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1001: Anforderungen an Richtlinien und Prozeduren für die Zugriffssteuerung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Kontoverwaltung
ID: NIST SP 800-53 Rev. 5 AC-2 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
| Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Verwendung benutzerdefinierter RBAC-Rollen überwachen | Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. | Audit, Disabled | 1.0.1 |
| Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Gesperrte Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
| Gesperrte Konten mit Lese- und Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Disabled | 1.0.0 |
| Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten entfernt werden. | Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Gastkonten mit Leseberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Gastkonten mit Schreibberechtigungen für Azure-Ressourcen sollten entfernt werden | Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1002: Kontoverwaltung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1003: Kontoverwaltung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1004: Kontoverwaltung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1005: Kontoverwaltung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1006: Kontoverwaltung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1007: Kontoverwaltung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1008: Kontoverwaltung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1009: Kontoverwaltung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1010: Kontoverwaltung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1011: Kontoverwaltung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1012: Kontoverwaltung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1022: Kontoverwaltung | Stornierung von Anmeldeinformationen von freigegebenen oder Gruppenkonten | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden | Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. | Audit, Deny, Disabled | 1.1.0 |
Automatisierte Systemkontoverwaltung
ID: NIST SP 800-53 Rev. 5 AC-2 (1) Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
| Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Von Microsoft verwaltete Steuerung 1013: Kontoverwaltung | Automatisierte Systemkontoverwaltung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden | Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. | Audit, Deny, Disabled | 1.1.0 |
Automatisierte Verwaltung von temporären und Notfallkonten
ID: NIST SP 800-53 Rev. 5 AC-2 (2) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1014: Kontoverwaltung | Entfernen von temporären oder Notfallkonten | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Deaktivieren von Konten
ID: NIST SP 800-53 Rev. 5 AC-2 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1015: Kontoverwaltung | Deaktivieren inaktiver Konten | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Automatisierte Überwachung von Aktionen
ID: NIST SP 800-53 Rev. 5 AC-2 (4) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1016: Kontoverwaltung | Automatisierte Überwachungsaktionen | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Abmeldung nach Inaktivität
ID: NIST SP 800-53 Rev. 5 AC-2 (5) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1017: Kontoverwaltung | Abmeldung bei Inaktivität | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Privilegierte Benutzerkonten
ID: NIST SP 800-53 Rev. 5 AC-2 (7) Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
| Verwendung benutzerdefinierter RBAC-Rollen überwachen | Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. | Audit, Disabled | 1.0.1 |
| Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Von Microsoft verwaltete Steuerung 1018: Kontoverwaltung | Rollenbasierte Schemas | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1019: Kontoverwaltung | Rollenbasierte Schemas | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1020: Kontoverwaltung | Rollenbasierte Schemas | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden | Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. | Audit, Deny, Disabled | 1.1.0 |
Einschränkungen in Bezug auf die Verwendung von freigegebenen Konten und Gruppenkonten
ID: NIST SP 800-53 Rev. 5 AC-2 (9) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1021: Kontoverwaltung | Einschränkungen bei der Verwendung von freigegebenen oder Gruppenkonten | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Nutzungsbedingungen
ID: NIST SP 800-53 Rev. 5 AC-2 (11) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1023: Kontoverwaltung | Bedingungen für die Verwendung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Kontoüberwachung auf atypische Verwendung
ID: NIST SP 800-53 Rev. 5 AC-2 (12) Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. | Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL sollte für nicht geschützte SQL Managed Instance-Instanzen aktiviert werden | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage (klassisch) muss aktiviert sein | Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. | AuditIfNotExists, Disabled | 1.0.4 |
| Von Microsoft verwaltete Steuerung 1024: Kontoverwaltung | Kontoüberwachung/ungewöhnlich Nutzung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1025: Kontoverwaltung | Kontoüberwachung/ungewöhnlich Nutzung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Deaktivieren von Konten für Hochrisikopersonen
ID: NIST SP 800-53 Rev. 5 AC-2 (13) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1026: Kontoverwaltung | Deaktivieren von Konten für Hochrisikopersonen | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Zugriffserzwingung
ID: NIST SP 800-53 Rev. 5 AC-3 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
| Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Linux-Computer überwachen, die Konten ohne Kennwörter verwenden | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die über Konten ohne Kennwörter verfügen. | AuditIfNotExists, Disabled | 1.4.0 |
| Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Von Microsoft verwaltete Steuerung 1027: Erzwingen des Zugriffs | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden | Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. | Audit, Deny, Disabled | 1.1.0 |
| Speicherkonten sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager für Ihre Speicherkonten, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
| VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden | Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. | Audit, Deny, Disabled | 1.0.0 |
Rollenbasierte Zugriffssteuerung
ID: NIST SP 800-53 Rev. 5 AC-3 (7) Zuständigkeit: Kunde
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Für Kubernetes Services sollte die rollenbasierte Zugriffssteuerung von Azure (Role-Based Access Control, RBAC) verwendet werden. | Um eine präzise Filterung nach den Aktionen zu ermöglichen, die von Benutzer*innen ausgeführt werden können, verwenden Sie die rollenbasierte Zugriffssteuerung von Azure (Role Based Access Control, RBAC). Damit können Sie Berechtigungen in Kubernetes Service-Clustern verwalten und relevante Autorisierungsrichtlinien konfigurieren. | Audit, Disabled | 1.0.3 |
Erzwingung des Datenflusses
ID: NIST SP 800-53 Rev. 5 AC-4 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
| API Management-Dienste müssen ein virtuelles Netzwerk verwenden | Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. | Audit, Deny, Disabled | 1.0.2 |
| App Configuration sollte Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. | AuditIfNotExists, Disabled | 2.0.0 |
| In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. | Audit, Disabled | 2.0.0 |
| Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken | Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. | Audit, Deny, Disabled | 3.2.0 |
| Azure Cache for Redis muss private Verbindung verwenden | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden | Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienste müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Cognitive Search-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienste müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. | Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. | Audit, Deny, Disabled | 2.0.0 |
| Azure Data Factory muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Event Grid-Domänen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure Event Grid-Themen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden | Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault sollte eine aktive Firewall haben | Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 1.4.1 |
| Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Azure Service Bus-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Cognitive Services-Konten müssen den Zugriff über öffentliche Netzwerke deaktivieren | Stellen Sie zum Verbessern der Sicherheit von Cognitive Services-Konten sicher, dass diese nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich sind. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter https://go.microsoft.com/fwlink/?linkid=2129800 beschrieben. Darüber hinaus werden alle Anmeldungen abgelehnt, die Firewallregeln auf Basis von IP-Adressen oder virtuellen Netzwerken entsprechen. Dadurch wird das Risiko von Datenlecks verringert. | Audit, Deny, Disabled | 3.0.1 |
| Cognitive Services muss eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen | Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Containerregistrierungen sollten eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| CosmosDB-Konten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Datenträgerzugriffsressourcen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Disabled | 3.0.0 |
| Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
| Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Disabled | 3.0.0 |
| Von Microsoft verwaltete Steuerung 1028: Erzwingung des Datenflusses | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. | Audit, Disabled | 1.1.0 |
| Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. | Audit, Deny, Disabled | 1.1.0 |
| Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
| Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken | Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. | Audit, Deny, Disabled | 1.0.1 |
| Speicherkonten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden | Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. | AuditIfNotExists, Disabled | 3.0.0 |
Dynamische Informationsflusssteuerung
ID: NIST SP 800-53 Rev. 5 AC-4 (3) Zuständigkeit: Kunde
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
Filter für Sicherheits- und Datenschutzrichtlinien
ID: NIST SP 800-53 Rev. 5 AC-4 (8) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1029: Erzwingung des Datenflusses | Sicherheitsrichtlinienfilter | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Physische oder logische Trennung von Informationsflüssen
ID: NIST SP 800-53 Rev. 5 AC-4 (21) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1030: Erzwingung des Datenflusses | Physische/logische Trennung von Informationsflows | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Aufgabentrennung
ID: NIST SP 800-53 Rev. 5 AC-5 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1031: Aufgabentrennung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1032: Aufgabentrennung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1033: Aufgabentrennung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein | Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. | AuditIfNotExists, Disabled | 3.0.0 |
Ansatz der geringsten Rechte
ID: NIST SP 800-53 Rev. 5 AC-6 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
| Verwendung benutzerdefinierter RBAC-Rollen überwachen | Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. | Audit, Disabled | 1.0.1 |
| Von Microsoft verwaltete Steuerung 1034: Ansatz der geringsten Rechte | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Autorisieren des Zugriffs auf Sicherheitsfunktionen
ID: NIST SP 800-53 Rev. 5 AC-6 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1035: Ansatz der geringsten Rechte | Autorisieren des Zugriffs auf Sicherheitsfunktionen | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Nicht privilegierter Zugriff auf nicht sicherheitsrelevante Funktionen
ID: NIST SP 800-53 Rev. 5 AC-6 (2) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1036: Ansatz der geringsten Rechte | Nicht privilegierter Zugriff auf nicht sicherheitsrelevante Funktionen | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Netzwerkzugriff auf privilegierte Befehle
ID: NIST SP 800-53 Rev. 5 AC-6 (3) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1037: Ansatz der geringsten Rechte | Netzwerkzugriff auf privilegierte Befehle | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Privilegierte Konten
ID: NIST SP 800-53 Rev. 5 AC-6 (5) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1038: Ansatz der geringsten Rechte | Privilegierte Konten | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Überprüfen von Benutzerberechtigungen
ID: NIST SP 800-53 Rev. 5 AC-6 (7) Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Disabled | 3.0.0 |
| Verwendung benutzerdefinierter RBAC-Rollen überwachen | Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. | Audit, Disabled | 1.0.1 |
| Von Microsoft verwaltete Steuerung 1039: Ansatz der geringsten Rechte | Steuerung von Benutzerberechtigungen | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1040: Ansatz der geringsten Rechte | Steuerung von Benutzerberechtigungen | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Berechtigungsebenen für die Ausführung von Code
ID: NIST SP 800-53 Rev. 5 AC-6 (8) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1041: Ansatz der geringsten Rechte | Berechtigungsebenen für die Ausführung von Code | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Protokollieren der Verwendung privilegierter Funktionen
ID: NIST SP 800-53 Rev. 5 AC-6 (9) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1042: Ansatz der geringsten Rechte | Überwachen der Verwendung privilegierter Funktionen | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Unterbinden der Ausführung privilegierter Funktionen durch unberechtigte Benutzer
ID: NIST SP 800-53 Rev. 5 AC-6 (10) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1043: Ansatz der geringsten Rechte | Unterbinden der Ausführung privilegierter Funktionen durch unberechtigte Benutzer | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Fehlgeschlagene Anmeldeversuche
ID: NIST SP 800-53 Rev. 5 AC-7 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1044: fehlerhafte Anmeldeversuche | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1045: fehlerhafte Anmeldeversuche | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Mobiles Gerät bereinigen oder zurücksetzen
ID: NIST SP 800-53 Rev. 5 AC-7 (2) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1046: Fehlgeschlagene Anmeldeversuche | Bereinigen / Zurücksetzen mobiler Geräte | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Benachrichtigung zur Systemnutzung
ID: NIST SP 800-53 Rev. 5 AC-8 Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1047: Benachrichtigung zur Systemnutzung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1048: Benachrichtigung zur Systemnutzung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1049: Benachrichtigung zur Systemnutzung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Steuerung gleichzeitiger Sitzungen
ID: NIST SP 800-53 Rev. 5 AC-10 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1050: Steuerung gleichzeitiger Sitzungen | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Gerätesperre
ID: NIST SP 800-53 Rev. 5 AC-11 Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1051: Sitzungssperre | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1052: Sitzungssperre | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Unkenntlichmachung der Anzeige
ID: NIST SP 800-53 Rev. 5 AC-11 (1) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1053: Sitzungssperre | Unkenntlichmachung der Anzeige | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Beendigung der Sitzung
ID: NIST SP 800-53 Rev. 5 AC-12 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1054: Beendigung der Sitzung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Vom Benutzer initiierte Abmeldungen
ID: NIST SP 800-53 Rev. 5 AC-12 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1055: Beendigung der Sitzung | Benutzerseitig eingeleitete Abmeldungen/Meldungsanzeigen | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1056: Beendigung der Sitzung | Benutzerseitig eingeleitete Abmeldungen/Meldungsanzeigen | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Zulässige Aktionen ohne Identifizierung oder Authentifizierung
ID: NIST SP 800-53 Rev. 5 AC-14 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1057: zulässige Aktionen ohne Identifizierung oder Authentifizierung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1058: zulässige Aktionen ohne Identifizierung oder Authentifizierung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Sicherheits- und Datenschutzattribute
ID: NIST SP 800-53 Rev. 5 AC-16 Zuständigkeit: Kunde
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
Remotezugriff
ID: NIST SP 800-53 Rev. 5 AC-17 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
| App Configuration sollte Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Bei App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. | AuditIfNotExists, Disabled | 1.4.0 |
| Azure Cache for Redis muss private Verbindung verwenden | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden | Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienste müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Azure Data Factory muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Event Grid-Domänen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure Event Grid-Themen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden | Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Azure Service Bus-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Cognitive Services muss eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Containerregistrierungen sollten eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| CosmosDB-Konten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Datenträgerzugriffsressourcen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1059: Remotezugriff | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1060: Remotezugriff | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. | Audit, Disabled | 1.1.0 |
| Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
| Speicherkonten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
Überwachung und Steuerung
ID: NIST SP 800-53 Rev. 5 AC-17 (1) Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
| App Configuration sollte Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Bei App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. | AuditIfNotExists, Disabled | 1.4.0 |
| Azure Cache for Redis muss private Verbindung verwenden | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden | Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienste müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Azure Data Factory muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Event Grid-Domänen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure Event Grid-Themen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden | Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Azure Service Bus-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Cognitive Services muss eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Containerregistrierungen sollten eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| CosmosDB-Konten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Datenträgerzugriffsressourcen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1061: Remotezugriff | Automatisierte Überwachung/Steuerung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. | Audit, Disabled | 1.1.0 |
| Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
| Speicherkonten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
Schutz der Vertraulichkeit und Integrität durch Verschlüsselung
ID: NIST SP 800-53 Rev. 5 AC-17 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1062: Remotezugriff | Schutz der Vertraulichkeit/Integrität mithilfe von Verschlüsselung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Verwaltete Zugriffssteuerungspunkte
ID: NIST SP 800-53 Rev. 5 AC-17 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1063: Remotezugriff | Verwaltete Zugriffssteuerungspunkte | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Privilegierte Befehle/Zugriff
ID: NIST SP 800-53 Rev. 5 AC-17 (4) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1064: Remotezugriff | Privilegierte Befehle/privilegierter Zugriff | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1065: Remotezugriff | Privilegierte Befehle/privilegierter Zugriff | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Trennen/Deaktivieren des Zugriffs
ID: NIST SP 800-53 Rev. 5 AC-17 (9) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1066: Remotezugriff | Trennen/Deaktivieren des Zugriffs | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Drahtloser Zugriff
ID: NIST SP 800-53 Rev. 5 AC-18 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1067: Einschränkungen des drahtlosen Zugriffs | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1068: Einschränkungen des drahtlosen Zugriffs | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Authentifizierung und Verschlüsselung
ID: NIST SP 800-53 Rev. 5 AC-18 (1) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1069: Einschränkungen des drahtlosen Zugriffs | Authentifizierung und Verschlüsselung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Deaktivieren von Drahtlosnetzwerken
ID: NIST SP 800-53 Rev. 5 AC-18 (3) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1070: Einschränkungen des drahtlosen Zugriffs | Deaktivieren von Drahtlosnetzwerken | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Beschränken von Konfigurationen durch Benutzer
ID: NIST SP 800-53 Rev. 5 AC-18 (4) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1071: Einschränkungen des drahtlosen Zugriffs | Beschränken von Konfigurationen durch Benutzer | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Antennen/Sendeleistungspegel
ID: NIST SP 800-53 Rev. 5 AC-18 (5) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1072: Einschränkungen des drahtlosen Zugriffs | Antennen/Sendeleistungspegel | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Zugriffssteuerung für mobile Geräte
ID: NIST SP 800-53 Rev. 5 AC-19 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1073: Zugriffssteuerung für tragbare und mobile Systeme | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1074: Zugriffssteuerung für tragbare und mobile Systeme | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Vollständige geräte-/containerbasierte Verschlüsselung
ID: NIST SP 800-53 Rev. 5 AC-19 (5) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1075: Zugriffssteuerung für mobile Geräte | Vollständige geräte-/containerbasierte Verschlüsselung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Verwenden externer Systeme
ID: NIST SP 800-53 Rev. 5 AC-20 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1076: Verwendung externer Informationssysteme | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1077: Verwendung externer Informationssysteme | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Beschränkungen der zulässigen Nutzung
ID: NIST SP 800-53 Rev. 5 AC-20 (1) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1078: Verwendung externer Informationssysteme | Beschränkungen der zulässigen Nutzung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1079: Verwendung externer Informationssysteme | Beschränkungen der zulässigen Nutzung | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Tragbare Speichergeräte Eingeschränkte Nutzung
ID: NIST SP 800-53 Rev. 5 AC-20 (2) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1080: Verwendung externer Informationssysteme | Tragbare Speichergeräte | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Gemeinsame Nutzung von Informationen
ID: NIST SP 800-53 Rev. 5 AC-21 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1081: gemeinsame Nutzung von Informationen | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1082: gemeinsame Nutzung von Informationen | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Öffentlich zugängliche Inhalte
ID: NIST SP 800-53 Rev. 5 AC-22 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1083: öffentlich zugängliche Inhalte | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1084: öffentlich zugängliche Inhalte | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1085: öffentlich zugängliche Inhalte | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1086: öffentlich zugängliche Inhalte | Microsoft implementiert diese Access Control-Steuerung | Überwachung | 1.0.0 |
Bewusstsein und Training
Richtlinie und Prozeduren
ID: NIST SP 800-53 Rev. 5 AT-1 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1087: Sicherheitsbewusstsein und -schulungen – Richtlinien und Verfahren | Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1088: Sicherheitsbewusstsein und -schulungen – Richtlinien und Verfahren | Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen | Überwachung | 1.0.0 |
Alphabetisierungsschulung und Bewusstsein
ID: NIST SP 800-53 Rev. 5 AT-2 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1089: Sicherheitsbewusstsein | Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1090: Sicherheitsbewusstsein | Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1091: Sicherheitsbewusstsein | Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen | Überwachung | 1.0.0 |
Insiderbedrohung
ID: NIST SP 800-53 Rev. 5 AT-2 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1092: Sicherheitsbewusstsein | Bedrohungen von innen | Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen | Überwachung | 1.0.0 |
Rollenbasiertes Training
ID: NIST SP 800-53 Rev. 5 AT-3 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1093: Rollenbasierte Sicherheitsschulungen | Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1094: Rollenbasierte Sicherheitsschulungen | Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1095: Rollenbasierte Sicherheitsschulungen | Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen | Überwachung | 1.0.0 |
Praxisnahe Übungen
ID: NIST SP 800-53 Rev. 5 AT-3 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1096: Rollenbasierte Sicherheitsschulungen | Praxisnahe Übungen | Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen | Überwachung | 1.0.0 |
Trainingsdatensätze
ID: NIST SP 800-53 Rev. 5 AT-4 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1098: Datensätze von Sicherheitsschulungen | Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1099: Datensätze von Sicherheitsschulungen | Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen | Überwachung | 1.0.0 |
Überwachung und Verantwortlichkeit
Richtlinie und Prozeduren
ID: NIST SP 800-53 Rev. 5 AU-1 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1100: Überwachung und Verantwortlichkeit – Richtlinien und Verfahren | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1101: Überwachung und Verantwortlichkeit – Richtlinien und Verfahren | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Ereignisprotokollierung
ID: NIST SP 800-53 Rev. 5 AU-2 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1102: Überwachen von Ereignissen | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1103: Überwachen von Ereignissen | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1104: Überwachen von Ereignissen | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1105: Überwachen von Ereignissen | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1106: Überwachen von Ereignissen | Überprüfungen und Updates | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Inhalt der Überwachungsdatensätze
ID: NIST SP 800-53 Rev. 5 AU-3 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1107: Inhalt der Überwachungsdatensätze | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Zusätzliche Überwachungsinformationen
ID: NIST SP 800-53 Rev. 5 AU-3 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1108: Inhalt der Überwachungsdatensätze | Zusätzliche Überwachungsinformationen | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Speicherkapazität für Überwachungsprotokolle
ID: NIST SP 800-53 Rev. 5 AU-4 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1110: Speicherkapazität für Überwachungsdatensätze | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Reaktion auf Fehler beim Überwachungsprotokollierungsprozess
ID: NIST SP 800-53 Rev. 5 AU-5 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1111: Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1112: Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Warnung zu Speicherkapazität
ID: NIST SP 800-53 Rev. 5 AU-5 (1) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1113: Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen | Speicherkapazitäten für Überwachungsdatensätze | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Benachrichtigungen in Echtzeit
ID: NIST SP 800-53 Rev. 5 AU-5 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1114: Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen | Benachrichtigungen in Echtzeit | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Prüfung, Analyse und Berichterstellung zum Überwachungsdatensatz
ID: NIST SP 800-53 Rev. 5 AU-6 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. | Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage (klassisch) muss aktiviert sein | Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. | AuditIfNotExists, Disabled | 1.0.4 |
| Von Microsoft verwaltete Steuerung 1115: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1116: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1123: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Anpassung der Überwachungsebene | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
Automatisierte Prozessintegration
ID: NIST SP 800-53 Rev. 5 AU-6 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1117: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Prozessintegration | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Korrelieren von Repositorys für Überwachungsdatensätze
ID: NIST SP 800-53 Rev. 5 AU-6 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1118: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Korrelieren von Überwachungsrepositorys | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Zentrale Überprüfung und Analyse
ID: NIST SP 800-53 Rev. 5 AU-6 (4) Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. | Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 2.0.1 |
| Die Überwachung in SQL Server muss aktiviert werden | Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. | AuditIfNotExists, Disabled | 2.0.0 |
| Für Ihr Abonnement sollte die automatische Bereitstellung des Log Analytics-Agents aktiviert sein. | Azure Security Center sammelt Daten von Ihren Azure-VMs, um diese auf Sicherheitslücken und Bedrohungen zu überwachen. Die Daten werden mit dem Log Analytics-Agent (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Wir empfehlen Ihnen, die automatische Bereitstellung zu aktivieren, damit der Agent auf allen unterstützten und allen neu erstellten Azure-VMs automatisch bereitgestellt wird. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. | Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| Der Log Analytics-Agent muss auf dem virtuellen Computer für Azure Security Center-Überwachung installiert sein | Diese Richtlinie überwacht alle virtuellen Windows-/Linux-Computer (Virtual Machines, VMs), wenn der Log Analytics-Agent nicht installiert ist, den Security Center zum Überwachen von Sicherheitsrisiken und Bedrohungen verwendet. | AuditIfNotExists, Disabled | 1.0.0 |
| Der Log Analytics-Agent muss in den VM-Skalierungsgruppen für Azure Security Center-Überwachung installiert sein | Security Center sammelt Daten von Ihren virtuellen Azure-Computern (VMs), um sie hinsichtlich Sicherheitslücken und Bedrohungen zu überwachen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage (klassisch) muss aktiviert sein | Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. | AuditIfNotExists, Disabled | 1.0.4 |
| Von Microsoft verwaltete Steuerung 1119: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Zentrale Überprüfung und Analyse | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
| In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Event Hub müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Key Vault müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Logic Apps müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.1.0 |
| In Suchdiensten müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Service Bus müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Integrierte Analyse von Überwachungsdatensätzen
ID: NIST SP 800-53 Rev. 5 AU-6 (5) Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. | Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 2.0.1 |
| Die Überwachung in SQL Server muss aktiviert werden | Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. | AuditIfNotExists, Disabled | 2.0.0 |
| Für Ihr Abonnement sollte die automatische Bereitstellung des Log Analytics-Agents aktiviert sein. | Azure Security Center sammelt Daten von Ihren Azure-VMs, um diese auf Sicherheitslücken und Bedrohungen zu überwachen. Die Daten werden mit dem Log Analytics-Agent (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Wir empfehlen Ihnen, die automatische Bereitstellung zu aktivieren, damit der Agent auf allen unterstützten und allen neu erstellten Azure-VMs automatisch bereitgestellt wird. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. | Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| Der Log Analytics-Agent muss auf dem virtuellen Computer für Azure Security Center-Überwachung installiert sein | Diese Richtlinie überwacht alle virtuellen Windows-/Linux-Computer (Virtual Machines, VMs), wenn der Log Analytics-Agent nicht installiert ist, den Security Center zum Überwachen von Sicherheitsrisiken und Bedrohungen verwendet. | AuditIfNotExists, Disabled | 1.0.0 |
| Der Log Analytics-Agent muss in den VM-Skalierungsgruppen für Azure Security Center-Überwachung installiert sein | Security Center sammelt Daten von Ihren virtuellen Azure-Computern (VMs), um sie hinsichtlich Sicherheitslücken und Bedrohungen zu überwachen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage (klassisch) muss aktiviert sein | Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. | AuditIfNotExists, Disabled | 1.0.4 |
| Von Microsoft verwaltete Steuerung 1120: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Integrations-, Scan- und Überwachungsfunktionen | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
| In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Event Hub müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Key Vault müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Logic Apps müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.1.0 |
| In Suchdiensten müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Service Bus müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Korrelation mit der physischen Überwachung
ID: NIST SP 800-53 Rev. 5 AU-6 (6) Eigentum: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1121: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Korrelation mit der physischen Überwachung | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Zulässige Aktionen
ID: NIST SP 800-53 Rev. 5 AU-6 (7) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1122: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Zulässige Aktionen | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Reduzierung von Überwachungsdatensätzen und Berichterstellung
ID: NIST SP 800-53 Rev. 5 AU-7 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1124: Überwachungsreduzierung und Berichterstellung | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1125: Überwachungsreduzierung und Berichterstellung | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Automatische Verarbeitung
ID: NIST SP 800-53 Rev. 5 AU-7 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1126: Überwachungsreduzierung und Berichterstellung | Automatische Verarbeitung | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Zeitstempel
ID: NIST SP 800-53 Rev. 5 AU-8 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1127: Zeitstempel | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1128: Zeitstempel | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Schutz von Überwachungsinformationen
ID: NIST SP 800-53 Rev. 5 AU-9 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1131: Schutz von Überwachungsinformationen | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Speichern auf separaten physischen Systemen oder Komponenten
ID: NIST SP 800-53 Rev. 5 AU-9 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1132: Schutz von Überwachungsinformationen | Sicherung von Überwachungsinformationen auf getrennten physischen Systemen/Komponenten | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Kryptografischer Schutz
ID: NIST SP 800-53 Rev. 5 AU-9 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1133: Schutz von Überwachungsinformationen | Kryptografischer Schutz | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Zugriff durch eine Teilmenge berechtigter Benutzer
ID: NIST SP 800-53 Rev. 5 AU-9 (4) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1134: Schutz von Überwachungsinformationen | Zugriff durch eine Teilmenge berechtigter Benutzer | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Unleugbarkeit
ID: NIST SP 800-53 Rev. 5 AU-10 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1135: Unleugbarkeit | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Aufbewahrung von Überwachungsdatensätzen
ID: NIST SP 800-53 Rev. 5 AU-11 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1136: Aufbewahrung von Überwachungsdatensätzen | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL Server-Überwachung im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. | AuditIfNotExists, Disabled | 3.0.0 |
Generierung von Überwachungsdatensätzen
ID: NIST SP 800-53 Rev. 5 AU-12 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. | Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 2.0.1 |
| Die Überwachung in SQL Server muss aktiviert werden | Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. | AuditIfNotExists, Disabled | 2.0.0 |
| Für Ihr Abonnement sollte die automatische Bereitstellung des Log Analytics-Agents aktiviert sein. | Azure Security Center sammelt Daten von Ihren Azure-VMs, um diese auf Sicherheitslücken und Bedrohungen zu überwachen. Die Daten werden mit dem Log Analytics-Agent (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Wir empfehlen Ihnen, die automatische Bereitstellung zu aktivieren, damit der Agent auf allen unterstützten und allen neu erstellten Azure-VMs automatisch bereitgestellt wird. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. | Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| Der Log Analytics-Agent muss auf dem virtuellen Computer für Azure Security Center-Überwachung installiert sein | Diese Richtlinie überwacht alle virtuellen Windows-/Linux-Computer (Virtual Machines, VMs), wenn der Log Analytics-Agent nicht installiert ist, den Security Center zum Überwachen von Sicherheitsrisiken und Bedrohungen verwendet. | AuditIfNotExists, Disabled | 1.0.0 |
| Der Log Analytics-Agent muss in den VM-Skalierungsgruppen für Azure Security Center-Überwachung installiert sein | Security Center sammelt Daten von Ihren virtuellen Azure-Computern (VMs), um sie hinsichtlich Sicherheitslücken und Bedrohungen zu überwachen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage (klassisch) muss aktiviert sein | Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. | AuditIfNotExists, Disabled | 1.0.4 |
| Von Microsoft verwaltete Steuerung 1137: Generierung von Überwachungsdatensätzen | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1138: Generierung von Überwachungsdatensätzen | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1139: Generierung von Überwachungsdatensätzen | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
| In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Event Hub müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Key Vault müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Logic Apps müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.1.0 |
| In Suchdiensten müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Service Bus müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Systemweiter und zeitkorrelierter Überwachungspfad
ID: NIST SP 800-53 Rev. 5 AU-12 (1) Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. | Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 2.0.1 |
| Die Überwachung in SQL Server muss aktiviert werden | Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. | AuditIfNotExists, Disabled | 2.0.0 |
| Für Ihr Abonnement sollte die automatische Bereitstellung des Log Analytics-Agents aktiviert sein. | Azure Security Center sammelt Daten von Ihren Azure-VMs, um diese auf Sicherheitslücken und Bedrohungen zu überwachen. Die Daten werden mit dem Log Analytics-Agent (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Wir empfehlen Ihnen, die automatische Bereitstellung zu aktivieren, damit der Agent auf allen unterstützten und allen neu erstellten Azure-VMs automatisch bereitgestellt wird. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. | Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| Der Log Analytics-Agent muss auf dem virtuellen Computer für Azure Security Center-Überwachung installiert sein | Diese Richtlinie überwacht alle virtuellen Windows-/Linux-Computer (Virtual Machines, VMs), wenn der Log Analytics-Agent nicht installiert ist, den Security Center zum Überwachen von Sicherheitsrisiken und Bedrohungen verwendet. | AuditIfNotExists, Disabled | 1.0.0 |
| Der Log Analytics-Agent muss in den VM-Skalierungsgruppen für Azure Security Center-Überwachung installiert sein | Security Center sammelt Daten von Ihren virtuellen Azure-Computern (VMs), um sie hinsichtlich Sicherheitslücken und Bedrohungen zu überwachen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage (klassisch) muss aktiviert sein | Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. | AuditIfNotExists, Disabled | 1.0.4 |
| Von Microsoft verwaltete Steuerung 1140: Generierung von Überwachungsdatensätzen | Systemweiter bzw. zeitlich korrelierter Überwachungspfad | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
| Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
| In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Event Hub müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Key Vault müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Logic Apps müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.1.0 |
| In Suchdiensten müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| In Service Bus müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 5.0.0 |
| VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Änderungen durch autorisierte Personen
ID: NIST SP 800-53 Rev. 5 AU-12 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1141: Generierung von Überwachungsdatensätzen | Änderungen durch autorisierte Personen | Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit | Überwachung | 1.0.0 |
Bewertung, Autorisierung und Überwachung
Richtlinie und Prozeduren
ID: NIST SP 800-53 Rev. 5 CA-1 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1142: Richtlinien und Prozeduren zur Zertifizierung, Autorisierung und Sicherheitsbewertung | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1143: Richtlinien und Prozeduren zur Zertifizierung, Autorisierung und Sicherheitsbewertung | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
Steuerelementbewertungen
ID: NIST SP 800-53 Rev. 5 CA-2 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1144: Sicherheitsbewertungen | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1145: Sicherheitsbewertungen | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1146: Sicherheitsbewertungen | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1147: Sicherheitsbewertungen | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
Unabhängige Gutachter
ID: NIST SP 800-53 Rev. 5 CA-2 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1148: Sicherheitsbewertungen | Unabhängige Gutachter | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
Spezialisierte Bewertungen
ID: NIST SP 800-53 Rev. 5 CA-2 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1149: Sicherheitsbewertungen | Spezialisierte Bewertungen | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
Nutzen von Ergebnissen externer Organisationen
ID: NIST SP 800-53 Rev. 5 CA-2 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1150: Sicherheitsbewertungen | Externe Organisationen | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
Informationsaustausch
ID: NIST SP 800-53 Rev. 5 CA-3 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1151: Systemverbindungen | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1152: Systemverbindungen | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1153: Systemverbindungen | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
Aktions- und Meilensteinplan
ID: NIST SP 800-53 Rev. 5 CA-5 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1156: Aktions- und Meilensteinplan | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1157: Aktions- und Meilensteinplan | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
Authorization
ID: NIST SP 800-53 Rev. 5 CA-6 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1158: Sicherheitsautorisierung | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1159: Sicherheitsautorisierung | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1160: Sicherheitsautorisierung | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
Kontinuierliche Überwachung
ID: NIST SP 800-53 Rev. 5 CA-7 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1161: kontinuierliche Überwachung | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1162: kontinuierliche Überwachung | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1163: kontinuierliche Überwachung | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1164: kontinuierliche Überwachung | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1165: kontinuierliche Überwachung | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1166: kontinuierliche Überwachung | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1167: kontinuierliche Überwachung | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
Unabhängige Bewertung
ID: NIST SP 800-53 Rev. 5 CA-7 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1168: kontinuierliche Überwachung | Unabhängige Bewertung | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
Trendanalyse
ID: NIST SP 800-53 Rev. 5 CA-7 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1169: kontinuierliche Überwachung | Trendanalyse | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
Penetrationstests
ID: NIST SP 800-53 Rev. 5 CA-8 Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1170: Penetrationstests | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
Unabhängiger Dienstleister oder Team für Penetrationstests
ID: NIST SP 800-53 Rev. 5 CA-8 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1171: Penetrationstests | Unabhängiger Dienstleister oder Team für Penetrationstests | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
Interne Systemverbindungen
ID: NIST SP 800-53 Rev. 5 CA-9 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1172: interne Systemverbindungen | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1173: interne Systemverbindungen | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
Konfigurationsverwaltung
Richtlinie und Prozeduren
ID: NIST SP 800-53 Rev. 5 CM-1 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1174: Konfigurationsverwaltung – Richtlinien und Verfahren | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1175: Konfigurationsverwaltung – Richtlinien und Verfahren | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Baselinekonfiguration
ID: NIST SP 800-53 Rev. 5 CM-2 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1176: Baselinekonfiguration | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1177: Baselinekonfiguration | Überprüfungen und Updates | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1178: Baselinekonfiguration | Überprüfungen und Updates | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1179: Baselinekonfiguration | Überprüfungen und Updates | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Automatisierungsunterstützung zur Steigerung der Genauigkeit/Aktualität
ID: NIST SP 800-53 Rev. 5 CM-2 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1180: Baselinekonfiguration | Automatisierungsunterstützung zur Steigerung der Genauigkeit/Währung | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Beibehaltung von vorherigen Konfigurationen
ID: NIST SP 800-53 Rev. 5 CM-2 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1181: Baselinekonfiguration | Beibehaltung von vorherigen Konfigurationen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Konfigurieren von Systemen und Komponenten für Gebiete mit hohem Risiko
ID: NIST SP 800-53 Rev. 5 CM-2 (7) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1182: Baselinekonfiguration | Konfigurieren von Systemen, Komponenten und Geräten für Gebiete mit hohem Risiko | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1183: Baselinekonfiguration | Konfigurieren von Systemen, Komponenten und Geräten für Gebiete mit hohem Risiko | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Steuerung von Konfigurationsänderungen
ID: NIST SP 800-53 Rev. 5 CM-3 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1184: Steuerung von Konfigurationsänderungen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1185: Steuerung von Konfigurationsänderungen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1186: Steuerung von Konfigurationsänderungen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1187: Steuerung von Konfigurationsänderungen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1188: Steuerung von Konfigurationsänderungen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1189: Steuerung von Konfigurationsänderungen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1190: Steuerung von Konfigurationsänderungen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Automatisierte Dokumentation, Benachrichtigung und Verbot von Änderungen
ID: NIST SP 800-53 Rev. 5 CM-3 (1) Eigentum: Shared
Testen, Überprüfen und Dokumentation von Änderungen
ID: NIST SP 800-53 Rev. 5 CM-3 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1197: Steuerung von Konfigurationsänderungen | Testen, Überprüfen und Dokumentieren von Änderungen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Sicherheits- und Datenschutzbeauftragte
ID: NIST SP 800-53 Rev. 5 CM-3 (4) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1198: Steuerung von Konfigurationsänderungen | Sicherheitsbeauftragter | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Verwaltung von kryptografischen Mechanismen
ID: NIST SP 800-53 Rev. 5 CM-3 (6) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1199: Steuerung von Konfigurationsänderungen | Verwaltung von kryptografischen Mechanismen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Auswirkungenanalysen
ID: NIST SP 800-53 Rev. 5 CM-4 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1200: Analyse der Auswirkungen auf die Sicherheit | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Trennen von Testumgebungen
ID: NIST SP 800-53 Rev. 5 CM-4 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1201: Analyse der Auswirkungen auf die Sicherheit | Trennen von Testumgebungen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Zugriffseinschränkungen für Änderungen
ID: NIST SP 800-53 Rev. 5 CM-5 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1202: Zugriffseinschränkungen für Änderungen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Automatisierte Zugriffserzwingung und Überwachungsdatensätze
ID: NIST SP 800-53 Rev. 5 CM-5 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1203: Zugriffseinschränkungen für Änderungen | Automatisierte Zugriffserzwingung und Überwachung | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Berechtigungsbeschränkung für Produktion und Betrieb
ID: NIST SP 800-53 Rev. 5 CM-5 (5) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1206: Zugriffseinschränkungen für Änderungen | Beschränken von Berechtigungen in Bezug auf Produktion/Betrieb | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1207: Zugriffseinschränkungen für Änderungen | Beschränken von Berechtigungen in Bezug auf Produktion/Betrieb | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Konfigurationseinstellungen
ID: NIST SP 800-53 Rev. 5 CM-6 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Veraltet]: Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit gültigen Zertifikaten können auf die App zugreifen. Diese Richtlinie wurde durch eine neue Richtlinie mit demselben Namen ersetzt, da HTTP 2.0 keine Clientzertifikate unterstützt. | Audit, Disabled | 3.1.0-deprecated |
| App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Für App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. | AuditIfNotExists, Disabled | 2.0.0 |
| Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. | Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen OPA-Webhook (Open Policy Agent) für die Zugangssteuerung, um umfassende Durchsetzungen und Schutzvorrichtungen für Ihre Cluster zentral und konsistent anzuwenden. | Audit, Disabled | 1.0.2 |
| Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. | AuditIfNotExists, Disabled | 2.0.0 |
| CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten | Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 10.1.0 |
| Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben | Hiermit wird verhindert, dass Podcontainer die Namespaces für Hostprozess-ID und Host-IPC in einem Kubernetes-Cluster freigeben. Diese Empfehlung ist Bestandteil von CIS 5.2.2 und CIS 5.2.3, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.1.0 |
| Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.1 |
| Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.0 |
| Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 10.1.1 |
| Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.0 |
| Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist für Kubernetes Service (AKS) und Azure Arc-fähiges Kubernetes allgemein verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.1 |
| Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.1 |
| Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden | Schränken Sie den Podzugriff auf das Hostnetzwerk und den zulässigen Hostportbereich in einem Kubernetes-Cluster ein. Diese Empfehlung ist Teil von CIS 5.2.4, um die Sicherheit Ihrer Kubernetes-Umgebungen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 7.1.0 |
| Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.1.0 |
| Kubernetes-Cluster dürfen keine privilegierten Container zulassen | Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 10.1.0 |
| Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.1.0 |
| Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen. | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. | AuditIfNotExists, Disabled | 1.5.0 |
| Von Microsoft verwaltete Steuerung 1208: Konfigurationseinstellungen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1209: Konfigurationseinstellungen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1210: Konfigurationseinstellungen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1211: Konfigurationseinstellungen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. | AuditIfNotExists, Disabled | 1.0.0 |
Automatisierte Verwaltung, Anwendung und Überprüfung
ID: NIST SP 800-53 Rev. 5 CM-6 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1212: Konfigurationseinstellungen | Automatisierte zentrale Verwaltung, Anwendung und Überprüfung | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Reaktion auf nicht autorisierte Änderungen
ID: NIST SP 800-53 Rev. 5 CM-6 (2) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1213: Konfigurationseinstellungen | Reaktion auf nicht autorisierte Änderungen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Mindestfunktionalität
ID: NIST SP 800-53 Rev. 5 CM-7 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein | Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. | AuditIfNotExists, Disabled | 3.0.0 |
| Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden | Überwachen Sie die Verhaltensänderungen für Computergruppen, die für die Überwachung durch die adaptive Anwendungssteuerung von Azure Security Center konfiguriert sind. Security Center nutzt Machine Learning, um die ausgeführten Prozesse auf Ihren Computern zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. Diese werden als zuzulassende Apps in den Richtlinien für die adaptive Anwendungssteuerung empfohlen. | AuditIfNotExists, Disabled | 3.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Von Microsoft verwaltete Steuerung 1214: Mindestfunktionalität | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1215: Mindestfunktionalität | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Regelmäßige Überprüfung
ID: NIST SP 800-53 Rev. 5 CM-7 (1) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1216: Mindestfunktionalität | Regelmäßige Überprüfung | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1217: Mindestfunktionalität | Regelmäßige Überprüfung | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Programmausführung verhindern
ID: NIST SP 800-53 Rev. 5 CM-7 (2) Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein | Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. | AuditIfNotExists, Disabled | 3.0.0 |
| Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden | Überwachen Sie die Verhaltensänderungen für Computergruppen, die für die Überwachung durch die adaptive Anwendungssteuerung von Azure Security Center konfiguriert sind. Security Center nutzt Machine Learning, um die ausgeführten Prozesse auf Ihren Computern zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. Diese werden als zuzulassende Apps in den Richtlinien für die adaptive Anwendungssteuerung empfohlen. | AuditIfNotExists, Disabled | 3.0.0 |
| Von Microsoft verwaltete Steuerung 1218: Mindestfunktionalität | Unterbinden der Programmausführung | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Autorisierte Software Ausnahmsweise zulassen
ID: NIST SP 800-53 Rev. 5 CM-7 (5) Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein | Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. | AuditIfNotExists, Disabled | 3.0.0 |
| Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden | Überwachen Sie die Verhaltensänderungen für Computergruppen, die für die Überwachung durch die adaptive Anwendungssteuerung von Azure Security Center konfiguriert sind. Security Center nutzt Machine Learning, um die ausgeführten Prozesse auf Ihren Computern zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. Diese werden als zuzulassende Apps in den Richtlinien für die adaptive Anwendungssteuerung empfohlen. | AuditIfNotExists, Disabled | 3.0.0 |
| Von Microsoft verwaltete Steuerung 1219: Mindestfunktionalität | Autorisierte Software und Whitelists | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1220: Mindestfunktionalität | Autorisierte Software und Whitelists | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1221: Mindestfunktionalität | Autorisierte Software und Whitelists | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Komponentenbestand des Systems
ID: NIST SP 800-53 Rev. 5 CM-8 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1222: Komponentenbestand des Informationssystems | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1223: Komponentenbestand des Informationssystems | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1229: Komponentenbestand des Informationssystems | Vermeidung einer doppelten Kontoverwaltung für Komponenten | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Updates bei Installationen und Entfernungen
ID: NIST SP 800-53 Rev. 5 CM-8 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1224: Komponentenbestand des Informationssystems | Updates bei Installationen und Entfernungen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Automatisierte Wartung
ID: NIST SP 800-53 Rev. 5 CM-8 (2) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1225: Komponentenbestand des Informationssystems | Automatisierte Wartung | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Automatisierte Erkennung von nicht autorisierten Komponenten
ID: NIST SP 800-53 Rev. 5 CM-8 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1226: Komponentenbestand des Informationssystems | Automatisierte Erkennung von nicht autorisierten Komponenten | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1227: Komponentenbestand des Informationssystems | Automatisierte Erkennung von nicht autorisierten Komponenten | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1241: von Benutzern installierte Software | Benachrichtigungen zu nicht autorisierten Installationen | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Informationen zur Verantwortlichkeit
ID: NIST SP 800-53 Rev. 5 CM-8 (4) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1228: Komponentenbestand des Informationssystems | Informationen zur Verantwortlichkeit | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Konfigurationsverwaltungsplan
ID: NIST SP 800-53 Rev. 5 CM-9 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1230: Konfigurationsverwaltungsplan | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1231: Konfigurationsverwaltungsplan | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1232: Konfigurationsverwaltungsplan | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1233: Konfigurationsverwaltungsplan | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Einschränkungen für die Softwarenutzung
ID: NIST SP 800-53 Rev. 5 CM-10 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein | Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. | AuditIfNotExists, Disabled | 3.0.0 |
| Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden | Überwachen Sie die Verhaltensänderungen für Computergruppen, die für die Überwachung durch die adaptive Anwendungssteuerung von Azure Security Center konfiguriert sind. Security Center nutzt Machine Learning, um die ausgeführten Prozesse auf Ihren Computern zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. Diese werden als zuzulassende Apps in den Richtlinien für die adaptive Anwendungssteuerung empfohlen. | AuditIfNotExists, Disabled | 3.0.0 |
| Von Microsoft verwaltete Steuerung 1234: Einschränkungen für die Softwarenutzung | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1235: Einschränkungen für die Softwarenutzung | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1236: Einschränkungen für die Softwarenutzung | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Open-Source-Software
ID: NIST SP 800-53 Rev. 5 CM-10 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1237: Einschränkungen für die Softwarenutzung | Open-Source-Software | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Von Benutzern installierte Software
ID: NIST SP 800-53 Rev. 5 CM-11 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein | Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. | AuditIfNotExists, Disabled | 3.0.0 |
| Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden | Überwachen Sie die Verhaltensänderungen für Computergruppen, die für die Überwachung durch die adaptive Anwendungssteuerung von Azure Security Center konfiguriert sind. Security Center nutzt Machine Learning, um die ausgeführten Prozesse auf Ihren Computern zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. Diese werden als zuzulassende Apps in den Richtlinien für die adaptive Anwendungssteuerung empfohlen. | AuditIfNotExists, Disabled | 3.0.0 |
| Von Microsoft verwaltete Steuerung 1238: von Benutzern installierte Software | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1239: von Benutzern installierte Software | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1240: von Benutzern installierte Software | Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung | Überwachung | 1.0.0 |
Notfallplanung
Richtlinie und Prozeduren
ID: NIST SP 800-53 Rev. 5 CP-1 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1242: Notfallplanungsrichtlinie und -verfahren | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1243: Notfallplanungsrichtlinie und -verfahren | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Notfallplan
ID: NIST SP 800-53 Rev. 5 CP-2 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1244: Notfallplan | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1245: Notfallplan | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1246: Notfallplan | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1247: Notfallplan | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1248: Notfallplan | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1249: Notfallplan | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1250: Notfallplan | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Koordination mit zugehörigen Plänen
ID: NIST SP 800-53 Rev. 5 CP-2 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1251: Notfallplan | Koordination mit zugehörigen Plänen | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Capacity Planning
ID: NIST SP 800-53 Rev. 5 CP-2 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1252: Notfallplan | Kapazitätsplanung | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Wiederaufnehmen wesentlicher Organisationsziele/Geschäftsfunktionen
ID: NIST SP 800-53 Rev. 5 CP-2 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1253: Notfallplan | Wiederaufnehmen wesentlicher Organisationsziele/Geschäftsfunktionen | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1254: Notfallplan | Wiederaufnehmen aller Organisationsziele/Geschäftsfunktionen | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Aufrechterhalten wesentlicher Organisationsziele/Geschäftsfunktionen
ID: NIST SP 800-53 Rev. 5 CP-2 (5) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1255: Notfallplan | Aufrechterhalten wesentlicher Organisationsziele/Geschäftsfunktionen | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Identifizieren kritischer Ressourcen
ID: NIST SP 800-53 Rev. 5 CP-2 (8) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1256: Notfallplan | Identifizieren kritischer Ressourcen | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Schulungen zu Notfallplänen
ID: NIST SP 800-53 Rev. 5 CP-3 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1257: Schulungen zu Notfallplänen | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1258: Schulungen zu Notfallplänen | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1259: Schulungen zu Notfallplänen | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Simulierte Ereignisse
ID: NIST SP 800-53 Rev. 5 CP-3 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1260: Schulungen zu Notfallplänen | Simulierte Ereignisse | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Notfallplantests
ID: NIST SP 800-53 Rev. 5 CP-4 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1261: Notfallplantests | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1262: Notfallplantests | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1263: Notfallplantests | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Koordination mit zugehörigen Plänen
ID: NIST SP 800-53 Rev. 5 CP-4 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1264: Notfallplantests | Koordination mit zugehörigen Plänen | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Alternativer Verarbeitungsstandort
ID: NIST SP 800-53 Rev. 5 CP-4 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1265: Notfallplantests | Alternativer Verarbeitungsstandort | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1266: Notfallplantests | Alternativer Verarbeitungsstandort | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Alternativer Speicherort
ID: NIST SP 800-53 Rev. 5 CP-6 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein | Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein | Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein | Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundanter Speicher muss für Speicherkonten aktiviert sein | Georedundanz zum Erstellen hoch verfügbarer Anwendungen verwenden | Audit, Disabled | 1.0.0 |
| Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein | Diese Richtlinie überwacht alle Azure SQL-Datenbank-Instanzen mit nicht aktivierter langfristiger georedundanter Sicherung. | AuditIfNotExists, Disabled | 2.0.0 |
| Von Microsoft verwaltete Steuerung 1267: alternativer Speicherstandort | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1268: alternativer Speicherstandort | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Trennung vom primären Standort
ID: NIST SP 800-53 Rev. 5 CP-6 (1) Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein | Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein | Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein | Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundanter Speicher muss für Speicherkonten aktiviert sein | Georedundanz zum Erstellen hoch verfügbarer Anwendungen verwenden | Audit, Disabled | 1.0.0 |
| Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein | Diese Richtlinie überwacht alle Azure SQL-Datenbank-Instanzen mit nicht aktivierter langfristiger georedundanter Sicherung. | AuditIfNotExists, Disabled | 2.0.0 |
| Von Microsoft verwaltete Steuerung 1269: alternativer Speicherstandort | Trennung vom primären Standort | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Wiederherstellungszeit und -punktziele
ID: NIST SP 800-53 Rev. 5 CP-6 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1270: alternativer Speicherstandort | Wiederherstellungszeit/Punktziele | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Zugriff
ID: NIST SP 800-53 Rev. 5 CP-6 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1271: alternativer Speicherstandort | Barrierefreiheit | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Alternativer Verarbeitungsstandort
ID: NIST SP 800-53 Rev. 5 CP-7 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist | Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1272: alternativer Verarbeitungsstandort | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1273: alternativer Verarbeitungsstandort | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1274: alternativer Verarbeitungsstandort | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Trennung vom primären Standort
ID: NIST SP 800-53 Rev. 5 CP-7 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1275: alternativer Verarbeitungsstandort | Trennung vom primären Standort | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Zugriff
ID: NIST SP 800-53 Rev. 5 CP-7 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1276: alternativer Verarbeitungsstandort | Barrierefreiheit | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Dienstpriorität
ID: NIST SP 800-53 Rev. 5 CP-7 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1277: alternativer Verarbeitungsstandort | Dienstpriorität | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Vorbereitung der Verwendung
ID: NIST SP 800-53 Rev. 5 CP-7 (4) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1278: alternativer Verarbeitungsstandort | Vorbereitung der Verwendung | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Telekommunikationsdienste
ID: NIST SP 800-53 Rev. 5 CP-8 Eigentum: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1279: Telekommunikationsdienste | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Priorität von Dienstbereitstellungen
ID: NIST SP 800-53 Rev. 5 CP-8 (1) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1280: Telekommunikationsdienste | Priorität von Dienstbereitstellungen | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1281: Telekommunikationsdienste | Priorität von Dienstbereitstellungen | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Single Points of Failure
ID: NIST SP 800-53 Rev. 5 CP-8 (2) Eigentum: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1282: Telekommunikationsdienste | Single Points of Failure | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Trennung von primären/alternativen Anbietern
ID: NIST SP 800-53 Rev. 5 CP-8 (3) Eigentum: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1283: Telekommunikationsdienste | Trennung von primären/alternativen Anbietern | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Anbieternotfallplan
ID: NIST SP 800-53 Rev. 5 CP-8 (4) Eigentum: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1284: Telekommunikationsdienste | Anbieternotfallplan | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1285: Telekommunikationsdienste | Anbieternotfallplan | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1286: Telekommunikationsdienste | Anbieternotfallplan | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Systemsicherung
ID: NIST SP 800-53 Rev. 5 CP-9 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Backup muss für Virtual Machines aktiviert sein. | Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein | Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein | Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein | Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, Disabled | 1.0.1 |
| Für Schlüsseltresore sollte der Löschschutz aktiviert sein. | Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist. | Audit, Deny, Disabled | 2.1.0 |
| Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein. | Wenn Sie einen Schlüsseltresor löschen und vorläufiges Löschen nicht aktiviert ist, werden alle Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, dauerhaft gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen. | Audit, Deny, Disabled | 3.0.0 |
| Von Microsoft verwaltete Steuerung 1287: Sicherung des Informationssystems | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1288: Sicherung des Informationssystems | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1289: Sicherung des Informationssystems | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1290: Sicherung des Informationssystems | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Zuverlässigkeits-/Integritätstests
ID: NIST SP 800-53 Rev. 5 CP-9 (1) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1291: Sicherung des Informationssystems | Zuverlässigkeits-/Integritätstest | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Wiederherstellungstests mithilfe von Stichproben
ID: NIST SP 800-53 Rev. 5 CP-9 (2) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1292: Sicherung des Informationssystems | Wiederherstellungstests mithilfe von Stichproben | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Separater Speicher für kritische Daten
ID: NIST SP 800-53 Rev. 5 CP-9 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1293: Sicherung des Informationssystems | Separater Speicher für kritische Daten | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Übertragung an den alternativen Speicherstandort
ID: NIST SP 800-53 Rev. 5 CP-9 (5) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1294: Sicherung des Informationssystems | Übertragung an den alternativen Speicherstandort | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Wiederherstellung und Wiederinbetriebnahme des Systems
ID: NIST SP 800-53 Rev. 5 CP-10 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1295: Wiederherstellung und Wiederinbetriebnahme des Informationssystems | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Transaktionswiederherstellung
ID: NIST SP 800-53 Rev. 5 CP-10 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1296: Wiederherstellung und Wiederinbetriebnahme des Informationssystems | Transaktionswiederherstellung | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Wiederherstellung innerhalb eines Zeitraums
ID: NIST SP 800-53 Rev. 5 CP-10 (4) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1297: Wiederherstellung und Wiederinbetriebnahme des Informationssystems | Wiederherstellung innerhalb eines Zeitraums | Microsoft implementiert diese Steuerung zur Notfallplanung | Überwachung | 1.0.0 |
Identifizierung und Authentifizierung
Richtlinie und Prozeduren
ID: NIST SP 800-53 Rev. 5 IA-1 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1298: Identifikation, Authentifizierung und Verfahren | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1299: Identifikation, Authentifizierung und Verfahren | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Identifikation und Authentifizierung (Organisationsbenutzer)
ID: NIST SP 800-53 Rev. 5 IA-2 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Von Microsoft verwaltete Steuerung 1300: Identifikation und Authentifizierung von Benutzern | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden | Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. | Audit, Deny, Disabled | 1.1.0 |
Mehrstufige Authentifizierung für privilegierte Konten
ID: NIST SP 800-53 Rev. 5 IA-2 (1) Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Konten mit Besitzerberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Konten mit Schreibberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1301: Identifizierung und Authentifizierung von Benutzern | Netzwerkzugriff auf privilegierte Konten | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1303: Identifizierung und Authentifizierung von Benutzern | Lokaler Zugriff auf privilegierte Konten | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Mehrstufige Authentifizierung für nicht privilegierte Konten
ID: NIST SP 800-53 Rev. 5 IA-2 (2) Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Konten mit Leseberechtigungen für Azure-Ressourcen sollten MFA-fähig sein | MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. | AuditIfNotExists, Disabled | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1302: Identifizierung und Authentifizierung von Benutzern | Netzwerkzugriff auf nicht privilegierte Konten | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1304: Identifizierung und Authentifizierung von Benutzern | Lokaler Zugriff auf nicht privilegierte Konten | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Individuelle Authentifizierung mit Gruppenauthentifizierung
ID: NIST SP 800-53 Rev. 5 IA-2 (5) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1305: Identifizierung und Authentifizierung von Benutzern | Gruppenauthentifizierung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Zugriff auf Konten Replay-Widerstand
ID: NIST SP 800-53 Rev. 5 IA-2 (8) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1306: Identifizierung und Authentifizierung von Benutzern | Netzwerkzugriff auf privilegierte Konten – Replay... | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1307: Identifizierung und Authentifizierung von Benutzern | Netzwerkzugriff auf nicht privilegierte Konten Replay... | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Akzeptieren von PIV-Anmeldeinformationen
ID: NIST SP 800-53 Rev. 5 IA-2 (12) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1309: Identifizierung und Authentifizierung von Benutzern | Akzeptieren von PIV-Anmeldeinformationen | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Identifikation und Authentifizierung von Geräten
ID: NIST SP 800-53 Rev. 5 IA-3 Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1310: Identifikation und Authentifizierung von Geräten | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Bezeichnerverwaltung
ID: NIST SP 800-53 Rev. 5 IA-4 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden | Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Bei Azure KI Services-Ressourcen sollte der Schlüsselzugriff deaktiviert sein (lokale Authentifizierung deaktivieren). | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio wird in der Regel in der Entwicklung und für Tests verwendet, erfordert Schlüsselzugriff und funktioniert nicht, wenn dieser deaktiviert ist. Nach dem Deaktivieren ist Microsoft Entra ID die einzige Zugriffsmethode, die das Aufrechterhalten des Minimalberechtigungsprinzips und der präzisen Steuerung ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Von Microsoft verwaltete Steuerung 1311: Bezeichnerverwaltung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1312: Bezeichnerverwaltung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1313: Bezeichnerverwaltung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1314: Bezeichnerverwaltung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1315: Bezeichnerverwaltung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden | Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. | Audit, Deny, Disabled | 1.1.0 |
Identifizieren des Benutzerstatus
ID: NIST SP 800-53 Rev. 5 IA-4 (4) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1316: Bezeichnerverwaltung | Identifizieren des Benutzerstatus | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Authentifikatorverwaltung
ID: NIST SP 800-53 Rev. 5 IA-5 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
| Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. | AuditIfNotExists, Disabled | 1.4.0 |
| Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. | AuditIfNotExists, Disabled | 1.0.0 |
| Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Von Microsoft verwaltete Steuerung 1317: Authentifikatorverwaltung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1318: Authentifikatorverwaltung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1319: Authentifikatorverwaltung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1320: Authentifikatorverwaltung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1321: Authentifikatorverwaltung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1322: Authentifikatorverwaltung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1323: Authentifikatorverwaltung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1324: Authentifikatorverwaltung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1325: Authentifikatorverwaltung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1326: Authentifikatorverwaltung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Kennwortbasierte Authentifizierung
ID: NIST SP 800-53 Rev. 5 IA-5 (1) Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
| Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren | Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | modify | 1.3.0 |
| Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. | AuditIfNotExists, Disabled | 1.4.0 |
| Windows-Computer überwachen, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, die die Wiederverwendung der Kennwörter nach der angegebenen Anzahl eindeutiger Kennwörter zulassen. Der Standardwert für eindeutige Kennwörter ist 24. | AuditIfNotExists, Disabled | 1.1.0 |
| Windows-Computer überwachen, für die nicht das maximale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das maximale Kennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das maximale Kennwortalter beträgt 70 Tage. | AuditIfNotExists, Disabled | 1.1.0 |
| Windows-Computer überwachen, für die nicht das minimale Kennwortalter auf die angegebene Anzahl von Tagen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn Windows-Computer, auf denen das Mindestkennwortalter nicht auf die angegebene Anzahl von Tagen festgelegt ist. Der Standardwert für das Mindestalter des Kennworts beträgt 1 Tag. | AuditIfNotExists, Disabled | 1.1.0 |
| Windows-Computer überwachen, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist. | AuditIfNotExists, Disabled | 1.0.0 |
| Windows-Computer überwachen, bei denen keine Mindestkennwortlänge auf eine bestimmte Anzahl von Zeichen festgelegt ist | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, für die keine Mindestkennwortlänge festgelegt ist. Der Standardwert für die Mindestkennwortlänge beträgt 14 Zeichen | AuditIfNotExists, Disabled | 1.1.0 |
| Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. | AuditIfNotExists, Disabled | 1.0.0 |
| Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren | Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Von Microsoft verwaltete Steuerung 1327: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1328: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1329: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1330: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1331: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1332: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1338: Authentifikatorverwaltung | Automatisierte Unterstützung zum Bestimmen der Kennwortsicherheit | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Authentifizierung basierend auf dem öffentlichen Schlüssel
ID: NIST SP 800-53 Rev. 5 IA-5 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1333: Authentifikatorverwaltung | PKI-basierte Authentifizierung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1334: Authentifikatorverwaltung | PKI-basierte Authentifizierung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1335: Authentifikatorverwaltung | PKI-basierte Authentifizierung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1336: Authentifikatorverwaltung | PKI-basierte Authentifizierung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Schutz von Authentifikatoren
ID: NIST SP 800-53 Rev. 5 IA-5 (6) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1339: Authentifikatorverwaltung | Schutz von Authentifikatoren | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Keine Einbettung unverschlüsselter statischer Authentifikatoren
ID: NIST SP 800-53 Rev. 5 IA-5 (7) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1340: Authentifikatorverwaltung | Keine Einbettung unverschlüsselter statischer Authentifikatoren | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Konten auf mehreren Systemen
ID: NIST SP 800-53 Rev. 5 IA-5 (8) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1341: Authentifikatorverwaltung | Konten auf mehreren Informationssystemen | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Ablauf zwischengespeicherter Authentifikatoren
ID: NIST SP 800-53 Rev. 5 IA-5 (13) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1343: Authentifikatorverwaltung | Ablauf zwischengespeicherter Authentifikatoren | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Authentifizierungsfeedback
ID: NIST SP 800-53 Rev. 5 IA-6 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1344: Authentifikatorrückmeldung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Kryptografiemodulauthentifizierung
ID: NIST SP 800-53 Rev. 5 IA-7 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1345: Kryptografiemodulauthentifizierung | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Identifikation und Authentifizierung (Nicht-Organisationsbenutzer)
ID: NIST SP 800-53 Rev. 5 IA-8 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1346: Identifikation und Authentifizierung (Nicht-Organisationsbenutzer) | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Akzeptieren von PIV-Anmeldeinformationen von anderen Behörden
ID: NIST SP 800-53 Rev. 5 IA-8 (1) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1347: Identifizierung und Authentifizierung (Nicht-Organisationsbenutzer) | Akzeptieren von PIV-Anmeldeinformationen... | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Akzeptanz externer Authentifikaktoren
ID: NIST SP 800-53 Rev. 5 IA-8 (2) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1348: Identifizierung und Authentifizierung (Nicht-Organisationsbenutzer) | Akzeptanz von Drittparteien... | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1349: Identifizierung und Authentifizierung (Nicht-Organisationsbenutzer) | Nutzung von durch FICAM genehmigter Produkte | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Verwendung von definierten Profilen
ID: NIST SP 800-53 Rev. 5 IA-8 (4) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1350: Identifizierung und Authentifizierung (Nicht-Organisationsbenutzer) | Nutzung von durch FICAM ausgegebener Profile | Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung | Überwachung | 1.0.0 |
Reaktion auf Vorfälle
Richtlinie und Prozeduren
ID: NIST SP 800-53 Rev. 5 IR-1 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1351: Reaktion auf Vorfälle – Richtlinien und Verfahren | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1352: Reaktion auf Vorfälle – Richtlinien und Verfahren | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Schulung zur Reaktion auf Vorfälle
ID: NIST SP 800-53 Rev. 5 IR-2 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1353: Schulung zur Reaktion auf Vorfälle | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1354: Schulung zur Reaktion auf Vorfälle | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1355: Schulung zur Reaktion auf Vorfälle | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Simulierte Ereignisse
ID: NIST SP 800-53 Rev. 5 IR-2 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1356: Schulung zur Reaktion auf Vorfälle | Simulierte Ereignisse | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Automatisierte Schulungsumgebungen
ID: NIST SP 800-53 Rev. 5 IR-2 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1357: Schulung zur Reaktion auf Vorfälle | Automatisierte Schulungsumgebungen | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Tests zur Reaktion auf Vorfälle
ID: NIST SP 800-53 Rev. 5 IR-3 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1358: Tests zur Reaktion auf Vorfälle | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Koordination mit zugehörigen Plänen
ID: NIST SP 800-53 Rev. 5 IR-3 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1359: Tests zur Reaktion auf Vorfälle | Koordination mit zugehörigen Plänen | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Behandlung von Vorfällen
ID: NIST SP 800-53 Rev. 5 IR-4 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
| E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein | Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage (klassisch) muss aktiviert sein | Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. | AuditIfNotExists, Disabled | 1.0.4 |
| Von Microsoft verwaltete Steuerung 1360: Behandlung von Vorfällen | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1361: Behandlung von Vorfällen | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1362: Behandlung von Vorfällen | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
Automatisierte Prozesse zur Behandlung von Vorfällen
ID: NIST SP 800-53 Rev. 5 IR-4 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1363: Behandlung von Vorfällen | Automatisierte Prozesse zur Behandlung von Vorfällen | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Dynamische Neukonfiguration
ID: NIST SP 800-53 Rev. 5 IR-4 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1364: Behandlung von Vorfällen | Dynamische Neukonfiguration | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Fortsetzung von Vorgängen
ID: NIST SP 800-53 Rev. 5 IR-4 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1365: Behandlung von Vorfällen | Fortsetzung von Vorgängen | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Korrelation von Informationen
ID: NIST SP 800-53 Rev. 5 IR-4 (4) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1366: Behandlung von Vorfällen | Korrelation von Informationen | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Bedrohungen von innen
ID: NIST SP 800-53 Rev. 5 IR-4 (6) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1367: Behandlung von Vorfällen | Insiderbedrohungen – spezielle Methoden | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Korrelation mit externen Organisationen
ID: NIST SP 800-53 Rev. 5 IR-4 (8) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1368: Behandlung von Vorfällen | Korrelation mit externen Organisationen | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Überwachen von Vorfällen
ID: NIST SP 800-53 Rev. 5 IR-5 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
| E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein | Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage (klassisch) muss aktiviert sein | Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. | AuditIfNotExists, Disabled | 1.0.4 |
| Von Microsoft verwaltete Steuerung 1369: Überwachen von Vorfällen | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
Automatisierte Nachverfolgung, Datensammlung und Analyse
ID: NIST SP 800-53 Rev. 5 IR-5 (1) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1370: Überwachung von Vorfällen | Automatisierte Nachverfolgung, Datensammlung und Analyse | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Melden von Vorfällen
ID: NIST SP 800-53 Rev. 5 IR-6 Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1371: Melden von Vorfällen | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1372: Melden von Vorfällen | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Automatisierte Meldung
ID: NIST SP 800-53 Rev. 5 IR-6 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1373: Melden von Vorfällen | Automatisierte Meldung | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Sicherheitsrisiken in Verbindung mit Vorfällen
ID: NIST SP 800-53 Rev. 5 IR-6 (2) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
| E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein | Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 2.0.0 |
| In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
Unterstützung bei der Reaktion auf Vorfälle
ID: NIST SP 800-53 Rev. 5 IR-7 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1374: Unterstützung bei der Reaktion auf Vorfälle | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Automatisierung des Supports zur Sicherstellung der Verfügbarkeit von Informationen und Support
ID: NIST SP 800-53 Rev. 5 IR-7 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1375: Unterstützung bei der Reaktion auf Vorfälle | Automatisierung des Supports zur Sicherstellung der Verfügbarkeit von Informationen und Support | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Koordination mit externen Anbietern
ID: NIST SP 800-53 Rev. 5 IR-7 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1376: Unterstützung bei der Reaktion auf Vorfälle | Koordination mit externen Anbietern | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1377: Unterstützung bei der Reaktion auf Vorfälle | Koordination mit externen Anbietern | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Plan zur Reaktion auf Vorfälle
ID: NIST SP 800-53 Rev. 5 IR-8 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1378: Plan zur Reaktion auf Vorfälle | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1379: Plan zur Reaktion auf Vorfälle | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1380: Plan zur Reaktion auf Vorfälle | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1381: Plan zur Reaktion auf Vorfälle | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1382: Plan zur Reaktion auf Vorfälle | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1383: Plan zur Reaktion auf Vorfälle | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Reaktion auf Informationslecks
ID: NIST SP 800-53 Rev. 5 IR-9 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1384: Reaktion auf Informationslecks | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1385: Reaktion auf Informationslecks | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1386: Reaktion auf Informationslecks | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1387: Reaktion auf Informationslecks | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1388: Reaktion auf Informationslecks | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1389: Reaktion auf Informationslecks | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1390: Reaktion auf Informationslecks | Zuständiges Personal | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Training
ID: NIST SP 800-53 Rev. 5 IR-9 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1391: Reaktion auf Informationslecks | Schulung | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Vorgänge nach einem Leck
ID: NIST SP 800-53 Rev. 5 IR-9 (3) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1392: Reaktion auf Informationslecks | Vorgänge nach einem Leck | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Offenlegung gegenüber unbefugtem Personal
ID: NIST SP 800-53 Rev. 5 IR-9 (4) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1393: Reaktion auf Informationslecks | Offenlegung gegenüber unbefugtem Personal | Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle | Überwachung | 1.0.0 |
Wartung
Richtlinie und Prozeduren
ID: NIST SP 800-53 Rev. 5 MA-1 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1394: Systemwartung – Richtlinien und Verfahren | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1395: Systemwartung – Richtlinien und Verfahren | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
Kontrollierte Wartung
ID: NIST SP 800-53 Rev. 5 MA-2 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1396: kontrollierte Wartung | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1397: kontrollierte Wartung | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1398: kontrollierte Wartung | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1399: kontrollierte Wartung | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1400: kontrollierte Wartung | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1401: kontrollierte Wartung | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
Automatisierte Wartungsaktivitäten
ID: NIST SP 800-53 Rev. 5 MA-2 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1402: kontrollierte Wartung | Automatisierte Wartungsaktivitäten | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1403: kontrollierte Wartung | Automatisierte Wartungsaktivitäten | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
Wartungswerkzeuge
ID: NIST SP 800-53 Rev. 5 MA-3 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1404: Wartungswerkzeuge | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
Überprüfen der Werkzeuge
ID: NIST SP 800-53 Rev. 5 MA-3 (1) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1405: Wartungstools | Überprüfen der Tools | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
Überprüfen von Medien
ID: NIST SP 800-53 Rev. 5 MA-3 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1406: Wartungstools | Überprüfen von Medien | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
Vermeidung einer unbefugten Entfernung
ID: NIST SP 800-53 Rev. 5 MA-3 (3) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1407: Wartungstools | Vermeidung einer unbefugten Entfernung | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1408: Wartungstools | Vermeidung einer unbefugten Entfernung | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1409: Wartungstools | Vermeidung einer unbefugten Entfernung | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1410: Wartungstools | Vermeidung einer unbefugten Entfernung | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
Nichtlokale Wartung
ID: NIST SP 800-53 Rev. 5 MA-4 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1411: Wartung per Remote-Zugriff | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1412: Remote-Wartung | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1413: Remote-Wartung | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1414: Remote-Wartung | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1415: Remote-Wartung | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
Vergleichbares Sicherheits- und Bereinigungssystem
ID: NIST SP 800-53 Rev. 5 MA-4 (3) Ownership: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1417: Remote-Wartung | Vergleichbares Sicherheits- bzw. Bereinigungssystem | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1418: Remote-Wartung | Vergleichbares Sicherheits- bzw. Bereinigungssystem | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
Kryptografischer Schutz
ID: NIST SP 800-53 Rev. 5 MA-4 (6) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1419: Remote-Wartung | Kryptografischer Schutz | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
Wartungsmitarbeiter
ID: NIST SP 800-53 Rev. 5 MA-5 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1420: Wartungsmitarbeiter | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1421: Wartungsmitarbeiter | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1422: Wartungsmitarbeiter | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
Mitarbeiter ohne entsprechende Zugangsberechtigungen
ID: NIST SP 800-53 Rev. 5 MA-5 (1) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1423: Wartungsmitarbeiter | Mitarbeiter ohne entsprechende Zugangsberechtigungen | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1424: Wartungsmitarbeiter | Mitarbeiter ohne entsprechende Zugangsberechtigungen | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
Rechtzeitige Wartung
ID: NIST SP 800-53 Rev. 5 MA-6 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1425: rechtzeitige Wartung | Microsoft implementiert diese Wartungssteuerung | Überwachung | 1.0.0 |
Medienschutz
Richtlinie und Prozeduren
ID: NIST SP 800-53 Rev. 5 MP-1 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1426: Richtlinien und Verfahren zum Medienschutz | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1427: Richtlinien und Verfahren zum Medienschutz | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
Medienzugriff
ID: NIST SP 800-53 Rev. 5 MP-2 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1428: Medienzugriff | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
Medienkennzeichnung
ID: NIST SP 800-53 Rev. 5 MP-3 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1429: Bezeichnen von Medien | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1430: Bezeichnen von Medien | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
Medienspeicher
ID: NIST SP 800-53 Rev. 5 MP-4 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1431: Medienspeicher | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1432: Medienspeicher | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
Medientransport
ID: NIST SP 800-53 Rev. 5 MP-5 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1433: Medientransport | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1434: Medientransport | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1435: Medientransport | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1436: Medientransport | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
Medienbereinigung
ID: NIST SP 800-53 Rev. 5 MP-6 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1438: Medienbereinigung und -entsorgung | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1439: Medienbereinigung und -entsorgung | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
Überprüfen/Genehmigen/Nachverfolgen/Dokumentieren/Verifizieren
ID: NIST SP 800-53 Rev. 5 MP-6 (1) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1440: Medienbereinigung und -entsorgung | Überprüfen/Genehmigen/Nachverfolgen/Dokumentieren/Verifizieren | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
Testen von Arbeitsgeräten
ID: NIST SP 800-53 Rev. 5 MP-6 (2) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1441: Medienbereinigung und -entsorgung | Testen von Arbeitsgeräten | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
Nicht zerstörerische Techniken
ID: NIST SP 800-53 Rev. 5 MP-6 (3) Eigentum: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1442: Medienbereinigung und -entsorgung | Nicht zerstörerische Techniken | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
Verwenden von Medien
ID: NIST SP 800-53 Rev. 5 MP-7 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1443: Verwenden von Medien | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1444: Verwenden von Medien | Verhindern der Verwendung ohne Besitzer | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
Physischer Schutz und Schutz der Umgebung
Richtlinie und Prozeduren
ID: NIST SP 800-53 Rev. 5 PE-1 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1445: Richtlinien und Verfahren für physischen Schutz und Schutz der Umgebung | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1446: Richtlinien und Verfahren für physischen Schutz und Schutz der Umgebung | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Autorisierungen für physischen Zugriff
ID: NIST SP 800-53 Rev. 5 PE-2 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1447: Autorisierungen für physischen Zugriff | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1448: Autorisierungen für physischen Zugriff | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1449: Autorisierungen für physischen Zugriff | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1450: Autorisierungen für physischen Zugriff | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Steuerung des physischen Zugriffs
ID: NIST SP 800-53 Rev. 5 PE-3 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1451: Steuerung des physischen Zugriffs | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1452: Steuerung des physischen Zugriffs | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1453: Steuerung des physischen Zugriffs | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1454: Steuerung des physischen Zugriffs | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1455: Steuerung des physischen Zugriffs | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1456: Steuerung des physischen Zugriffs | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1457: Steuerung des physischen Zugriffs | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Systemzugriff
ID: NIST SP 800-53 Rev. 5 PE-3 (1) Eigentum: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1458: Steuerung des physischen Zugriffs | Zugriff auf das Informationssystem | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Zugriffssteuerung für die Übertragung
ID: NIST SP 800-53 Rev. 5 PE-4 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1459: Zugriffssteuerung für das Übertragungsmedium | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Steuerung des Zugriffs auf Ausgabegeräte
ID: NIST SP 800-53 Rev. 5 PE-5 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1460: Zugriffssteuerung für Ausgabegeräte | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Überwachen des physischen Zugriffs
ID: NIST SP 800-53 Rev. 5 PE-6 Eigentum: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1461: Überwachen des physischen Zugriffs | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1462: Überwachen des physischen Zugriffs | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1463: Überwachen des physischen Zugriffs | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Eindringalarme/Überwachungsgeräte
ID: NIST SP 800-53 Rev. 5 PE-6 (1) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1464: Überwachen des physischen Zugriffs | Eindringalarme/Überwachungsgeräte | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Überwachen des physischen Zugriffs auf Systeme
ID: NIST SP 800-53 Rev. 5 PE-6 (4) Eigentum: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1465: Überwachen des physischen Zugriffs | Überwachen des physischen Zugriffs auf Informationssysteme | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Datensätze von Besucherzugriffen
ID: NIST SP 800-53 Rev. 5 PE-8 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1466: Datensätze von Besucherzugriffen | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1467: Datensätze von Besucherzugriffen | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Automatische Verwaltung/Überprüfung von Datensätzen
ID: NIST SP 800-53 Rev. 5 PE-8 (1) Eigentum: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1468: Datensätze von Besucherzugriffen | Automatische Verwaltung/Überprüfung von Datensätzen | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Stromversorgungsgeräte und -verkabelung
ID: NIST SP 800-53 Rev. 5 PE-9 Eigentum: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1469: Stromversorgungsgeräte und -verkabelung | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Notabschaltung
ID: NIST SP 800-53 Rev. 5 PE-10 Eigentum: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1470: Notabschaltung | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1471: Notabschaltung | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1472: Notabschaltung | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Notstromversorgung
ID: NIST SP 800-53 Rev. 5 PE-11 Eigentum: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1473: Notstromversorgung | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Alternative Stromversorgung Minimale Betriebsfähigkeit
ID: NIST SP 800-53 Rev. 5 PE-11 (1) Eigentum: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1474: Notstromversorgung | Langfristige alternative Stromversorgung – minimale Betriebsfähigkeit | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Notbeleuchtung
ID: NIST SP 800-53 Rev. 5 PE-12 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1475: Notbeleuchtung | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Brandschutz
ID: NIST SP 800-53 Rev. 5 PE-13 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1476: Brandschutz | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Erkennungssysteme Automatische Aktivierung und Benachrichtigung
ID: NIST SP 800-53 Rev. 5 PE-13 (1) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1477: Brandschutz | Erkennungsgeräte/-systeme | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Unterdrückungssysteme Automatische Aktivierung und Benachrichtigung
ID: NIST SP 800-53 Rev. 5 PE-13 (2) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1478: Brandschutz | Bekämpfungsgeräte/-systeme | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1479: Brandschutz | Automatische Brandbekämpfung | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Umgebungskontrollen
ID: NIST SP 800-53 Rev. 5 PE-14 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1480: Temperatur- und Luftfeuchtigkeitssteuerung | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1481: Temperatur- und Luftfeuchtigkeitssteuerung | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Überwachung mit Alarmen/Benachrichtigungen
ID: NIST SP 800-53 Rev. 5 PE-14 (2) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1482: Temperatur- und Luftfeuchtigkeitssteuerung | Überwachung mit Alarmen/Benachrichtigungen | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Wasserschadenschutz
ID: NIST SP 800-53 Rev. 5 PE-15 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1483: Wasserschadenschutz | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Automatisierungsunterstützung
ID: NIST SP 800-53 Rev. 5 PE-15 (1) Eigentum: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1484: Wasserschadenschutz | Automatisierungsunterstützung | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Lieferung und Entfernung
ID: NIST SP 800-53 Rev. 5 PE-16 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1485: Lieferung und Entfernung | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Alternativer Arbeitsort
ID: NIST SP 800-53 Rev. 5 PE-17 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1486: alternativer Arbeitsort | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1487: alternativer Arbeitsort | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1488: alternativer Arbeitsort | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Position der Systemkomponenten
ID: NIST SP 800-53 Rev. 5 PE-18 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1489: Position der Informationssystemkomponenten | Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung | Überwachung | 1.0.0 |
Planung
Richtlinie und Prozeduren
ID: NIST SP 800-53 Rev. 5 PL-1 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1490: Sicherheitsplanungsrichtlinien und -verfahren | Microsoft implementiert diese Steuerung zur Planung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1491: Sicherheitsplanungsrichtlinien und -verfahren | Microsoft implementiert diese Steuerung zur Planung | Überwachung | 1.0.0 |
Systemsicherheits- und Datenschutzpläne
ID: NIST SP 800-53 Rev. 5 PL-2 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1492: Systemsicherheitsplan | Microsoft implementiert diese Steuerung zur Planung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1493: Systemsicherheitsplan | Microsoft implementiert diese Steuerung zur Planung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1494: Systemsicherheitsplan | Microsoft implementiert diese Steuerung zur Planung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1495: Systemsicherheitsplan | Microsoft implementiert diese Steuerung zur Planung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1496: Systemsicherheitsplan | Microsoft implementiert diese Steuerung zur Planung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1497: Systemsicherheitsplan | Planen/Koordinieren mit anderen Organisationsentitäten | Microsoft implementiert diese Steuerung zur Planung | Überwachung | 1.0.0 |
Verhaltensregeln
ID: NIST SP 800-53 Rev. 5 PL-4 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1498: Verhaltensregeln | Microsoft implementiert diese Steuerung zur Planung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1499: Verhaltensregeln | Microsoft implementiert diese Steuerung zur Planung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1500: Verhaltensregeln | Microsoft implementiert diese Steuerung zur Planung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1501: Verhaltensregeln | Microsoft implementiert diese Steuerung zur Planung | Überwachung | 1.0.0 |
Einschränkungen für die Nutzung von Sozialen Medien und externen Websites und Anwendungen
ID: NIST SP 800-53 Rev. 5 PL-4 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1502: Verhaltensregeln | Einschränkungen für soziale Medien und Networking | Microsoft implementiert diese Steuerung zur Planung | Überwachung | 1.0.0 |
Sicherheits- und Datenschutzarchitekturen
ID: NIST SP 800-53 Rev. 5 PL-8 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1503: Informationssicherheitsarchitektur | Microsoft implementiert diese Steuerung zur Planung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1504: Informationssicherheitsarchitektur | Microsoft implementiert diese Steuerung zur Planung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1505: Informationssicherheitsarchitektur | Microsoft implementiert diese Steuerung zur Planung | Überwachung | 1.0.0 |
Personalsicherheit
Richtlinie und Prozeduren
ID: NIST SP 800-53 Rev. 5 PS-1 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1506: Personalsicherheitsrichtlinien und Verfahren | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1507: Personalsicherheitsrichtlinien und Verfahren | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
Risikobezeichnung für Position
ID: NIST SP 800-53 Rev. 5 PS-2 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1508: Positionskategorisierung | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1509: Positionskategorisierung | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1510: Positionskategorisierung | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
Personalscreening
ID: NIST SP 800-53 Rev. 5 PS-3 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1511: Personalscreening | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1512: Personalscreening | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
Informationen, die besondere Schutzmaßnahmen erfordern
ID: NIST SP 800-53 Rev. 5 PS-3 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1513: Personalscreening | Informationen mit besonderen Schutzmaßnahmen | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1514: Personalscreening | Informationen mit besonderen Schutzmaßnahmen | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
Beendigung des Mitarbeiterverhältnisses
ID: NIST SP 800-53 Rev. 5 PS-4 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1515: Beendigung des Mitarbeiterverhältnisses | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1516: Beendigung des Mitarbeiterverhältnisses | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1517: Beendigung des Mitarbeiterverhältnisses | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1518: Beendigung des Mitarbeiterverhältnisses | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1519: Beendigung des Mitarbeiterverhältnisses | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1520: Beendigung des Mitarbeiterverhältnisses | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
Automatisierte Aktionen
ID: NIST SP 800-53 Rev. 5 PS-4 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1521: Beendigung des Mitarbeiterverhältnisses | Automatisierte Benachrichtigung | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
Personalübertragung
ID: NIST SP 800-53 Rev. 5 PS-5 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1522: Personalübertragung | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1523: Personalübertragung | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1524: Personalübertragung | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1525: Personalübertragung | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
Zugriffsvereinbarungen
ID: NIST SP 800-53 Rev. 5 PS-6 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1526: Zugriffsvereinbarungen | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1527: Zugriffsvereinbarungen | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1528: Zugriffsvereinbarungen | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
Sicherheit externer Mitarbeiter
ID: NIST SP 800-53 Rev. 5 PS-7 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1529: Personalsicherheit von Dritten | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1530: Personalsicherheit von Dritten | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1531: Personalsicherheit von Dritten | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1532: Personalsicherheit von Dritten | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1533: Personalsicherheit von Dritten | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
Personalsanktionen
ID: NIST SP 800-53 Rev. 5 PS-8 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1534: Personalsanktionen | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1535: Personalsanktionen | Microsoft implementiert diese Steuerung zur Personalsicherheit | Überwachung | 1.0.0 |
Risikobewertung
Richtlinie und Prozeduren
ID: NIST SP 800-53 Rev. 5 RA-1 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1536: Richtlinien und Verfahren zur Risikobewertung | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1537: Richtlinien und Verfahren zur Risikobewertung | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
Sicherheitskategorisierung
ID: NIST SP 800-53 Rev. 5 RA-2 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1538: Sicherheitskategorisierung | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1539: Sicherheitskategorisierung | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1540: Sicherheitskategorisierung | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
Risikobewertung
ID: NIST SP 800-53 Rev. 5 RA-3 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1541: Risikobewertung | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1542: Risikobewertung | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1543: Risikobewertung | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1544: Risikobewertung | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1545: Risikobewertung | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
Überprüfung auf Sicherheitsrisiken
ID: NIST SP 800-53 Rev. 5 RA-5 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage (klassisch) muss aktiviert sein | Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. | AuditIfNotExists, Disabled | 1.0.4 |
| Von Microsoft verwaltete Steuerung 1546: Überprüfung auf Sicherheitsrisiken | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1547: Überprüfung auf Sicherheitsrisiken | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1548: Überprüfung auf Sicherheitsrisiken | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1549: Überprüfung auf Sicherheitsrisiken | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1550: Überprüfung auf Sicherheitsrisiken | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1551: Überprüfung auf Sicherheitsrisiken | Update von Toolfunktionen | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
| Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. | AuditIfNotExists, Disabled | 4.1.0 |
| Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden | Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und zeigt Abweichungen von Best Practices wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte vertrauliche Daten an. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. | AuditIfNotExists, Disabled | 1.0.0 |
| Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden | Hiermit werden Sicherheitsrisiken in der Sicherheitskonfiguration von Computern überwacht, auf denen Docker installiert ist, und es werden Empfehlungen in Azure Security Center angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
| Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.1.0 |
| Sicherheitsrisiken in der Sicherheitskonfiguration von VM-Skalierungsgruppen sollten beseitigt werden | Hiermit überwachen Sie die Betriebssystem-Sicherheitsrisiken für Ihre VM-Skalierungsgruppen, um sie vor Angriffen zu schützen. | AuditIfNotExists, Disabled | 3.0.0 |
| Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 1.0.1 |
| Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | Hiermit werden Azure SQL Server-Instanzen überwacht, für die die Sicherheitsrisikobewertung nicht ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Disabled | 3.0.0 |
| Für Ihre Synapse-Arbeitsbereiche muss eine Sicherheitsrisikobewertung aktiviert sein | Ermitteln, verfolgen und beheben Sie potenzielle Sicherheitsrisiken, indem Sie regelmäßige Überprüfungen zur SQL-Sicherheitsrisikobewertung für Ihre Synapse-Arbeitsbereiche konfigurieren. | AuditIfNotExists, Disabled | 1.0.0 |
Aktualisieren von zu überprüfenden Sicherheitsrisiken
ID: NIST SP 800-53 Rev. 5 RA-5 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1552: Überprüfung auf Sicherheitsrisiken | Aktualisieren nach Häufigkeit, vor neuer Überprüfung, bei Identifikation | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
Umfang/Abdeckungstiefe
ID: NIST SP 800-53 Rev. 5 RA-5 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1553: Überprüfung auf Sicherheitsrisiken | Umfang/Abdeckungstiefe | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
Erkennbare Informationen
ID: NIST SP 800-53 Rev. 5 RA-5 (4) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1554: Überprüfung auf Sicherheitsrisiken | Erkennbare Informationen | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
Privilegierter Zugriff
ID: NIST SP 800-53 Rev. 5 RA-5 (5) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1555: Überprüfung auf Sicherheitsrisiken | Privilegierter Zugriff | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
Automatisierte Trendanalysen
ID: NIST SP 800-53 Rev. 5 RA-5 (6) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1556: Überprüfung auf Sicherheitsrisiken | Automatisierte Trendanalysen | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
Auswerten der historischen Überwachungsprotokolle
ID: NIST SP 800-53 Rev. 5 RA-5 (8) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1557: Überprüfung auf Sicherheitsrisiken | Auswerten der historischen Überwachungsprotokolle | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
Korrelieren von Überprüfungsinformationen
ID: NIST SP 800-53 Rev. 5 RA-5 (10) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1558: Überprüfung auf Sicherheitsrisiken | Korrelieren von Überprüfungsinformationen | Microsoft implementiert diese Steuerung zur Risikobewertung | Überwachung | 1.0.0 |
System- und Diensterwerb
Richtlinie und Prozeduren
ID: NIST SP 800-53 Rev. 5 SA-1 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1559: Richtlinien und Verfahren beim System- und Diensterwerb | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1560: Richtlinien und Verfahren beim System- und Diensterwerb | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Zuordnung von Ressourcen
ID: NIST SP 800-53 Rev. 5 SA-2 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1561: Zuordnung von Ressourcen | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1562: Zuordnung von Ressourcen | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1563: Zuordnung von Ressourcen | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Lebenszyklus der Systementwicklung
ID: NIST SP 800-53 Rev. 5 SA-3 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1564: Lebenszyklus der Systementwicklung | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1565: Lebenszyklus der Systementwicklung | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1566: Lebenszyklus der Systementwicklung | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1567: Lebenszyklus der Systementwicklung | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Erwerbsverfahren
ID: NIST SP 800-53 Rev. 5 SA-4 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1568: Erwerbsverfahren | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1569: Erwerbsverfahren | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1570: Erwerbsverfahren | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1571: Erwerbsverfahren | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1572: Erwerbsverfahren | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1573: Erwerbsverfahren | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1574: Erwerbsverfahren | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Funktionale Eigenschaften von Kontrollen
ID: NIST SP 800-53 Rev. 5 SA-4 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1575: Erwerbsverfahren | Funktionale Eigenschaften von Sicherheitskontrollen | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Design-/Implementierungsinformationen für Kontrollen
ID: NIST SP 800-53 Rev. 5 SA-4 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1576: Erwerbsverfahren | Design-/Implementierungsinformationen für Sicherheitskontrollen | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Kontinuierlicher Überwachungsplan für Kontrollen
ID: NIST SP 800-53 Rev. 5 SA-4 (8) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1577: Erwerbsverfahren | Plan zur kontinuierlichen Überwachung | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Verwendete Funktionen/Ports/Protokolle/Dienste
ID: NIST SP 800-53 Rev. 5 SA-4 (9) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1578: Erwerbsverfahren | verwendete Funktionen/Ports/Protokolle/Dienste | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Verwenden genehmigter PIV-Produkte
ID: NIST SP 800-53 Rev. 5 SA-4 (10) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1579: Erwerbsverfahren | Verwenden genehmigter PIV-Produkte | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Systemdokumentation
ID: NIST SP 800-53 Rev. 5 SA-5 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1580: Dokumentation des Informationssystems | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1581: Dokumentation des Informationssystems | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1582: Dokumentation des Informationssystems | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1583: Dokumentation des Informationssystems | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1584: Dokumentation des Informationssystems | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Prinzipien der Sicherheits- und Datenschutzentwicklung
ID: NIST SP 800-53 Rev. 5 SA-8 Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1585: Prinzipien der Sicherheitsentwicklung | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Externe Systemdienste
ID: NIST SP 800-53 Rev. 5 SA-9 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1586: externe Informationssystemdienste | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1587: externe Informationssystemdienste | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1588: externe Informationssystemdienste | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Risikobewertungen und Organisationsgenehmigungen
ID: NIST SP 800-53 Rev. 5 SA-9 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1589: externe Informationssystemdienste | Risikobewertungen/Organisationsgenehmigungen | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1590: externe Informationssystemdienste | Risikobewertungen/Organisationsgenehmigungen | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Identifikation von Funktionen/Ports/Protokollen/Diensten
ID: NIST SP 800-53 Rev. 5 SA-9 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1591: externe Informationssystemdienste | Identifikation von Funktionen/Ports/Protokollen... | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Einheitliche Interessen von Consumern und Anbietern
ID: NIST SP 800-53 Rev. 5 SA-9 (4) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1592: externe Informationssystemdienste | Einheitliche Interessen von Consumern und Anbietern | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Verarbeitungs-, Speicher- und Dienststandort
ID: NIST SP 800-53 Rev. 5 SA-9 (5) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1593: externe Informationssystemdienste | Verarbeitungs-, Speicher- und Dienststandort | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Konfigurationsverwaltung durch Entwickler
ID: NIST SP 800-53 Rev. 5 SA-10 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1594: Konfigurationsverwaltung durch Entwickler | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1595: Konfigurationsverwaltung durch Entwickler | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1596: Konfigurationsverwaltung durch Entwickler | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1597: Konfigurationsverwaltung durch Entwickler | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1598: Konfigurationsverwaltung durch Entwickler | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Integritätsprüfung für Software und Firmware
ID: NIST SP 800-53 Rev. 5 SA-10 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1599: Konfigurationsverwaltung durch Entwickler | Integritätsprüfung für Software/Firmware | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Testen und Auswerten durch Entwickler
ID: NIST SP 800-53 Rev. 5 SA-11 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1600: Sicherheitstests und -bewertungen durch Entwickler | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1601: Sicherheitstests und -bewertungen durch Entwickler | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1602: Sicherheitstests und -bewertungen durch Entwickler | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1603: Sicherheitstests und -bewertungen durch Entwickler | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1604: Sicherheitstests und -bewertungen durch Entwickler | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Statische Codeanalyse
ID: NIST SP 800-53 Rev. 5 SA-11 (1) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1605: Sicherheitstests und -bewertungen durch Entwickler | Analyse von statischem Code | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Analyse von Bedrohungen und Sicherheitsrisiken
ID: NIST SP 800-53 Rev. 5 SA-11 (2) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1606: Sicherheitstests und -bewertungen durch Entwickler | Analyse von Bedrohungen und Sicherheitsrisiken | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Analyse von dynamischem Code
ID: NIST SP 800-53 Rev. 5 SA-11 (8) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1607: Sicherheitstests und -bewertungen durch Entwickler | Analyse von dynamischem Code | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Verfahren, Standards und Tools der Entwicklung
ID: NIST SP 800-53 Rev. 5 SA-15 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1609: Verfahren, Standards und Tools für die Entwicklung | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1610: Verfahren, Standards und Tools für die Entwicklung | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Von Entwicklern angebotene Schulungen
ID: NIST SP 800-53 Rev. 5 SA-16 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1611: von Entwicklern angebotene Schulungen | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
Sicherheits- und Datenschutzarchitektur und Design von Entwicklern
ID: NIST SP 800-53 Rev. 5 SA-17 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1612: Sicherheitsarchitektur und Design von Entwicklern | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1613: Sicherheitsarchitektur und Design von Entwicklern | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1614: Sicherheitsarchitektur und Design von Entwicklern | Microsoft implementiert diese Steuerung zum System- und Diensterwerb | Überwachung | 1.0.0 |
System- und Kommunikationsschutz
Richtlinie und Prozeduren
ID: NIST SP 800-53 Rev. 5 SC-1 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1615: System- und Kommunikationsschutz – Richtlinien und Verfahren | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1616: System- und Kommunikationsschutz – Richtlinien und Verfahren | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Trennung von System- und Benutzerfunktionalität
ID: NIST SP 800-53 Rev. 5 SC-2 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1617: Anwendungspartitionierung | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Isolation von Sicherheitsfunktionen
ID: NIST SP 800-53 Rev. 5 SC-3 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Die Endpoint Protection-Lösung sollte für VM-Skalierungsgruppen installiert sein | Hiermit überprüfen Sie die Existenz und die Integrität einer Endpoint Protection-Lösung in Ihren VM-Skalierungsgruppen, um sie vor Bedrohungen und Sicherheitsrisiken zu schützen. | AuditIfNotExists, Disabled | 3.0.0 |
| Von Microsoft verwaltete Steuerung 1618: Isolation von Sicherheitsfunktionen | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen | Hiermit werden Server ohne installierten Endpoint Protection-Agent über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.1.0 |
| Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Informationen in gemeinsam genutzten Systemressourcen
ID: NIST SP 800-53 Rev. 5 SC-4 Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1619: Informationen in gemeinsam genutzten Ressourcen | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Schutz vor Denial-of-Service-Angriffen
ID: NIST SP 800-53 Rev. 5 SC-5 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure DDoS Protection sollte aktiviert sein. | DDoS Protection sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Anwendungsgateways mit einer öffentlichen IP-Adresse ist. | AuditIfNotExists, Disabled | 3.0.1 |
| Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 1.0.2 |
| Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Disabled | 3.0.0 |
| Von Microsoft verwaltete Steuerung 1620: Schutz vor Denial-of-Service-Angriffen | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 2.0.0 |
Ressourcenverfügbarkeit
ID: NIST SP 800-53 Rev. 5 SC-6 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1621: Ressourcenverfügbarkeit | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Schutz von Grenzen
ID: NIST SP 800-53 Rev. 5 SC-7 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
| API Management-Dienste müssen ein virtuelles Netzwerk verwenden | Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. | Audit, Deny, Disabled | 1.0.2 |
| App Configuration sollte Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. | Audit, Disabled | 2.0.0 |
| Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken | Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. | Audit, Deny, Disabled | 3.2.0 |
| Azure Cache for Redis muss private Verbindung verwenden | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden | Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienste müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Cognitive Search-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienste müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. | Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. | Audit, Deny, Disabled | 2.0.0 |
| Azure Data Factory muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Event Grid-Domänen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure Event Grid-Themen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden | Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault sollte eine aktive Firewall haben | Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 1.4.1 |
| Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Azure Service Bus-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 1.0.2 |
| Cognitive Services-Konten müssen den Zugriff über öffentliche Netzwerke deaktivieren | Stellen Sie zum Verbessern der Sicherheit von Cognitive Services-Konten sicher, dass diese nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich sind. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter https://go.microsoft.com/fwlink/?linkid=2129800 beschrieben. Darüber hinaus werden alle Anmeldungen abgelehnt, die Firewallregeln auf Basis von IP-Adressen oder virtuellen Netzwerken entsprechen. Dadurch wird das Risiko von Datenlecks verringert. | Audit, Deny, Disabled | 3.0.1 |
| Cognitive Services muss eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen | Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Containerregistrierungen sollten eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| CosmosDB-Konten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Datenträgerzugriffsressourcen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Disabled | 3.0.0 |
| Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
| Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Disabled | 3.0.0 |
| Von Microsoft verwaltete Steuerung 1622: Schutz von Grenzen | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1623: Schutz von Grenzen | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1624: Schutz von Grenzen | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. | Audit, Disabled | 1.1.0 |
| Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. | Audit, Deny, Disabled | 1.1.0 |
| Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
| Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken | Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. | Audit, Deny, Disabled | 1.0.1 |
| Speicherkonten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden | Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. | AuditIfNotExists, Disabled | 3.0.0 |
| Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 2.0.0 |
Zugriffspunkte
ID: NIST SP 800-53 Rev. 5 SC-7 (3) Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Disabled | 3.0.0 |
| API Management-Dienste müssen ein virtuelles Netzwerk verwenden | Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. | Audit, Deny, Disabled | 1.0.2 |
| App Configuration sollte Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. | Audit, Disabled | 2.0.0 |
| Azure KI Services-Ressourcen sollten den Netzwerkzugriff einschränken | Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Sie erreichen dies, wenn Sie die Netzwerkregeln so konfigurieren, dass nur Anwendungen aus zulässigen Netzwerken auf Azure KI Services zugreifen können. | Audit, Deny, Disabled | 3.2.0 |
| Azure Cache for Redis muss private Verbindung verwenden | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden | Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienste müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Cognitive Search-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Azure Cognitive Search-Dienste müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. | Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. | Audit, Deny, Disabled | 2.0.0 |
| Azure Data Factory muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Event Grid-Domänen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Azure Event Grid-Themen sollten Private Link verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden | Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault sollte eine aktive Firewall haben | Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 1.4.1 |
| Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Azure Service Bus-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service muss Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Azure Synapse-Arbeitsbereiche müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 1.0.2 |
| Cognitive Services-Konten müssen den Zugriff über öffentliche Netzwerke deaktivieren | Stellen Sie zum Verbessern der Sicherheit von Cognitive Services-Konten sicher, dass diese nicht über das öffentliche Internet, sondern nur über einen privaten Endpunkt zugänglich sind. Deaktivieren Sie die Eigenschaft für den Zugriff über öffentliche Netzwerke wie unter https://go.microsoft.com/fwlink/?linkid=2129800 beschrieben. Darüber hinaus werden alle Anmeldungen abgelehnt, die Firewallregeln auf Basis von IP-Adressen oder virtuellen Netzwerken entsprechen. Dadurch wird das Risiko von Datenlecks verringert. | Audit, Deny, Disabled | 3.0.1 |
| Cognitive Services muss eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen | Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Containerregistrierungen sollten eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| CosmosDB-Konten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Datenträgerzugriffsressourcen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub-Namespaces müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Disabled | 3.0.0 |
| Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
| Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Disabled | 3.0.0 |
| Von Microsoft verwaltete Steuerung 1625: Schutz von Grenzen | Zugriffspunkte | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. | Audit, Disabled | 1.1.0 |
| Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein | Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. | Audit, Deny, Disabled | 1.1.0 |
| Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. | Audit, Deny, Disabled | 1.1.1 |
| Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken | Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. | Audit, Deny, Disabled | 1.0.1 |
| Speicherkonten müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden | Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. | AuditIfNotExists, Disabled | 3.0.0 |
| Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Audit, Deny, Disabled | 2.0.0 |
Externe Telekommunikationsdienste
ID: NIST SP 800-53 Rev. 5 SC-7 (4) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1626: Schutz von Grenzen | Externe Telekommunikationsdienste | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1627: Schutz von Grenzen | Externe Telekommunikationsdienste | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1628: Schutz von Grenzen | Externe Telekommunikationsdienste | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1629: Schutz von Grenzen | Externe Telekommunikationsdienste | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1630: Schutz von Grenzen | Externe Telekommunikationsdienste | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Standardmäßig ablehnen Ausnahmsweise zulassen
ID: NIST SP 800-53 Rev. 5 SC-7 (5) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1155: Systemverbindungen | Einschränkungen für Verbindungen mit externen Systemen | Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1631: Schutz von Grenzen | Richtlinie zur standardmäßigen Verweigerung von Programmen mit ausnahmebasierter Zulassung | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Getrenntes Tunneln für Remotegeräte
ID: NIST SP 800-53 Rev. 5 SC-7 (7) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1632: Schutz von Grenzen | Unterbinden von getrenntem Tunneln für Remotegeräte | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Weiterleiten von Datenverkehr an authentifizierte Proxyserver
ID: NIST SP 800-53 Rev. 5 SC-7 (8) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1633: Schutz von Grenzen | Weiterleiten von Datenverkehr an authentifizierte Proxyserver | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Vermeidung von Exfiltration
ID: NIST SP 800-53 Rev. 5 SC-7 (10) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1634: Schutz von Grenzen | Vermeidung von nicht autorisierter Exfiltration | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Hostbasierter Schutz
ID: NIST SP 800-53 Rev. 5 SC-7 (12) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1635: Schutz von Grenzen | Hostbasierter Schutz | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Isolation von Sicherheitstools, -mechanismen und unterstützenden Komponenten
ID: NIST SP 800-53 Rev. 5 SC-7 (13) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1636: Schutz von Grenzen | Isolation von Sicherheitstools, -mechanismen und unterstützenden Komponenten | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Ausfallschutz
ID: NIST SP 800-53 Rev. 5 SC-7 (18) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1637: Schutz von Grenzen | Ausfallschutz | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Dynamische Isolation und Trennung
ID: NIST SP 800-53 Rev. 5 SC-7 (20) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1638: Schutz von Grenzen | Dynamische Isolation und Trennung | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Isolation von Systemkomponenten
ID: NIST SP 800-53 Rev. 5 SC-7 (21) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1639: Schutz von Grenzen | Isolation von Komponenten des Informationssystems | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Vertraulichkeit und Integrität von übertragenen Informationen
ID: NIST SP 800-53 Rev. 5 SC-8 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 4.0.0 |
| App Service-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
| App Service-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.0.1 |
| Azure HDInsight-Cluster müssen Verschlüsselung während der Übertragung für die Verschlüsselung der Kommunikation zwischen Azure HDInsight-Clusterknoten verwenden | Daten können während der Übertragung zwischen Azure HDInsight-Clusterknoten manipuliert werden. Zur Vermeidung von Missbrauch und Manipulation können die Daten durch Aktivieren der Verschlüsselung während der Übertragung verschlüsselt werden. | Audit, Deny, Disabled | 1.0.0 |
| Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein | Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
| Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein | Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
| Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 5.0.0 |
| Funktions-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
| Funktions-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.0.1 |
| Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.1.0 |
| Von Microsoft verwaltete Steuerung 1640: Vertraulichkeit und Integrität von übertragenen Informationen | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. | Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 1.0.0 |
| Sichere Übertragung in Speicherkonten sollte aktiviert werden | Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 2.0.0 |
| Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 3.0.1 |
Kryptografischer Schutz
ID: NIST SP 800-53 Rev. 5 SC-8 (1) Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 4.0.0 |
| App Service-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
| App Service-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.0.1 |
| Azure HDInsight-Cluster müssen Verschlüsselung während der Übertragung für die Verschlüsselung der Kommunikation zwischen Azure HDInsight-Clusterknoten verwenden | Daten können während der Übertragung zwischen Azure HDInsight-Clusterknoten manipuliert werden. Zur Vermeidung von Missbrauch und Manipulation können die Daten durch Aktivieren der Verschlüsselung während der Übertragung verschlüsselt werden. | Audit, Deny, Disabled | 1.0.0 |
| Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein | Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
| Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein | Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, Disabled | 1.0.1 |
| Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 5.0.0 |
| Funktions-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
| Funktions-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.0.1 |
| Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.1.0 |
| Von Microsoft verwaltete Steuerung 1641: Vertraulichkeit und Integrität von übertragenen Informationen | Kryptografischer oder alternativer physischer Schutz | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Für Ihren Azure Cache for Redis dürfen nur sichere Verbindungen aktiviert sein. | Aktivieren der Überprüfung nur für Verbindungen über SSL mit Azure Cache for Redis Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 1.0.0 |
| Sichere Übertragung in Speicherkonten sollte aktiviert werden | Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Audit, Deny, Disabled | 2.0.0 |
| Windows-Computer müssen zur Verwendung sicherer Kommunikationsprotokolle konfiguriert sein | Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Disabled | 3.0.1 |
Netzwerktrennung
ID: NIST SP 800-53 Rev. 5 SC-10 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1642: Netzwerktrennung | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Einrichtung und Verwaltung von Kryptografieschlüsseln
ID: NIST SP 800-53 Rev. 5 SC-12 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Azure Recovery Services Tresore sollten vom Kunden verwaltete Schlüssel für die Verschlüsselung von Sicherungsdaten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung im Ruhezustand für Ihre Sicherungsdaten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0-preview |
| [Vorschau]: Daten des IoT Hub-Gerätebereitstellungsdiensts müssen mithilfe von kundenseitig verwalteten Schlüsseln (CMKs) verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihren IoT Hub-Gerätebereitstellungsdienst zu verwalten. Ruhende Daten werden automatisch mit dienstseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMKs) benötigt. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter https://aka.ms/dps/CMK. | Audit, Deny, Disabled | 1.0.0-preview |
| Azure Automation-Konten müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Automation-Konten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/automation-cmk. | Audit, Deny, Disabled | 1.0.0 |
| Azure Batch-Konto muss kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden. | Verwenden Sie kundenseitig verwaltete Schlüssel, um für die Daten Ihres Batch-Kontos die Verschlüsselung ruhender Daten zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/Batch-CMK. | Audit, Deny, Disabled | 1.0.1 |
| Azure Container Instances-Containergruppe muss einen kundenseitig verwalteten Schlüssel für die Verschlüsselung verwenden | Schützen Sie Ihre Container mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Audit, Disabled, Deny | 1.0.0 |
| Azure Cosmos DB-Konten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure Cosmos DB-Instanzen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/cosmosdb-cmk. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Azure Data Box-Aufträge müssen einen kundenseitig verwalteten Schlüssel zum Verschlüsseln des Kennworts für die Geräteentsperrung verwenden | Verwenden Sie einen kundenseitig verwalteten Schlüssel, um die Verschlüsselung des Kennworts für die Geräteentsperrung für Azure Data Box zu steuern. Kundenseitig verwaltete Schlüssel bieten zudem Unterstützung beim Verwalten des Zugriffs auf das Kennwort zur Geräteentsperrung durch den Data Box Dienst, um das Gerät vorzubereiten und Daten automatisiert zu kopieren. Die Daten auf dem Gerät selbst sind bereits im Ruhezustand mit einer AES-256-Verschlüsselung (Advanced Encryption Standard) verschlüsselt, und das Kennwort zur Geräteentsperrung wird standardmäßig mit einem von Microsoft verwalteten Schlüssel verschlüsselt. | Audit, Deny, Disabled | 1.0.0 |
| Azure Data Explorer-Verschlüsselung ruhender Daten muss einen kundenseitig verwalteten Schlüssel verwenden | Das Aktivieren der Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel in Ihrem Azure Data Explorer-Cluster bietet zusätzliche Kontrolle über den Schlüssel, der von der Verschlüsselung ruhender Schlüssel verwendet wird. Dieses Feature ist häufig für Kunden mit speziellen Complianceanforderungen relevant und erfordert eine Key Vault-Instanz zur Verwaltung der Schlüssel. | Audit, Deny, Disabled | 1.0.0 |
| Azure Data Factorys müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihre Azure Data Factory-Instanz zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/adf-cmk. | Audit, Deny, Disabled | 1.0.1 |
| Azure HDInsight-Cluster müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer Azure HDInsight-Cluster zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/hdi.cmk. | Audit, Deny, Disabled | 1.0.1 |
| Azure HDInsight-Cluster müssen Verschlüsselung auf dem Host zur Verschlüsselung ruhender Daten verwenden | Durch das Aktivieren der Verschlüsselung auf dem Host können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn Sie die Verschlüsselung auf dem Host aktivieren, werden die auf dem VM-Host gespeicherten Daten ruhend verschlüsselt und verschlüsselt an den Speicherdienst übermittelt. | Audit, Deny, Disabled | 1.0.0 |
| Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. | Verwalten Sie die Verschlüsselung ruhender Daten für Daten im Azure Machine Learning-Arbeitsbereich mit kundenseitig verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
| Azure Monitor-Protokollcluster müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Erstellen Sie Azure Monitor-Protokollcluster mit Verschlüsselung durch kundenseitig verwaltete Schlüssel. Standardmäßig werden die Protokolldaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind aber häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit dem kundenseitig verwalteten Schlüssel in Azure Monitor haben Sie eine bessere Kontrolle über den Zugriff auf Ihre Daten. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Azure Stream Analytics-Aufträge sollten kundenseitig verwaltete Schlüssel zur Datenverschlüsselung verwenden | Verwenden Sie vom Kunden verwaltete Schlüssel, wenn Sie alle Metadaten und privaten Datenbestände Ihrer Stream Analytics-Aufträge sicher in Ihrem Speicherkonto speichern möchten. Dadurch haben Sie die vollständige Kontrolle darüber, wie Ihre Stream Analytics-Daten verschlüsselt werden. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Azure Synapse-Arbeitsbereiche müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten zu steuern, die in Azure Synapse-Arbeitsbereichen gespeichert sind. Kundenseitig verwaltete Schlüssel bieten eine Mehrfachverschlüsselung, indem zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine zweite Verschlüsselungsebene hinzugefügt wird. | Audit, Deny, Disabled | 1.0.0 |
| Bot Service muss mit einem kundenseitig verwalteten Schlüssel (CMK) verschlüsselt werden | Azure Bot Service verschlüsselt Ihre Ressource automatisch, um Ihre Daten zu schützen sowie die Sicherheits- und Complianceanforderungen der Organisation zu erfüllen. Standardmäßig werden von Microsoft verwaltete Verschlüsselungsschlüssel verwendet. Wählen Sie kundenseitig verwaltete Schlüssel (auch als Bring Your Own Key (BYOK) bezeichnet) aus, um mehr Flexibilität bei der Verwaltung von Schlüsseln oder der Steuerung des Zugriffs auf Ihr Abonnement zu haben. Weitere Informationen zur Azure Bot Service-Verschlüsselung finden Sie hier: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Datenträger für Betriebssysteme und Daten in Azure Kubernetes Service-Clustern müssen mithilfe von kundenseitig verwalteten Schlüsseln verschlüsselt werden | Das Verschlüsseln von Datenträgern für Betriebssystem und Daten mithilfe von kundenseitig verwalteten Schlüsseln bietet mehr Kontrolle und größere Flexibilität bei der Schlüsselverwaltung. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. | Audit, Deny, Disabled | 1.0.1 |
| Cognitive Services-Konten müssen eine Datenverschlüsselung mit einem kundenseitig verwalteten Schlüssel aktivieren | Kundenseitig verwaltete Schlüssel sind häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die in Cognitive Services gespeicherten Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zu kundenseitig verwalteten Schlüsseln finden Sie unter https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.1.0 |
| Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für den Inhalt Ihrer Registrierungen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
| Für Event Hub-Namespaces muss ein kundenseitig verwalteter Schlüssel zur Verschlüsselung verwendet werden | Azure Event Hubs unterstützt die Option zum Verschlüsseln ruhender Daten mit von Microsoft verwalteten Schlüsseln (Standardeinstellung) oder kundenseitig verwalteten Schlüsseln. Wenn Sie Daten mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln, können Sie den Zugriff auf die Schlüssel zuweisen, rotieren, deaktivieren und widerrufen, die von Event Hub zum Verschlüsseln von Daten in Ihrem Namespace verwendet werden. Beachten Sie, dass Event Hub nur Verschlüsselung mit kundenseitig verwalteten Schlüsseln für Namespaces in dedizierten Clustern unterstützt. | Audit, Disabled | 1.0.0 |
| Logic Apps-Integrationsdienstumgebung muss mit kundenseitig verwalteten Schlüsseln verschlüsselt werden | Führen Sie eine Bereitstellung in einer Integrationsdienstumgebung durch, um die Verschlüsselung ruhender Logic Apps-Daten mithilfe kundenseitig verwalteter Schlüssel zu verwalten. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | Audit, Deny, Disabled | 1.0.0 |
| Verwaltete Datenträger müssen sowohl mit plattformseitig als auch mit kundenseitig verwalteten Schlüsseln verschlüsselt werden | Kunden mit besonders hohen Sicherheitsanforderungen, die befürchten, dass ein einzelner Verschlüsselungsalgorithmus, eine einzelne Verschlüsselungsimplementierung oder ein einzelner Verschlüsselungsschlüssel kompromittiert werden könnte, haben nun die Möglichkeit, eine zusätzliche Verschlüsselungsebene mit einem anderen Verschlüsselungsalgorithmus/-modus auf der Infrastrukturebene zu nutzen (unter Verwendung von plattformseitig verwalteten Schlüsseln). Für die Verwendung der Mehrfachverschlüsselung sind Datenträgerverschlüsselungssätze erforderlich. Weitere Informationen finden Sie unter https://aka.ms/disks-doubleEncryption. | Audit, Deny, Disabled | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1643: Einrichtung und Verwaltung von Kryptografieschlüsseln | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Datenträger für Betriebssystem und Daten müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für die Inhalte Ihrer verwalteten Datenträger zu verwalten. Standardmäßig werden ruhende Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel benötigt. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 3.0.0 |
| Gespeicherte Abfragen in Azure Monitor müssen zur Protokollverschlüsselung im Kundenspeicherkonto gespeichert werden | Verknüpfen Sie das Speicherkonto mit einem Log Analytics-Arbeitsbereich, um gespeicherte Abfragen durch eine Verschlüsselung des Speicherkontos zu schützen. Kundenseitig verwaltete Schlüssel sind häufig erforderlich, um gesetzliche Bestimmungen einzuhalten und eine bessere Kontrolle des Zugriffs auf Ihre gespeicherten Abfragen in Azure Monitor zu erhalten. Ausführlichere Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Für Service Bus Premium-Namespaces muss ein kundenseitig verwaltete Schlüssel zur Verschlüsselung verwendet werden | Azure Service Bus unterstützt die Option zum Verschlüsseln ruhender Daten mit von Microsoft verwalteten Schlüsseln (Standardeinstellung) oder kundenseitig verwalteten Schlüsseln. Wenn Sie Daten mithilfe von kundenseitig verwalteten Schlüsseln verschlüsseln, können Sie den Zugriff auf die Schlüssel zuweisen, rotieren, deaktivieren und widerrufen, die von Service Bus zum Verschlüsseln von Daten in Ihrem Namespace verwendet werden. Beachten Sie, dass Service Bus nur Verschlüsselung mit kundenseitig verwalteten Schlüsseln für Premium-Namespaces unterstützt. | Audit, Disabled | 1.0.0 |
| Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. | Audit, Deny, Disabled | 2.0.0 |
| SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. | Audit, Deny, Disabled | 2.0.1 |
| Verschlüsselungsbereiche für Speicherkonten sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel zur Verwaltung ruhender Verschlüsselungen Ihrer Verschlüsselungsbereiche für Speicherkonten. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen zu Verschlüsselungsbereichen für Speicherkonten finden Sie unter https://aka.ms/encryption-scopes-overview. | Audit, Deny, Disabled | 1.0.0 |
| Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden | Schützen Sie Ihr Blob und Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Audit, Disabled | 1.0.3 |
Verfügbarkeit
ID: NIST SP 800-53 Rev. 5 SC-12 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1644: Einrichtung und Verwaltung von Kryptografieschlüsseln | Verfügbarkeit | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Symmetrische Schlüssel
ID: NIST SP 800-53 Rev. 5 SC-12 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1645: Einrichtung und Verwaltung von Kryptografieschlüsseln | Symmetrische Schlüssel | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Asymmetrische Schlüssel
ID: NIST SP 800-53 Rev. 5 SC-12 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1646: Einrichtung und Verwaltung von Kryptografieschlüsseln | Asymmetrische Schlüssel | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Kryptografischer Schutz
ID: NIST SP 800-53 Rev. 5 SC-13 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1647: Verwendung von Kryptografie | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Gemeinsame Computergeräte und Anwendungen
ID: NIST SP 800-53 Rev. 5 SC-15 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1648: gemeinsame Computergeräte | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1649: gemeinsame Computergeräte | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Public Key-Infrastrukturzertifikate
ID: NIST SP 800-53 Rev. 5 SC-17 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1650: Public Key-Infrastrukturzertifikate | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Mobiler Code
ID: NIST SP 800-53 Rev. 5 SC-18 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1651: mobiler Code | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1652: mobiler Code | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1653: mobiler Code | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Sicherer Namens- und Adressauflösungsdienst (autoritative Quelle)
ID: NIST SP 800-53 Rev. 5 SC-20 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1656: sicherer Namens- und Adressauflösungsdienst (autoritative Quelle) | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1657: sicherer Namens- und Adressauflösungsdienst (autoritative Quelle) | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Sicherer Namens- und Adressauflösungsdienst (rekursiver Konfliktlöser oder Cachekonfliktlöser)
ID: NIST SP 800-53 Rev. 5 SC-21 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1658: sicherer Namens- und Adressauflösungsdienst (rekursiver oder Cachekonfliktlöser) | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Architektur und Bereitstellung für den Namens- und Adressauflösungsdienst
ID: NIST SP 800-53 Rev. 5 SC-22 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1659: Architektur und Bereitstellung für den Namens- und Adressauflösungsdienst | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Echtheit von Sitzungen
ID: NIST SP 800-53 Rev. 5 SC-23 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1660: Echtheit von Sitzungen | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Invalidierung von Sitzungs-IDs bei der Abmeldung
ID: NIST SP 800-53 Rev. 5 SC-23 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1661: Echtheit von Sitzungen | Invalidierung von Sitzungs-IDs bei der Abmeldung | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Ausfall in bekanntem Zustand
ID: NIST SP 800-53 Rev. 5 SC-24 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1662: Ausfall in bekanntem Zustand | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
Schutz von ruhenden Informationen
ID: NIST SP 800-53 Rev. 5 SC-28 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| In der App Service-Umgebung sollte die interne Verschlüsselung aktiviert sein | Wenn Sie „InternalEncryption“ auf TRUE festlegen, werden die Auslagerungsdatei, die Workerdatenträger und der interne Netzwerkverkehr zwischen den Front-Ends und den Workern in einer App Service-Umgebung verschlüsselt. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Automation-Kontovariablen sollten verschlüsselt werden | Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. | Audit, Deny, Disabled | 1.1.0 |
| Azure Data Box-Aufträge müssen die Mehrfachverschlüsselung für ruhende Daten auf dem Gerät aktivieren | Aktivieren Sie eine zweite Ebene der softwarebasierten Verschlüsselung für ruhende Daten auf dem Gerät. Das Gerät ist bereits über eine AES-256-Verschlüsselung (Advanced Encryption Standard) für ruhende Daten geschützt. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt. | Audit, Deny, Disabled | 1.0.0 |
| Azure Monitor-Protokollcluster müssen mit aktivierter Infrastrukturverschlüsselung erstellt werden (Mehrfachverschlüsselung) | Verwenden Sie einen dedizierten Azure Monitor-Cluster, um sicherzustellen, dass die sichere Datenverschlüsselung auf der Dienst- und Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei unterschiedlichen Schlüsseln aktiviert ist. Diese Option ist standardmäßig aktiviert, sofern sie in der jeweiligen Region unterstützt wird. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Azure Stack Edge-Geräte sollten doppelte Verschlüsselung verwenden. | Stellen Sie zum Schutz der ruhenden Daten auf dem Gerät Folgendes sicher: Die Daten sind doppelt verschlüsselt, der Zugriff auf Daten wird gesteuert, und nach der Deaktivierung des Geräts werden die Daten auf sichere Weise von den Datenträgern gelöscht. Bei der Mehrfachverschlüsselung werden zwei Verschlüsselungsebenen verwendet: Verschlüsselung vom Typ „BitLocker XTS-AES 256-Bit“ auf den Datenvolumes und integrierte Verschlüsselung der Festplatten. Weitere Informationen finden Sie in der Dokumentation zur Sicherheitsübersicht für das jeweilige Stack Edge-Gerät. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Datenträgerverschlüsselung muss in Azure Data Explorer aktiviert sein | Durch das Aktivieren der Datenträgerverschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. | Audit, Deny, Disabled | 2.0.0 |
| Doppelte Verschlüsselung muss für Azure Data Explorer aktiviert sein | Durch das Aktivieren der doppelten Verschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn die doppelte Verschlüsselung aktiviert ist, werden Daten im Speicherkonto zweimal – einmal auf Dienstebene und einmal auf Infrastrukturebene – mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. | Audit, Deny, Disabled | 2.0.0 |
| Von Microsoft verwaltete Steuerung 1663: Schutz von ruhenden Informationen | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen | Service Fabric bietet drei Schutzebenen („None“, „Sign“ und „EncryptAndSign“) für die Kommunikation zwischen zwei Knoten unter Verwendung eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden. | Audit, Deny, Disabled | 1.1.0 |
| Speicherkonten sollten eine Infrastrukturverschlüsselung aufweisen | Aktivieren Sie die Infrastrukturverschlüsselung, um die Sicherheit der Daten zu erhöhen. Bei aktivierter Infrastrukturverschlüsselung werden die Daten in einem Speicherkonto doppelt verschlüsselt. | Audit, Deny, Disabled | 1.0.0 |
| Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. | Um die Datensicherheit zu erhöhen, sollten die auf dem VM-Host Ihrer Azure Kubernetes Service-Knoten-VMs gespeicherten Daten im Ruhezustand verschlüsselt werden. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. | Audit, Deny, Disabled | 1.0.1 |
| Transparent Data Encryption für SQL-Datenbanken aktivieren | TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. | AuditIfNotExists, Disabled | 2.0.0 |
| Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein | Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
| Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln | Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger, Datencaches und zwischen Compute- und Speicherressourcen übertragene Daten werden nicht verschlüsselt. In folgenden Fällen sollten Sie diese Empfehlung ignorieren: 1. Verwenden der Verschlüsselung auf dem Host, oder 2. Die serverseitige Verschlüsselung in Managed Disks erfüllt Ihre Sicherheitsanforderungen. Weitere Informationen erhalten Sie unter „Serverseitige Verschlüsselung von Azure Disk Storage“ (https://aka.ms/disksse,) und „Übersicht über Verschlüsselungsoptionen für andere Datenträger“ (https://aka.ms/diskencryptioncomparison). | AuditIfNotExists, Disabled | 2.0.3 |
Kryptografischer Schutz
ID: NIST SP 800-53 Rev. 5 SC-28 (1) Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| In der App Service-Umgebung sollte die interne Verschlüsselung aktiviert sein | Wenn Sie „InternalEncryption“ auf TRUE festlegen, werden die Auslagerungsdatei, die Workerdatenträger und der interne Netzwerkverkehr zwischen den Front-Ends und den Workern in einer App Service-Umgebung verschlüsselt. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Automation-Kontovariablen sollten verschlüsselt werden | Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. | Audit, Deny, Disabled | 1.1.0 |
| Azure Data Box-Aufträge müssen die Mehrfachverschlüsselung für ruhende Daten auf dem Gerät aktivieren | Aktivieren Sie eine zweite Ebene der softwarebasierten Verschlüsselung für ruhende Daten auf dem Gerät. Das Gerät ist bereits über eine AES-256-Verschlüsselung (Advanced Encryption Standard) für ruhende Daten geschützt. Mit dieser Option wird eine zweite Ebene der Datenverschlüsselung hinzugefügt. | Audit, Deny, Disabled | 1.0.0 |
| Azure Monitor-Protokollcluster müssen mit aktivierter Infrastrukturverschlüsselung erstellt werden (Mehrfachverschlüsselung) | Verwenden Sie einen dedizierten Azure Monitor-Cluster, um sicherzustellen, dass die sichere Datenverschlüsselung auf der Dienst- und Infrastrukturebene mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei unterschiedlichen Schlüsseln aktiviert ist. Diese Option ist standardmäßig aktiviert, sofern sie in der jeweiligen Region unterstützt wird. Informationen hierzu finden Sie unter https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Azure Stack Edge-Geräte sollten doppelte Verschlüsselung verwenden. | Stellen Sie zum Schutz der ruhenden Daten auf dem Gerät Folgendes sicher: Die Daten sind doppelt verschlüsselt, der Zugriff auf Daten wird gesteuert, und nach der Deaktivierung des Geräts werden die Daten auf sichere Weise von den Datenträgern gelöscht. Bei der Mehrfachverschlüsselung werden zwei Verschlüsselungsebenen verwendet: Verschlüsselung vom Typ „BitLocker XTS-AES 256-Bit“ auf den Datenvolumes und integrierte Verschlüsselung der Festplatten. Weitere Informationen finden Sie in der Dokumentation zur Sicherheitsübersicht für das jeweilige Stack Edge-Gerät. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Datenträgerverschlüsselung muss in Azure Data Explorer aktiviert sein | Durch das Aktivieren der Datenträgerverschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. | Audit, Deny, Disabled | 2.0.0 |
| Doppelte Verschlüsselung muss für Azure Data Explorer aktiviert sein | Durch das Aktivieren der doppelten Verschlüsselung können Sie Ihre Daten schützen, um die Sicherheits- und Konformitätsverpflichtungen Ihrer Organisation zu erfüllen. Wenn die doppelte Verschlüsselung aktiviert ist, werden Daten im Speicherkonto zweimal – einmal auf Dienstebene und einmal auf Infrastrukturebene – mit zwei unterschiedlichen Verschlüsselungsalgorithmen und zwei verschiedenen Schlüsseln verschlüsselt. | Audit, Deny, Disabled | 2.0.0 |
| Von Microsoft verwaltete Steuerung 1437: Medientransport | Kryptografischer Schutz | Microsoft implementiert diese Steuerung zum Medienschutz | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1664: Schutz von ruhenden Informationen | Kryptografischer Schutz | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
| Service Fabric Cluster sollten die Eigenschaft ClusterProtectionLevel auf EncryptAndSign setzen | Service Fabric bietet drei Schutzebenen („None“, „Sign“ und „EncryptAndSign“) für die Kommunikation zwischen zwei Knoten unter Verwendung eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden. | Audit, Deny, Disabled | 1.1.0 |
| Speicherkonten sollten eine Infrastrukturverschlüsselung aufweisen | Aktivieren Sie die Infrastrukturverschlüsselung, um die Sicherheit der Daten zu erhöhen. Bei aktivierter Infrastrukturverschlüsselung werden die Daten in einem Speicherkonto doppelt verschlüsselt. | Audit, Deny, Disabled | 1.0.0 |
| Temporäre Datenträger und der Cache für Agent-Knotenpools in Azure Kubernetes Service-Clustern müssen auf dem Host verschlüsselt werden. | Um die Datensicherheit zu erhöhen, sollten die auf dem VM-Host Ihrer Azure Kubernetes Service-Knoten-VMs gespeicherten Daten im Ruhezustand verschlüsselt werden. Diese Verschlüsselung ist eine gängige Anforderung in vielen gesetzlichen und branchenspezifischen Konformitätsstandards. | Audit, Deny, Disabled | 1.0.1 |
| Transparent Data Encryption für SQL-Datenbanken aktivieren | TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. | AuditIfNotExists, Disabled | 2.0.0 |
| Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein | Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
| Virtuelle Computer sollten temporäre Datenträger, Caches und Datenflüsse zwischen Compute- und Speicherressourcen verschlüsseln | Standardmäßig werden die Datenträger für Betriebssystem und Daten für eine VM im Ruhezustand mithilfe plattformseitig verwalteter Schlüssel verschlüsselt. Temporäre Datenträger, Datencaches und zwischen Compute- und Speicherressourcen übertragene Daten werden nicht verschlüsselt. In folgenden Fällen sollten Sie diese Empfehlung ignorieren: 1. Verwenden der Verschlüsselung auf dem Host, oder 2. Die serverseitige Verschlüsselung in Managed Disks erfüllt Ihre Sicherheitsanforderungen. Weitere Informationen erhalten Sie unter „Serverseitige Verschlüsselung von Azure Disk Storage“ (https://aka.ms/disksse,) und „Übersicht über Verschlüsselungsoptionen für andere Datenträger“ (https://aka.ms/diskencryptioncomparison). | AuditIfNotExists, Disabled | 2.0.3 |
Prozessisolation
ID: NIST SP 800-53 Rev. 5 SC-39 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1665: Prozessisolation | Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz | Überwachung | 1.0.0 |
System- und Informationsintegrität
Richtlinie und Prozeduren
ID: NIST SP 800-53 Rev. 5 SI-1 Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1666: Integrität von Systemen und Informationen – Richtlinien und Verfahren | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1667: Integrität von Systemen und Informationen – Richtlinien und Verfahren | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Fehlerbehebung
ID: NIST SP 800-53 Rev. 5 SI-2 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| App Service-Apps sollten die neueste „HTTP-Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Funktions-Apps sollten die neueste „HTTP-Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
| Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht. | Audit, Disabled | 1.0.2 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage (klassisch) muss aktiviert sein | Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. | AuditIfNotExists, Disabled | 1.0.4 |
| Von Microsoft verwaltete Steuerung 1668: Fehlerbehebung | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1669: Fehlerbehebung | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1670: Fehlerbehebung | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1671: Fehlerbehebung | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. | AuditIfNotExists, Disabled | 4.1.0 |
| Systemupdates für VM-Skalierungsgruppen sollten installiert werden | Hiermit überprüfen Sie, ob Systemsicherheitsupdates und kritische Updates fehlen, durch deren Installation sichergestellt werden soll, dass Ihre Windows- und Linux-VM-Skalierungsgruppen sicher sind. | AuditIfNotExists, Disabled | 3.0.0 |
| Systemupdates sollten auf Ihren Computern installiert sein | Hiermit werden fehlende Sicherheitssystemupdates auf Ihren Servern über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.0.0 |
| Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden | Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.1.0 |
| Sicherheitsrisiken in der Sicherheitskonfiguration von VM-Skalierungsgruppen sollten beseitigt werden | Hiermit überwachen Sie die Betriebssystem-Sicherheitsrisiken für Ihre VM-Skalierungsgruppen, um sie vor Angriffen zu schützen. | AuditIfNotExists, Disabled | 3.0.0 |
Automatisierter Fehlerbehebungsstatus
ID: NIST SP 800-53 Rev. 5 SI-2 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1673: Fehlerbehebung | Automatisierter Fehlerbehebungsstatus | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Zeitraum bis zur Behebung von Fehlern und Benchmarks für Korrekturmaßnahmen
ID: NIST SP 800-53 Rev. 5 SI-2 (3) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1674: Fehlerbehebung | Zeitraum bis zur Behebung von Fehlern/Benchmarks für Korrekturmaßnahmen | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1675: Fehlerbehebung | Zeitraum bis zur Behebung von Fehlern/Benchmarks für Korrekturmaßnahmen | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Entfernen älterer Software- oder Firmwareversionen
ID: NIST SP 800-53 Rev. 5 SI-2 (6) Zuständigkeit: Kunde
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| App Service-Apps sollten die neueste „HTTP-Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
| Funktions-Apps sollten die neueste 'HTTP Version' verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
| Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht. | Audit, Disabled | 1.0.2 |
Schutz vor schädlichem Code
ID: NIST SP 800-53 Rev. 5 SI-3 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Die Endpoint Protection-Lösung sollte für VM-Skalierungsgruppen installiert sein | Hiermit überprüfen Sie die Existenz und die Integrität einer Endpoint Protection-Lösung in Ihren VM-Skalierungsgruppen, um sie vor Bedrohungen und Sicherheitsrisiken zu schützen. | AuditIfNotExists, Disabled | 3.0.0 |
| Von Microsoft verwaltete Steuerung 1676: Schutz vor schädlichem Code | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1677: Schutz vor schädlichem Code | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1678: Schutz vor schädlichem Code | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1679: Schutz vor schädlichem Code | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1681: Schutz vor schädlichem Code | Automatische Updates | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1682: Schutz vor schädlichem Code | Erkennung basierend auf nicht vorhandenen Signaturen | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen | Hiermit werden Server ohne installierten Endpoint Protection-Agent über Azure Security Center in Form von Empfehlungen überwacht. | AuditIfNotExists, Disabled | 3.1.0 |
| Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Systemüberwachung
ID: NIST SP 800-53 Rev. 5 SI-4 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. | Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 4.0.1-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden | Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Für Ihr Abonnement sollte die automatische Bereitstellung des Log Analytics-Agents aktiviert sein. | Azure Security Center sammelt Daten von Ihren Azure-VMs, um diese auf Sicherheitslücken und Bedrohungen zu überwachen. Die Daten werden mit dem Log Analytics-Agent (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Wir empfehlen Ihnen, die automatische Bereitstellung zu aktivieren, damit der Agent auf allen unterstützten und allen neu erstellten Azure-VMs automatisch bereitgestellt wird. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden | Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender für Resource Manager muss aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender für SQL sollte für nicht geschützte Azure SQL-Server aktiviert werden | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. | AuditIfNotExists, Disabled | 1.0.2 |
| Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. | Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.2 |
| Der Log Analytics-Agent muss auf dem virtuellen Computer für Azure Security Center-Überwachung installiert sein | Diese Richtlinie überwacht alle virtuellen Windows-/Linux-Computer (Virtual Machines, VMs), wenn der Log Analytics-Agent nicht installiert ist, den Security Center zum Überwachen von Sicherheitsrisiken und Bedrohungen verwendet. | AuditIfNotExists, Disabled | 1.0.0 |
| Der Log Analytics-Agent muss in den VM-Skalierungsgruppen für Azure Security Center-Überwachung installiert sein | Security Center sammelt Daten von Ihren virtuellen Azure-Computern (VMs), um sie hinsichtlich Sicherheitslücken und Bedrohungen zu überwachen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender für Storage (klassisch) muss aktiviert sein | Microsoft Defender für Storage (klassisch) bietet Erkennungsfunktionen für ungewöhnliche und potenziell schädliche Versuche, auf Speicherkonten zuzugreifen oder sie zu missbrauchen. | AuditIfNotExists, Disabled | 1.0.4 |
| Von Microsoft verwaltete Steuerung 1683: Überwachung des Informationssystems | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1684: Überwachung des Informationssystems | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1685: Überwachung des Informationssystems | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1686: Überwachung des Informationssystems | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1687: Überwachung des Informationssystems | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1688: Überwachung des Informationssystems | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1689: Überwachung des Informationssystems | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Network Watcher muss aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Disabled | 3.0.0 |
| VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Systemweites Intrusion-Detection-System
ID: NIST SP 800-53 Rev. 5 SI-4 (1) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1690: Überwachung des Informationssystems | Systemweites Intrusion-Detection-System | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Automatisierte Tools und Mechanismen für die Echtzeitanalyse
ID: NIST SP 800-53 Rev. 5 SI-4 (2) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1691: Überwachung des Informationssystems | Automatisierte Tools für die Echtzeitanalyse | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Ein- und ausgehender Kommunikationsdatenverkehr
ID: NIST SP 800-53 Rev. 5 SI-4 (4) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1692: Überwachung des Informationssystems | Ein- und ausgehender Kommunikationsdatenverkehr | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Vom System generierte Warnungen
ID: NIST SP 800-53 Rev. 5 SI-4 (5) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1693: Überwachung des Informationssystems | Vom System generierte Warnungen | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Analysieren von Anomalien im Kommunikationsdatenverkehr
ID: NIST SP 800-53 Rev. 5 SI-4 (11) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1694: Überwachung des Informationssystems | Analysieren von Anomalien im Kommunikationsdatenverkehr | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Von der Organisation generierte automatisierte Warnungen
ID: NIST SP 800-53 Rev. 5 SI-4 (12) Zuständigkeit: Kunde
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
| E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein | Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 2.0.0 |
| In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Disabled | 1.0.1 |
Angriffserkennung in Drahtlosnetzwerken
ID: NIST SP 800-53 Rev. 5 SI-4 (14) Zuständigkeit: Gemeinsam
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1695: Überwachung des Informationssystems | Angriffserkennung in Drahtlosnetzwerken | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Korrelieren der Überwachungsinformationen
ID: NIST SP 800-53 Rev. 5 SI-4 (16) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1696: Überwachung des Informationssystems | Korrelieren der Überwachungsinformationen | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Analyse des Datenverkehrs und verdeckte Exfiltration
ID: NIST SP 800-53 Rev. 5 SI-4 (18) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1697: Überwachung des Informationssystems | Analyse des Datenverkehrs/verdeckte Exfiltration | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Risiken für Personen
ID: NIST SP 800-53 Rev. 5 SI-4 (19) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1698: Überwachung des Informationssystems | Personen mit erhöhtem Risiko | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Privilegierte Benutzer
ID: NIST SP 800-53 Rev. 5 SI-4 (20) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1699: Überwachung des Informationssystems | Privilegierte Benutzer | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Nicht autorisierte Netzwerkdienste
ID: NIST SP 800-53 Rev. 5 SI-4 (22) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1700: Überwachung des Informationssystems | Nicht autorisierte Netzwerkdienste | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Hostbasierte Geräte
ID: NIST SP 800-53 Rev. 5 SI-4 (23) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1701: Überwachung des Informationssystems | Hostbasierte Geräte | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Anzeigen einer Kompromittierung
ID: NIST SP 800-53 Rev. 5 SI-4 (24) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1702: Überwachung des Informationssystems | Anzeichen einer Kompromittierung | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Sicherheitswarnungen, Empfehlungen und Direktiven
ID: NIST SP 800-53 Rev. 5 SI-5 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1703 – Sicherheitswarnungen & Empfehlungen | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Microsoft Managed Control 1704 – Sicherheitswarnungen & Empfehlungen | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Microsoft Managed Control 1705 – Sicherheitswarnungen & Empfehlungen | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Microsoft Managed Control 1706 – Sicherheitswarnungen & Empfehlungen | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Automatisierte Warnungen und Empfehlungen
ID: NIST SP 800-53 Rev. 5 SI-5 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1707 – Sicherheitswarnungen & Empfehlungen | Automatisierte Benachrichtigungen und Empfehlungen | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Überprüfung der Sicherheits- und Datenschutzfunktion
ID: NIST SP 800-53 Rev. 5 SI-6 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1708: Überprüfung von Sicherheitsfunktionen | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1709: Überprüfung von Sicherheitsfunktionen | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1710: Überprüfung von Sicherheitsfunktionen | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1711: Überprüfung von Sicherheitsfunktionen | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Integrität von Software, Firmware und Informationen
ID: NIST SP 800-53 Rev. 5 SI-7 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1712 – Software & Informationsintegrität | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Integritätsüberprüfungen
ID: NIST SP 800-53 Rev. 5 SI-7 (1) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1713 – Software & Informationsintegrität | Integritätsprüfungen | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Automatisierte Benachrichtigungen bei Integritätsverletzungen
ID: NIST SP 800-53 Rev. 5 SI-7 (2) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1714 – Software & Informationsintegrität | Automatisierte Benachrichtigungen über Integritätsverletzungen | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Automatisierte Reaktion bei Integritätsverletzungen
ID: NIST SP 800-53 Rev. 5 SI-7 (5) Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1715 – Software & Informationsintegrität | Automatisierte Reaktion auf Integritätsverletzungen | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Integration von Erkennung und Reaktion
ID: NIST SP 800-53 Rev. 5 SI-7 (7) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1716 – Software & Informationsintegrität | Integration von Erkennung und Reaktion | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Spamschutz
ID: NIST SP 800-53 Rev. 5 SI-8 Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1719: Spamschutz | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1720: Spamschutz | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Automatische Updates
ID: NIST SP 800-53 Rev. 5 SI-8 (2) Zuständigkeit: Microsoft
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1722: Spamschutz | Automatische Updates | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Überprüfen von Informationseingaben
ID: NIST SP 800-53 Rev. 5 SI-10 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1723: Überprüfen von Informationseingaben | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Fehlerbehandlung
ID: NIST SP 800-53 Rev. 5 SI-11 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1724: Fehlerbehandlung | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Von Microsoft verwaltete Steuerung 1725: Fehlerbehandlung | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Informationsverwaltung und -aufbewahrung
ID: NIST SP 800-53 Rev. 5 SI-12 Eigentum: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Von Microsoft verwaltete Steuerung 1726: Verarbeitung und Aufbewahrung der Informationsausgabe | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
Arbeitsspeicherschutz
ID: NIST SP 800-53 Rev. 5 SI-16 Besitzer: Shared
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| Azure Defender für Server sollte aktiviert werden | Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. | AuditIfNotExists, Disabled | 1.0.3 |
| Von Microsoft verwaltete Steuerung 1727: Arbeitsspeicherschutz | Microsoft implementiert diese Steuerung für die Integrität von Systemen und Informationen | Überwachung | 1.0.0 |
| Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein | Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). | AuditIfNotExists, Disabled | 1.1.1 |
Nächste Schritte
Weitere Artikel über Azure Policy:
- Übersicht über die Einhaltung gesetzlicher Bestimmungen.
- Weitere Informationen finden Sie unter Struktur der Initiativendefinition.
- Sehen Sie sich weitere Beispiele unter Azure Policy-Beispiele an.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.
- Erfahren Sie, wie Sie nicht konforme Ressourcen korrigieren können.